Loading
Salesforce 組織の設定および管理
目次
絞り込み条件 (0)追加
絞り込み条件を選択

          結果がありません
          結果がありません
          検索のヒントをいくつかご紹介します

          キーワードの入力ミスがないか確認する。
          より一般的な検索語を使用する。
          絞り込み条件を減らして、検索範囲を広げる。

            Salesforce ヘルプ全体を検索
            Salesforce ヘルプ全体を検索
            セッションの設定

            詳細情報:

            1. Salesforce ヘルプ
            2. ドキュメント
            3. Salesforce 組織の設定および管理

            セッションの設定

            ユーザーのセッション ID が最初に確立された特定の IP アドレスからアクセスされた場合にのみ有効なままにすることで、セッションハイジャックを防止するには、[セッションを発信元 IP アドレスへロック] をクリックします。

            コントロール名

            セッションの設定

            推奨設定

            • セッションの送信元 IP アドレスへのロックを有効にする
            • システム管理者がユーザーパスワードをリセットするときにユーザーのすべてのセッションを終了することを有効化
            • セッションが最初に使用されたドメインへのロックセッションを有効にする

            [設定] > [セッションの設定] > [セッションをセッションの送信元の IP アドレスにロック] | [システム管理者がユーザーパスワードをリセットするとユーザーのすべてのセッションを終了する] | [セッションを最初に使用したドメインにロック]。

            制御の概要

            [発信元 IP アドレスへのセッションをロック]。

            この制御により、ユーザーのセッション ID が最初に確立された特定の IP アドレスからアクセスされた場合にのみ有効なセッション ID が維持されるようにすることで、セッションハイジャックを回避します。攻撃者が別のネットワーク場所からセッショントークンを再生しようとすると、Salesforce は自動的にアクセスを拒否し、接続を終了します。パスワードのリセット時にセッションを終了するこの設定では、アカウントのセキュリティをすぐに確保するために、システム管理者がパスワードの手動リセットを実行した瞬間にユーザーのすべての有効なセッションが自動的に無効になります。これにより、侵害される可能性のあるユーザーが、ログイン情報が更新された後に既存のセッションからアクセスを維持できなくなります。[初期ドメインへのセッションのロック] この設定では、セッションの有効性を、ユーザーが最初に認証した特定の Salesforce ドメイン (Lightning、Visualforce、Experience Cloud など) に制限します。これは、プラットフォーム内のさまざまな機能ドメインでセッション Cookie が再利用されないようにすることで、クロスサイトスクリプティング (XSS) 攻撃やセッション固定攻撃に対する防御として機能します。

            設定されていない場合のセキュリティリスク

            これらのセッションセキュリティコントロールを有効にしないと、攻撃者がさまざまなネットワークや信頼できないドメインで盗取されたトークンを悪用する可能性があるため、セッションハイジャックや不正なデータ保持に対する脆弱性が高まります。また、パスワードのリセット時にセッションが終了しないと、侵害されたアカウントが管理上の修復後も有効なままになり、機密情報への不正アクセスが長期化する可能性があります。

            脅威のシナリオ

            セッショントークンを傍受した攻撃者は、ネットワーク境界を迂回して、検出されない任意の場所またはサブドメインから機密データにアクセスできます。さらに、侵害が発見されてユーザーのパスワードが変更された場合でも、攻撃者は既存のセッションが有効でチャレンジされていないままであるため、「すべてのアクセスパス」を保持します。

            推定 CVSS スコア範囲

            重大 (9.0 ~ 10.0)。

            リスクの影響に関する考慮事項

            多くのリモートユーザー、インテグレーションユーザー、API ユーザー、または機密ビジネスプロセスへのアクセス権を持つ組織のリスクは増加します。

            より高いリスク

            ログイン IP アドレスの制限とリアルタイムイベント監視の欠如により、組織は許可されていない地理的な場所からのセッションハイジャックに気が付かなくなるため、リスクが大幅に高まります。ログインを検証する多要素認証 (MFA) を使用しない場合、盗まれたセッションは、セキュリティ侵害が特定されてパスワードがリセットされた後も有効なアクセスパスになり、認証されません。

            Low or No Risk When (低リスクまたは無リスクの場合)

            これらの特定のセッション制御が実装されていない場合のリスクを軽減するには、次の代替制御と補償制御を使用して「多層防御」戦略をリリースできます。

            • IP ロックの場合: プロファイルレベルで [厳格なログイン IP アドレスの制限] を実装し、[すべての要求にログイン IP アドレスの制限を適用] を有効にして、ユーザーがセッション ID に関係なく、信頼できる企業ネットワークからのみシステムにアクセスできるようにします。
            • パスワードのリセット解除の場合:Salesforce Shieldトランザクションセキュリティポリシーを使用して、疑わしいイベントに基づいてセッションを自動的に強制終了するか、IDプロバイダー(IdP)レベルでユーザーを無効にするとすべてのダウンストリーム アプリケーション アクセスが即座に終了するようにシングルサインオン(SSO)を義務付けます。
            • ドメインロックの場合: ログインおよび機密アクションごとに多要素認証 (MFA) を適用し、CORS (クロスオリジンリソース共有) 許可リストを使用して、Salesforce データおよび API の操作を許可する外部ドメインを厳密に制御します。
            • 一般的な監視: [設定] の [セッション管理] ページを定期的に監査して、異常なアクティブセッションを手動で終了し、リアルタイムイベント監視を使用して、セッションハイジャックや「リプレイ」の試行をシステム管理者に警告します。

            ビジネスと統合に関する考慮事項

            これらの制御を実装するとセキュリティが大幅に強化されますが、モバイルユーザーにとって摩擦が生じ、特定の自動インテグレーションが機能しなくなる可能性があります。

            推奨される修復

            [セッション] 設定を有効にして、元のドメイン/IP アドレスからセッションを保護し、パスワードのリセット時にセッションを終了します。

            Security Health Review Guidance (セキュリティ状態レビューガイダンス)

            セキュリティ状態レビューでは、オリジン IP またはドメインが有効になっていることを確認するプラットフォーム設定関連セッションが特定され、セッションのセキュリティを確保するためにパスワードがリセットされたときにすべてのセッションが終了します。

            関連項目:

             
            読み込み中
            Salesforce Help | Article