セッションタイムアウト設定

コントロール名

セッションタイムアウト

推奨設定

• [セッションタイムアウト] の値を 15 分以内に設定する
• セッションタイムアウト警告ポップアップを無効化
• セッションタイムアウト時に強制的にログアウトを有効化

[設定]> [セッションの設定]> [セッションタイムアウト]。

制御の概要

Salesforce セッションタイムアウト制御は、指定された無操作状態の期間が経過した後にユーザーセッションを自動的に終了することで、不正アクセスから保護するセキュリティ対策です。

設定されていない場合のセキュリティリスク

Salesforce で適切なセッションタイムアウトを設定しないと、ユーザーがワークステーションを放置したり、デバイスを紛失したりしたときに機密データに不正アクセスするリスクが高まります。このセキュリティギャップは、セッションハイジャックやデータの持ち出しにつながるだけでなく、期限付きのアクセス制御を必要とする業界規制基準への非準拠にもつながります。

脅威のシナリオ

攻撃者は、無人の有効なセッショントークンまたは盗まれたセッショントークンを悪用して、機密データへの永続的な不正アクセスを取得します。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

ユーザーの行動とユーザーがプラットフォームにアクセスする環境を考慮します。

より高いリスク

セッションタイムアウトが設定されていない (または適切に設定されていない) 場合、次の制御の欠如によってセキュリティリスクがさらに高まる可能性があります。

• 多要素認証の欠如 (MFA): MFA を使用しない場合、セッションは 1 つのログイン情報セットによってのみ保護されます。セッションが無期限に有効なままの場合、デバイスへのアクセス権を取得した攻撃者は、追加のセキュリティレイヤーをスキップする必要はありません。
• 「セッションタイムアウト時に強制的にログアウト」の欠如: この特定の設定が無効になっている場合、Salesforce はセッションの有効期限が切れたときにセッションを実際に終了できず、ブラウザーでセッションを開いたままでいられます。
• IP アドレス制限の欠如: セッションが元の IP アドレスに固定されていない場合や、企業範囲に制限されていない場合、「永続的」なセッショントークンが盗まれ、世界中のどこからでも異議なく使用される場合があります。
• ワークステーションまたはデバイスの自動ロックの欠如: ユーザーのコンピューターまたはモバイルデバイスを一定期間操作しなかった場合、ロックするための組織ポリシーや技術的な管理 (GPO や MDM など) がない場合、開いている Salesforce セッションは物理的なアクセス権を持つユーザーに完全に公開されます。
• プロファイルレベルの上書きの欠如: 高権限プロファイル (システム管理者など) のより厳格で短いタイムアウトではなく、広範な「組織全体」の設定のみに依存すると、管理者のセッションが乗っ取られた場合の「ブラスト半径」が大きくなります。
• リアルタイムセッション監視の欠如: Salesforce イベント監視やトランザクションセキュリティポリシーなどのツールがないと、組織は異常なほど長い間活動していた疑わしいセッションを検出したり、自動的に強制終了したりできません。
• 「ドメインへのセッションのロック」の欠如: セッションを開始した特定のドメインにセッションを制限できない場合、クロスサイトスクリプティング (XSS) 攻撃やセッション固定攻撃のリスクが高まる可能性があります。

Low or No Risk When (低リスクまたは無リスクの場合)

厳格なセッションタイムアウトが実行可能でない場合や設定されていない場合のリスクを軽減するには、次の制御を使用して「多層防御」戦略を実装できます。 1. Salesforce ネイティブセキュリティ制御

• 多要素認証を適用 (MFA): すべてのログインに 2 つ目の要素が必要です。セッションが有効なままであっても、攻撃者は最初に MFA をバイパスしてそのセッションを確立する必要があります。
• セッションタイムアウト時に強制的にログアウト: [セッションの設定] でこの設定が有効になっていることを確認します。これがない場合、一部のブラウザーではバックグラウンドで「タイムアウト」セッションが無期限に有効のままになる可能性があります。
• Lock Sessions to the IP Address (IP アドレスへのセッションのロック): セッションを発信元の特定の IP アドレスからのみ使用できるようにすることで、「セッションハイジャック」を防止します。
• Login IP Ranges (Profile Level) (ログイン IP アドレスの制限 (プロファイルレベル): 特定の信頼できるネットワーク (企業 VPN など) へのアクセスを制限します。これにより、デバイスが信頼できないネットワークに移動された場合に、有効なセッションさえも役に立たないようになります。
• ログイン時間: ユーザーが Salesforce にアクセスできる特定の時間枠 (午前 8 時から午後 6 時など) を定義します。これにより、業務時間外のセッションの保持が自動的に回避されます。

2. 高度な監視と自動化 (Shield)

• トランザクションセキュリティポリシー (Salesforce Shield): 疑わしい動作をトリガーするリアルタイムポリシーを作成します。たとえば、ユーザーが大量のデータエクスポートを試みたり、長期間の「アイドル状態」の後に機密レコードにアクセスしたりした場合に、MFA を使用してセッションを自動的にブロックまたはチャレンジできます。
• イベント監視: リアルタイムイベント監視を使用して LoginEvent と SessionHijackingEvent を追跡し、プログラムで異常セッションを特定して終了します。

3. ID およびエンドポイントコントロール

• シングルサインオン (SSO): Okta や Azure AD などの中央 ID プロバイダー (IdP) にセッション管理を委任します。その後、より厳格なグローバルセッションポリシーを適用したり、デバイスが侵害された場合に 1 つのダッシュボードからすべての有効なアプリケーションセッションを「強制終了」したりできます。
• エンドポイント管理 (MDM/GPO): 5 ～ 10 分間無操作状態が続くと、物理的なワークステーションまたはモバイルデバイスを自動的にロックする企業ポリシーを実装します。これにより、長時間セッションの主な脅威である「無人ワークステーション」のリスクが軽減されます。

ビジネスと統合に関する考慮事項

顧客は、ユーザーエンドポイントのエントリポイントと、各ユーザープロファイルが公開されるデータを評価する必要があります。

推奨される修復

セッションタイムアウトはエンドポイントレベルおよびプラットフォームレベルで実装します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Review は、業界のベストプラクティス (15 分) に対してセッションタイムアウトを調べることで、セッションタイムアウトに関連するプラットフォーム設定を識別します。