トランザクションセキュリティとは

この記事で学べること

標準機能と比較して、拡張トランザクションセキュリティで何ができるのか学べます。

​

拡張トランザクションセキュリティとは

リアルタイムイベントを活用して特定条件にマッチする操作をブロックする、管理者へ通知をする、あるいは高保証セッションではないユーザに多要素認証を要求することを可能にする機能です。条件が記載される設定をトランザクションセキュリティポリシー（以下、ポリシー）と呼びます。

​

誰に何をさせて良いかといった権限周りの設定は標準機能のプロファイルや権限セットで実施することが基本ですが、拡張トランザクションセキュリティを利用することでより細やかにユーザに禁止させたい操作、管理者へ通知をさせたい操作等について条件設定ができる様になります。

​

トランザクションセキュリティポリシーの実装に当たっては、ローコードで実装できる条件ビルダーとプロコードでのApex実装と2種類の方法が用意されています。どちらをご利用いただく場合でもトレイルヘッドの拡張トランザクションセキュリティを確認いただくことで作成方法を学ぶことができます。

​

​

​

ここからは拡張トランザクションセキュリティで設定できる各ポリシーについて、そもそもプロファイルでどの様な制御ができるのか、そしてどの様な場合に本機能の実装を検討するべきなのかを記載していきます。条件ビルダーで設定できる条件については各ポリシーのリンク先をご確認ください。Apexを利用する際にはApex を使用する拡張トランザクションセキュリティポリシーの作成をご参照ください。

ApiEventポリシー

ユーザは外部のアプリケーションと連携する等の目的でAPIを利用することができます。

標準機能ではプロファイルで［システム管理者権限］配下の［APIの有効化］をオフにすることですべてのAPIの使用をブロックすることができます。

本ポリシーは［APIの有効化］権限を持つユーザに対して更に細やかに参照系APIの使用条件を定めて利用させたい場合、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。

BulkApiResultEventStoreポリシー

Bulk APIの実行結果は［設定］画面で［一括データ読み込みジョブ］を開く事で確認することができます。

標準機能ではプロファイルで［システム管理者権限］配下の［データインテグレーションの管理］、［APIの有効化］、［設定・定義を参照する］のいずれかをオフにすることで［一括データ読み込みジョブ］へのアクセスをブロックすることができます。

本ポリシーは上記3つの権限を持つユーザに対してさらに細やかにBulk APIのダウンロード実行結果へのアクセス条件を定めたい場合、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。Bulk APIの実行を制御をするポリシーではない点にご注意ください。

ListViewEventポリシー

ユーザはリストビューからデータを一覧で表示することができます。

標準機能では参照権限を持つオブジェクトに対するリストビューの閲覧を制限する機能はありません。

本ポリシーは特定の条件にマッチするリストビューを表示をさせたくない、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。

LoginEventポリシー

ユーザはアプリケーションを利用するためにログインをする必要があります。

標準機能ではユーザの無効化及び凍結の機能を用いてログインをブロックすることができます。またプロファイルで［ログインIPアドレスの制限］や［ログイン時間帯の制限］の制限をかけることもできます。更にはログインフロー用いてログインの制限をかけることも可能です。

本ポリシーはログインフローで使用するフローに馴染みがなく、レポートやリストビューの条件設定のように簡単に設定管理できる条件ビルダーを使用したい場合や、逆に複雑なポリシーや処理をApexでコーディングしたい場合に実装を検討します。

ReportEventポリシー

ユーザはレポート機能を利用してデータを表示、またはデータをエクスポートすることができます。

標準機能ではプロファイルで［一般ユーザ権限］配下の［レポートの実行］をオフにすることでレポートの使用を制限することができます。また［レポートのエクスポート］をオフにすることでエクスポートのブロックも可能です。

本ポリシーはレポートの機能自体をブロックするのではなく、特定の条件にマッチするレポートの使用やエクスポートをブロックしたい場合や通知を受けたい場合に実装を検討します。

PermissionSetEventStoreポリシー

ユーザに権限を割り当てる機能に権限セットがあります。

標準機能ではプロファイルで［システム管理者権限］配下の［権限セットの割り当て］をオフにすることで権限セットの割り当てをブロックすることができます。また［プロファイルと権限セットの管理］をオフにすることで権限セットの作成をブロックすることもできます。

本ポリシーはヘルプサイトに記載のある特定の権限を制御（有効化や無効化またはユーザへの割り当てや割り当て解除）したい場合、特定の条件にマッチする権限セットの操作をブロックしたい場合、あるいは条件にマッチする利用があった時に通知を受けたい場合に実装を検討します。

脅威検知に関するポリシー類

標準機能で脅威検知に関するイベントの通知を受ける機能はありません。脅威検知のイベントが発生した通知を受けたい場合に本機能の実装を検討します。併せて脅威検知の利用開始の記事もご確認ください。

学習ツール

まとめ

トランザクションセキュリティでは、標準機能の権限コントロールでは実現できない細かい条件設定によってブロックだけではなく、通知を要求するなどのアクションをローコートの条件ビルダーや複雑な条件設定をプロコードのApexで実装できます。