詳細情報:
任意の API を使用 - 制限
API アクセスを管理者が承認した接続アプリケーションのみに制限し、ユーザーが未承認または従来の API クライアントを使用できないようにします。
コントロール名
任意の API クライアントの使用 - 制限
制御の概要
API アクセスを管理者が承認した接続アプリケーションのみに制限し、ユーザーが未承認または従来の API クライアントを使用できないようにします。
説明
すべてのプロファイルおよび権限セットのグローバルUse Any API Clientシステム権限を無効にし、定義済みの OAuth フローを介してすべてのプログラムによるやりとりを強制します。
推奨設定
[すべてのプロファイルで任意の API クライアントを使用] を選択解除します。セキュリティチームによって審査および承認された特定の接続アプリケーションにユーザーを割り当てることで、詳細なアクセス権に置き換えます。
セキュリティへの影響
信頼できないサードパーティアプリケーションや、企業の監視をバイパスする CLI スクリプトでユーザーがログイン情報を使用する可能性がある重大なセキュリティホールを解決します。
ビジネスへの影響
特定のアプリケーションが API 制限を消費してデータにアクセスしている状況を把握し、リソースの管理と監査を改善して、より厳格なセキュリティポリシーで全体的なセキュリティ体制を強化できます。
設定されていない場合のセキュリティリスク
認証されていないユーザーやログイン情報を盗んだ潜在的な攻撃者は、API 互換のツールを使用して、サードパーティアプリケーションが意図するセキュリティラッパーを迂回してデータをスクレイピングできます。
脅威のシナリオ
データの持ち出し: 不正なデータエクスポートによるログイン情報の不正使用: 漏洩したパスワードが、信頼できるクライアントを模倣するカスタムスクリプトを介して使用されます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
これまで広範な API アクセスに依存してきた管理者やアクセスプロファイルが上位のユーザーが多い会社にとって、リスクは高くなります。
より高いリスク
また、プロファイルでは [レポートのエクスポート] または [すべてのデータの編集] が有効になっています。これは、[Use Any API Client (任意の API クライアントを使用)] によってこれらの権限へのプログラムによる高速アクセスが可能になるためです。
低リスク
アクセスは、接続アプリケーションの OAuth 範囲を介して厳密に仲介されます。
ビジネスと統合に関する考慮事項
これを無効にすると、外部サードパーティアプリケーションとして登録されていない既存のスクリプトや従来のインテグレーションが破損する可能性があります。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review は権限メタデータをスキャンし、Salesforce 組織で [任意の API を使用] クライアント設定が有効になっているプロファイルを特定します。
影響を受けるユーザー
Salesforce から直接接続アプリケーションにアクセスする内部従業員、管理者、開発者、ワークフォースユーザー。
