Salesforceセキュリティ診断サービス

Salesforceセキュリティ診断サービス

セールスフォースドットコム社は、2020年12月25日に一部製品または特定の機能を利用するユーザーにおいて、Salesforce上の組織の一部情報が第三者より閲覧できる事象が発生している案内を掲載しております。

本診断は、現在使用しているSalesforce組織がどのような状況かを確認していただき、セールスフォースドットコム社から提供されているベストプラクティスの適用有無を判断するための材料となるものです。

Salesforceをより安全にお使いいただくために、皆様には、現状調査を実施いただきたく存じます。

■ セールスフォース・ドットコム社からのお知らせ

https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/


2020年12月に外部へ情報が流出している可能性を発表した楽天、PayPayがこの影響を受けたユーザーに含まれていたことが報じられています。

本件は、SalesforceのAuraエンドポイントを通じて、第三者が認証不要のゲストユーザ権限で、あるデータへアクセスを行うことが出来ることによるものです。

■ 内閣官房内閣サイバーセキュリティセンターからの注意喚起

https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf

Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性

調査対象となるSalesforce組織

■影響を受ける対象機能

・Experience Cloud(旧 Community Cloud)、Salesforceサイト、Site.com

■閲覧される可能性のある情報

・サイト設定情報
・標準オブジェクト(閲覧情報は設定の状態によって異なります。)
・カスタムオブジェクト(閲覧情報は設定の状態によって異なります。)
・その他Salesforce管理データ


■影響を受ける組織

下記の条件を満たした場合、外部から閲覧可能

・Salesforceのサイトが有効である
・「ゲストユーザのLightning機能」を無効に変更していない ※1
・ゲストユーザー権限でObjectの参照が可能となっている

※1.「ゲストユーザのLightning機能」はデフォルトが有効になります。(本機能はリリース時点で有効化されています。)

弊社のデータ閲覧調査サービスについて

本提案では、以下の調査を実施します。 ※1※2

1)ゲストサイト設定内容の調査

2)ゲストユーザによるデータ取得調査

3)共有ルール・公開グループ設定内容調査

4)ゲストユーザ所有データの調査

※1.調査には、管理者権限をお借りする必要があります。
※2.ご使用の組織にツールのインストール等を行う必要があります。

データ閲覧調査サービス

調査結果については、報告書を作成し内容をご説明させていただきます。
調査結果は、調査時点での状況となりますので、Salesforceのバージョンアップや追加開発に伴う変更について保証するものではありません。

最短5営業日で調査が可能です

最短5営業日で調査が可能

お問い合わせはこちら

CONTACT

お問い合わせ

まずはご相談ください。
お問い合わせはこちらからお願いします。

お問い合わせはこちら

ページトップへもどる