このテキストは、Salesforce の自動翻訳システムを使用して翻訳されました。アンケートに回答して、このコンテンツに関するフィードバックを提供し、次に何を表示するかをお寄せください。
セキュリティ - セッションセキュリティ
[Well-Architected Trusted (適切に構築された信頼済み)] → [Secure (安全)] → [Session Security (セッションセキュリティ)] → [Device Access (デバイスアクセス)] の詳細
| Where to look? 商品領域 | ロケーション | What does good look like? (良いものは?) パターン |
|---|---|
| プラットフォーム | ドキュメント | ✅ セキュリティ人格が適切なデバイスの使用状況とポリシーに明確に対応付けられている |
| プラットフォーム | ドキュメント | ✅ デバイスポリシーが明確で検出可能 |
| プラットフォーム | 組織 | ✅ Salesforce モバイル接続アプリケーション設定では、無操作時に PIN/パスコードロック解除が必要 |
| プラットフォーム | 組織 | ✅ Salesforce モバイルにアクセスできるユーザーの厳格な制御がビジネスニーズで必要な場合、API アクセス制御が有効になり、Salesforce モバイルアプリケーションのすべてのユーザーに権限セットが割り当てられます。 |
[Well-Architected Trusted (適切に構築された信頼済み)] → [Secure (安全)] → [Session Security (セッションセキュリティ)] → [Session Management (セッション管理)] の詳細
| Where to look? 商品領域 | ロケーション | What does good look like? (良いものは?) パターン |
|---|---|
| プラットフォーム | Apex | ✅ カスタムログインフローが存在する場合、関連するすべてのカスタムコードで適切な SessionManagement メソッドを使用してセッションレベルセキュリティを割り当てる |
| プラットフォーム | Aura | ✅ カスタム ログイン フローが存在する場合は、必要なSessionManagementメソッドを備えた Apex コントローラーを使用してセッション レベル セキュリティを割り当てます。 |
| プラットフォーム | 設計標準 | ✅ セキュリティ人格は、各人格の承認済みセッション種別とタイムアウト/期間設定を明確にリストします。 |
| プラットフォーム | 設計標準 | ✅ 高度なセッションレベルセキュリティを必要とする活動に対して標準が定義されている |
| プラットフォーム | 設計標準 | ✅ 権限の昇格が必要な活動には、標準が定義されています。 |
| プラットフォーム | 設計標準 | ✅ 接続アプリケーションの範囲とトークン管理ポリシーが明確で検出可能 |
| プラットフォーム | ドキュメント | ✅ 接続アプリケーションの範囲とトークン管理ポリシーが明確で検出可能 |
| プラットフォーム | ドキュメント | ✅ ログイン時間が指定されている(または不要と識別されている) |
| プラットフォーム | LWC(Lightning Web コンポーネント) | ✅ カスタム ログイン フローが存在する場合は、必要なSessionManagementメソッドを備えた Apex コントローラーを使用してセッション レベル セキュリティを割り当てます。 |
| プラットフォーム | 組織 | ✅ ユーザーがファイアウォールの内側から Salesforce にアクセスする場合、ファイアウォールは IP アドレスではなく必須ドメインの許可リストを使用して、Salesforce との間の通信を保護します。 |
| プラットフォーム | 組織 | ✅ 無効なセッションタイムアウト間隔がデフォルト (2 時間) を超えていない |
| プラットフォーム | 組織 | ✅ [設定] ページのクリックジャック保護 - [設定] 以外の Salesforce ページのクリックジャック保護 - クロスサイトリクエストフォージェリ (CSRF) 保護 - クロスサイトスクリプティング (XSS) 保護 - コンテンツ盗聴保護の有効化 - 参照元 URL 保護 - Salesforce の外部にリダイレクトされる前にユーザーに警告 |
| プラットフォーム | 組織 | ✅ セッション監査では、ユーザーは予期されるセッション種別でのみ Salesforce にアクセスできます。 |
| プラットフォーム | 組織 | ✅ 「API 限定ユーザー」アクセス権の明確な有効な権限セットがあり (「API 限定」権限が TRUE に設定されている)、すべてのインテグレーションユーザーと自動化ユーザーが割り当てられている |
適切に構築された信頼性 → セキュリティ → セッションセキュリティ → 脅威の検出と対応についての詳細
| Where to look? 商品領域 | ロケーション | What does good look like? (良いものは?) パターン |
|---|---|
| Einstein | エージェント | ✅ エージェントイベントログに会話データが含まれている 会話データをマスクする必要がある重大な理由がない限り、強化されたイベントログの設定を有効にする |
| Einstein | Einstein Trust Layer | ✅ 生成 AI 機能は定期的に監査 Einstein フィードバック設定ページから Einstein 生成 AI 監査データが有効になっています。生成 AI の会話 (プロンプトとその応答を含む) は定期的に監査およびレビューされる |
| プラットフォーム | 会社 | ✅ 監査データは、ビジネス関係者が理解してアクセスできるレポートで利用できます。 |
| プラットフォーム | 会社 | ✅ 監査履歴・報告の定期的な見直し |
| プラットフォーム | ドキュメント | ✅ すべての自動応答が明確に文書化されている |
| プラットフォーム | ドキュメント | ✅ Salesforce 内で使用可能なログを確認する手順が文書化されている |
| プラットフォーム | ドキュメント | ✅ データモデルのすべてのオブジェクトで監査レベルが指定されている |
| プラットフォーム | ドキュメント | ✅ セキュリティポリシーには、応答をトリガーする必要があるイベントのリストと適切な応答種別が含まれます。 |
| プラットフォーム | 組織 | ✅ ユーザーアカウントを無効化したり、異常な利用状況が検出された場合にリソースへのアクセスをリアルタイムでブロックしたりすることで、脅威に対応する自動化が導入されています。 |
| プラットフォーム | 組織 | ✅ 異常活動について適切なユーザーに通知するように通知とアラートが設定されている |
| プラットフォーム | 組織 | ✅ 項目履歴管理は、非公開データまたは機密データを含むすべての項目で有効 |
[Well-Architected Trusted (適切に構築された信頼済み)] → [Secure (安全)] → [Session Security (セッションセキュリティ)] → [Device Access (デバイスアクセス)] の詳細
| Where to look? 商品領域 | ロケーション | What to avoid? アンチパターン |
|---|---|
| プラットフォーム | ドキュメント | ⚠️ セキュリティポリシーが存在しない、またはデバイスアクセスに関する情報が含まれていない |
| プラットフォーム | 組織 | ⚠️ Salesforce モバイル接続アプリケーションが、無操作時に PIN/パスコードロック解除を要求するように設定されていない |
| プラットフォーム | 組織 | ⚠️ ビジネスニーズにより、Salesforce モバイルにアクセスできるユーザーの厳格な制御が必要であるが、API アクセスコントロールが有効になっていない、または権限セットを使用して Salesforce モバイルアプリケーションへのアクセスを制御していない |
[Well-Architected Trusted (適切に構築された信頼済み)] → [Secure (安全)] → [Session Security (セッションセキュリティ)] → [Session Management (セッション管理)] の詳細
| Where to look? 商品領域 | ロケーション | What to avoid? アンチパターン |
|---|---|
| プラットフォーム | Apex | ⚠️ カスタムログインフローが存在する場合、セッションレベルセキュリティを割り当てるロジックはありません |
| プラットフォーム | Aura | ⚠️ カスタムログインフローが存在する場合、セッションレベルセキュリティを割り当てるロジックはありません |
| プラットフォーム | 設計標準 | ⚠️ 高度なセッションレベルセキュリティを必要とする活動の標準が定義されていない |
| プラットフォーム | 設計標準 | ⚠️ 割り当てる権限の引き上げが必要な活動の標準が定義されていない |
| プラットフォーム | 設計標準 | ⚠️ セキュリティポリシーに接続アプリケーション範囲やトークン管理に関する情報が含まれていない |
| プラットフォーム | 設計標準 | ⚠️ セキュリティ人格が存在しないか、セッション種別とタイムアウト/期間設定に関する情報が不足している |
| プラットフォーム | ドキュメント | ⚠️ 接続アプリケーションの範囲とトークン管理ポリシーが文書化されていない |
| プラットフォーム | LWC(Lightning Web コンポーネント) | ⚠️ カスタムログインフローが存在する場合、セッションレベルセキュリティを割り当てるロジックはありません |
| プラットフォーム | 組織 | ⚠️ ユーザーが持つべきセッション種別の定義がない |
| プラットフォーム | 組織 | ⚠️ インテグレーションおよび自動化ユーザーで「API 限定」権限が不明瞭または欠落している |
| プラットフォーム | 組織 | ⚠️ 定期的なセッション監査はありません |
| プラットフォーム | 組織 | ⚠️ ユーザーがファイアウォールの内側から Salesforce にアクセスする場合、ファイアウォールはハードコードされた IP アドレスを使用して Salesforce との間の通信を保護します。 |
| プラットフォーム | 組織 | ⚠️ 無効なセッションタイムアウト間隔がデフォルト (2 時間) を超えている |
| プラットフォーム | 組織 | ⚠️ [設定] ページのクリックジャック保護 - [設定] 以外の Salesforce ページのクリックジャック保護 - クロスサイトリクエストフォージェリ (CSRF) 保護 - クロスサイトスクリプティング (XSS) 保護 - コンテンツ盗聴保護の有効化 - 参照元 URL 保護 - Salesforce 外にリダイレクトされる前にユーザーに警告する |
適切に構築された信頼性 → セキュリティ → セッションセキュリティ → 脅威の検出と対応についての詳細
| Where to look? 商品領域 | ロケーション | What to avoid? アンチパターン |
|---|---|
| Einstein | 組織 | ⚠️ 生成 AI 機能が監査されていない 生成 AI の会話 (プロンプトとその応答を含む) が定期的に監査されていない |
| プラットフォーム | 会社 | ⚠️ 監査データは、アクセスと解釈に専門分野の専門知識が必要なログファイルでのみ使用できます。 |
| プラットフォーム | 会社 | ⚠️ 監査情報をレビューするプロセスが存在しない |
| プラットフォーム | ドキュメント | ⚠️ セキュリティポリシーが存在しないか、脅威の検出とアラートに関する情報が含まれていない |
| プラットフォーム | ドキュメント | ⚠️ 自動レスポンスのドキュメントが存在しないか不明瞭である |
| プラットフォーム | 組織 | ⚠️ 脅威に対応するための自動化が確立されていない |
| プラットフォーム | 組織 | ⚠️ 通知とアラートが、異常な活動について適切なユーザーに通知するように設定されていないか、異常な活動に関連する通知とアラートがいくつか存在するが、それらはアドホックである |
| プラットフォーム | 組織 | ⚠️ 非公開データまたは機密データを含む項目で項目履歴管理が一貫して有効になっていない |