セキュリティ・開発・運用「セキュリティ」の記事一覧

  • 拡張ドメインの有効化とその準備

    この記事で学べること拡張ドメインの機能概要拡張ドメインが有効化される背景拡張ドメインによる変更点想定される影響お客様による事前準備の内容拡張ドメインに関する参考情報こちらの記事の内容は動画でもご覧いただくことができます。拡張ドメインについて動画でご確認頂く場合はこちらをクリックしてください。拡張ドメインの概要拡張ドメインは Spring '23 のリリースにてお客様組織で自動有効化されます。これによる変更は以下となります。​(1)ブランドExperience Cloud サイト、Salesforce サイト、Visualforce ページ、コンテンツファイルの URL を含め、組織のすべての URL に [私のドメイン] の名前が含まれます。また一部のURLではドメインサフィックス ([私のドメイン] の名前の後の部分) も更新されます。(2)安定性お客様組織で使用されているすべてのURLからAP3やAP4などのインスタンス名が削除されます。今後インスタンス名を意識したお客様作業、メンテナンスが不要になります。(3)コンプライアンスお客様にてご利用いただいているブラウザにおける最新の要件(サードパーティ Cookieに関する対応)に準拠します。​上記の通り、本機能の有効化を以って公開 URL を含むドメイン(URL)が更新されるため、Spring'23 までに Sandbox で動作確認/テストを実施いただき、お客様組織での影響度を確認の上で本番組織での有効化を推奨します。​*当初は Winter’23 のリリースにて拡張ドメインの自動有効化を予定していましたが、本番組織での自動有効化はSpring'23 に延期しました。​▼参考情報Winter’23 Relase note : Enable Enhanced Domains (Release Update)Trailblazer Community : Enhanced Domains Enforcement Postponed to Spring ’23 for Production OrgsSalesforce ヘルプ : Experience Cloud とは?Salesforce ヘルプ : Salesforce サイト拡張ドメイン適用の背景主要なWebブラウザにて、サードパーティ Cookieをブロックすることが既定の動作となることがアナウンスされています。​Cookieとはなにかというと、Webサイトにアクセスしたユーザの情報を一時的にクライアントに保存しておくためにサーバから送信されたファイルです(ページ遷移やWebサイトへの再訪問に、同一ユーザー/ブラウザであることの判別に使用)。​サードパーティ Cookieとは、アクセスしたサイトとは異なるドメインから送られるCookieのことです。プライバシー保護の観点より、サードパーティcookieの利用に関する規制が強くなっている背景があり、各ブラウザでサードパーティ Cookieをブロックすることを既定の動作とする動きがあります。​その制限によりSalesforceのページで、異なるURLからコンテンツを読み込む際に問題が発生する可能性があります。例 : lightning.force.com というURLのページから、documentforce.com というURL を介してコンテンツを読み込む。このようなブラウザの最新要件にSalesforceも対応するため、URLを更新することを目的として「拡張ドメイン」の自動有効化を予定しています。拡張ドメイン適用までのロードマップSpring'23のリリースで、拡張ドメインがすべての組織で有効化されます。組織のすべての URL に [私のドメイン] の名前が含まれます。組織のすべてのURLからインスタンス名が除外されます。一部のURLのドメインサフィックスが変更されます。お客様による拡張ドメインの準備/テスト以前はHyperforce 組織 または Salesforce Edge Network が有効な組織でないと拡張ドメインを有効化することができませんでした。しかし本番組織 / Sandbox ともに一部の組織を除き、ほぼすべての組織で拡張ドメインが有効化できるようになりました。自動有効化される Spring'23 までに Sandbox での動作確認/テスト、組織における影響有無の確認、本番組織での有効化を推奨します。​▼参考情報Winter’23 Relase note : Enable Enhanced Domains (Release Update) Trailblazer Community : Enhanced Domains Available Everywhere Except Public Cloud Trailblazer Community : Enhanced Domains Enforcement Postponed to Spring ’23 for Production Orgs​▼補足 : リリース更新の画面​▼補足 : リリース更新「拡張ドメインを有効化」の画面​本番組織とSandbox/無償組織による自動有効化の違いSandbox(SSO連携組織は除く) や無償組織では Winter'23 で拡張ドメインが自動有効化されます。しかし、[私のドメイン]ページの[ Spring'23 まで拡張ドメインの適用を延長します]を有効化することで、有効化時期を Spring'23 まで延長することができます。​▼画面イメージSandboxの作成元組織で [ 新しい Sandbox と更新された Sandbox ではデフォルトで拡張ドメインが使用されます] が無効化されている場合、 作成されたSandboxは[Spring'23 まで拡張ドメインの適用を延長します]がONになります。[ 新しい Sandbox と更新された Sandbox ではデフォルトで拡張ドメインが使用されます] について、本番組織では既定で有効化されています。 その状態で本番組織を作成元としてSandboxを作成すると、Sandboxは拡張ドメインが有効化されます。尚、本番組織では[Spring'23 まで拡張ドメインの適用を延長します]が自動で有効化されています。また、SSO 連携している Sandbox 組織については自動有効化時期が Spring'23 となります。​拡張ドメイン適用による変更点本セクションでは、URLの用途と適用前後のURLをまとめています。本番組織のURL 形式SandboxのURL形式​SaleforceサイトやExperience CloudサイトのURLをみると、変更後のURLには私のドメインが指定されていることが確認できます。このように外部に公開しているURLが変更となります。​またVisualforceやコンテンツのURLをみると、すでに私のドメインが含まれているURLも更新されていることが確認できます。このようなかたちで拡張ドメインの適用によりお客様組織のURLが更新されます。​尚、すべてのURLについてご確認いただく場合は、ヘルプ「拡張ドメインを有効にする場合の [私のドメイン] の URL 形式の変更」を御覧ください。​​想定される影響URL を直接参照するようなカスタマイズ/インテグレーションがある場合など、エラーが発生する可能性があります。また拡張ドメインの有効化で、Experience CloudについてはCDNが使われるようになることも重要な変更点の1つです。拡張ドメイン有効化において想定される影響範囲として以下のようなものがあります。Salesforce の埋め込みコンテンツの一部が表示されなくなる可能性がある。サードパーティアプリケーションからデータへのアクセスができなくなる可能性がある。Sandbox とのシングルサインオンインテグレーションが失敗する可能性がある。*.cloudforce.com や *.database.com のドメインサフィックスを使用した組織では、変更される前のドメインサフィックスである *.cloudforce.com や *.database.com を使用したSSOやインテグレーションが失敗する可能性がある。組み込みサービスのコードスニペット機能では「*.force.com」が使用されるので、正しく動作しない可能性がある。Experience Cloud サイト、Salesforce サイト、Visualforce などへのアクセス時にエラーが発生する可能性がある。拡張ドメインが有効化されると、Experience Cloud サイト(*.my.site.com)で CDN が使用されます。また CDN では IPv6 がサポートされています。そのため以下の条件がそろうとアクセス時にエラーが発生する可能性がありますので、回避するためには、プロファイルの IP アドレス制限の設定に IPv6 のアドレス範囲を追加します。サイトにアクセスするユーザのプロファイルで、IP アドレス制限を IPv4 で設定している。ユーザが IPv6 で Experience Cloud サイトにアクセスする。Experience Cloud サイトで CDN が使用されると、JavaScript や CSS 等が CDN 経由で配信されます。また、 CDN は「https://static.lightning.force.com」でホストされます。そのため、Experience Cloud サイトへアクセスするユーザのネットワーク環境(ホワイトリストやファイアウォール)において、「https://static.lightning.force.com」が許可されていない場合、Experience Cloud サイトへのアクセス時にエラーが発生する可能性があります。▼参考情報Salesforce CDN for Digital Experiences with Enhanced DomainsSalesforce IPv4 and IPv6 supportCDN の有効化によるアプリケーションの読み込みの高速化​​お客様によるご準備Spring'23 のリリースは2023年2月12日に予定しています。前述の影響を事前に認識/対策するためにも Spring'23 リリースまでに下記を進めていただくことを推奨します。Sandbox で拡張ドメインを有効化します。Sandbox で影響箇所の有無を確認し、影響箇所があった場合の対応方法を検討します。確認箇所やテスト方法については、以下の参考情報をご覧ください。[私のドメイン] の変更に対する組織の更新[私のドメイン] の変更のテストSandbox で確認できた対応方法(インテグレーション/カスタマイズの改修など)を本番組織に適用します。URL が更新(時期や変更箇所)されることをユーザへアナウンスします(ブックマークの更新等)。お客様公開サイトやマニュアル等に配置されているリンクを変更します。拡張ドメイン有効化に関するステップはお客様組織の[リリース更新]でもご確認いただくことができます。お客様でのご準備にあたり、ご不明点等がございましたら弊社サポートまでお問い合わせください。​拡張ドメイン有効化後におけるURLのリダイレクト拡張ドメイン有効化後、以前のURLのアクセスは新しいURLへリダイレクトされますが、新しいURLへのリダイレクトはWinter'24で停止される予定です。URLの種類によってリダイレクトの動作が異なるため、以下に詳細を記載します。​Experience Cloud サイト等の外部に公開されている拡張ドメイン有効化前の force.com ドメインのURLは、Winter'24 のリリースで旧URLから新URLへのリダイレクトが停止します。また、管理者様にて[私のドメイン]ページの以下の設定を OFF にすることでリダイレクトを停止させることもできます。​その他(外部向けの force.comドメイン以外)の拡張ドメイン有効化前のURLについても、 Winter'24 のリリースでリダイレクトが停止します。また、管理者様にて[私のドメイン]ページの以下の設定を OFF にすることでリダイレクトを停止させることもできます。尚、拡張ドメイン有効化後に[私のドメイン]を変更すると、拡張ドメイン有効化前のURLはリダイレクトされません(1世代前までのURLのみリダイレクト可能)。​▼参考情報Prepare for the End of Redirections for Non-Enhanced Domains​リダイレクトに関するログの取得Winter’23 からURLのリダイレクトのログを CSV 形式でダウンロードすることが可能になります。このログを活用することで、URLの変更について、顧客やユーザーへのコミュニケーションプランを検討することができます。尚、本機能をご利用いただく場合、Winter'23 のリリース後に[私のドメイン]ページから機能(リダイレクトの記録)を有効化する必要があります。​リダイレクトのログには以下の留意点があるため、事前にご確認の上でご利用ください。ログは EventLogFile(イベントモニタリング)の領域に格納されますが、ログ自体は無料でダウンロード可能。Event Monitoring Analyticsではログは利用不可。APIでもログを取得することは可能だが、API バージョン 56 以降を利用する必要あり。ログは1つのファイルで作成され日次で更新されるため、最新の日次ログのみを取得可能。1時間以内に同一ホスト名に関するリダイレクトがあった場合はログに記録されないため、リダイレクト件数を正確に取得するものではない。​▼参考情報Log Your Redirected My Domain HostnamesHostname Redirects Event Type​関連リソースのまとめTrailblazer CommunityMy Domain and Enhanced Domains グループWinter’23 リリースノートEnable Enhanced Domains (Release Update)Winter’22 リリースノート拡張ドメインの有効化 (リリース更新)Summer’22 リリースノート拡張ドメインの有効化 (リリース更新)拡張ドメインを有効にした後のサイト URL のリダイレクト新規および更新後の Sandbox での拡張ドメインの使用ヘルプドキュメント/ナレッジ拡張ドメイン拡張ドメインを使用する理由拡張ドメインに関する考慮事項(*1)拡張ドメインを有効にする場合の [私のドメイン] の URL 形式の変更必要なドメインを許可拡張ドメインを使用するデジタルエクスペリエンスのコンテンツ配信ネットワークExperience Cloud 向け Mobile Publisher アプリケーションと拡張ドメインSalesforce ドメイン (「私のドメイン」 と拡張ドメイン) の変更に備えた準備Log Your Redirected My Domain HostnamesHostname Redirects Event TypePrepare for the End of Redirections for Non-Enhanced DomainsCDN の有効化によるアプリケーションの読み込みの高速化​FAQQ1 : 「[私のドメイン] の名前」が外部のURLに使用されることを回避することはできますか。A1 : 「[私のドメイン]の名前」を変更する方法とカスタムドメインを使用する方法があります。「私のドメイン」を変更すると、既存動作に影響を与える可能性もあるため、カスタムドメインを使用することを推奨しております。詳細は「拡張ドメインに関する考慮事項」の「公開 URL の変更」をご覧ください。​Q2 : 拡張ドメインが適用される前のURLにアクセスするとどうなりますか?A2 : 拡張ドメインで変更される URL では、古い URL にアクセスすると、alesforce がWinter'24でリダイレクトを停止するまで、新しいホスト名にリダイレクトされます。またリダイレクトの動作には以下の注意点がございますのでご確認ください。・拡張ドメインが有効になった後に「[私のドメイン] の名前」を変更すると、名前変更前のURLでのアクセスは名前変更後のURLにリダイレクトされますが、拡張ドメイン有効前のURLはリダイレクトされなくなります。(拡張ドメイン有効化以前のURLへリダイレクトが必要な場合には、拡張ドメイン有効化後に「[私のドメイン] の名前」を変更をしないで下さい)・「以前の[私のドメイン]を削除」ボタンを押下すると、リダイレクトはされなくなります。・「以前の [私のドメイン] の URL を現在の[私のドメイン]にリダイレクト」のチェックをOFFにしてテストをする事で、リダイレクトされなくなるので問題が発生する部分を確認する事ができます。​Q3 : Salesforce Edge Networkが有効になっていることはどこで確認できますか?A3 : [設定] > [クイック検索] >「私のドメイン」と入力し、[私のドメイン]を選択してください。 [ルーティング] セクションでご確認いただくことができます。詳細は 「拡張ドメインの前提条件」の「組織が Salesforce Edge Network の対象かどうかの判断」をご覧ください。尚、現在はSalesforce Edge Networkが無効でも拡張ドメインは有効化できます(参考情報 : Enhanced Domains Available Everywhere Except Public Cloud)​Q4 : Experience Cloud サイトや Salesforce サイトを使用していない場合は、影響はありませんか。A4 : 外部向けのURLだけではなく、内部向けのURLが更新されるものもございます(Visualforceなど)。これによりAppExchangeパッケージやお客様のカスタマイズに影響がある可能性もございますので、Experience Cloud サイトや Salesforce サイトを使用していない場合も、Sandboxでの動作確認/テストを推奨します。​Q5 : Salesforce Edge Networkも自動有効化の対象でしょうか。A5 : いいえ。Salesforce Edge Networkは自動有効化の対象ではありません。​Q6 : 現在使用しているカスタムドメインには影響はありますか?A6 : Experience Cloud サイトや Salesforce サイトで使用するカスタムドメイン自体には影響はありません。CDN 等の外部 HTTPS ベンダーでカスタムドメインを使用している場合、外部 HTTPS ベンダーが Salesforceへの転送先ドメインを変更する必要がある場合があります。詳細は「ドメインの外部 HTTPS の有効化」を参照ください。​Q7 : API接続には影響があるのでしょうか?A7 : Sandbox についてはURLに「sandbox」という文字列が追加されるため、影響がでる可能性があります。また、.cloudforce.com や .database.com のドメインサフィックスを使用した組織では、変更される前のドメインサフィックスである .cloudforce.com や .database.com を使用したインテグレーションで失敗する可能性があります。​Q8 : 拡張ドメインの有効化後に何かしらの問題が発生した場合にはどのように対応したらよいでしょうか?A8 : 自動有効化の前であれば拡張ドメインは有効化/無効化を実施することが可能です。自動有効の前に拡張ドメインを有効にする事で、何か問題が発生しても拡張ドメインを戻せるため、問題に対応する時間が取れます。もし、何かしらの問題が確認された場合は、弊社サポートにお問合せ下さい。​​​​

  • 認証情報の管理におけるベストプラクティス(セッション情報の管理)

    この記事で学べること認証情報の管理の重要性セッションを管理するための設定認証情報の管理の重要性最も基本的な対策はユーザ自身による管理の徹底です。ユーザが認証情報(パスワードやセッション情報など)を適切に管理していない場合、第三者による意図しないアクセスを招く可能性があります。業務を終える際には必ずSalesforceからログアウトすることを徹底するなど、ユーザ自身による日常的な対策もセキュリティの観点で重要です。セッション情報のセキュリティ認証情報に起因するセキュリティリスクを軽減するために、Salesforceには様々な機能が用意されています。このドキュメントでは、認証情報の一つである「セッション情報」のセキュリティを強化するための機能について取り上げます。​セッション設定セッション設定を見直すことで、セッション情報が流出した場合のリスクを軽減することができます。*1)接続アプリケーションのセッションポリシーの管理(ヘルプ)*2)接続アプリケーションの IP 制限の緩和および IP の継続的な適用(ヘルプ)各設定方法およびその他の関連する設定については、「セッションセキュリティ設定の変更」(ヘルプ)をご参照ください。尚、表に記載されている設定が適用される範囲は以下の通りです。​「すべての要求でログイン IP アドレスの制限を適用」は他のいくつかの設定と連動しながら動作します。当設定を有効化する場合は、以下の順序で検討してください。*1)拡張プロファイルユーザインターフェースでのログイン IP アドレスの制限(開発者ドキュメント)*2)セッションセキュリティ設定の変更(ヘルプ)*3)接続アプリケーションの IP 制限の緩和および IP の継続的な適用(ヘルプ)認証情報が流出した場合の対処万が一、セッション情報などの認証情報を第三者に流出させてしまった場合、影響範囲を限定的にするために早期対処が鍵となります。*1)ユーザのパスワードのリセット(ヘルプ)*2)Salesforce 多要素認証に関する FAQ(ナレッジ)*3)ユーザセッション(ヘルプ)*4)現在の OAuth 接続アプリケーションセッションの管理(ヘルプ)参考情報Salesforce セキュリティガイド(開発者ガイド)接続アプリケーションのセッションポリシーの管理(ヘルプ)セキュリティ状態チェック(ヘルプ)

  • MFAによるランサムウェア対策

    IPA(独立行政法人情報処理推進機構)は、その年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から脅威候補を選出し、情報セキュリティ分野の有識者が審議・投票を行い決定したものを「情報セキュリティ 10大脅威」として公開しています。2021年度、「ランサムウェアによる被害」が昨年5位から1位にランクを上げて注目を浴びています。(出典:IPA(情報処理推進機構) 情報セキュリティ 10大脅威 2021 組織別順位・2021年8月23日)​ランサムウェアとは、マルウェアの一種です。特徴は、ランサムウェアに感染したコンピュータは、利用者のシステムへのアクセスを制限されてしまう。(暗号化、ロックなど)この制限を解除するための身代金を要求すること。身代金を払うことでその制限を解除するという犯罪に利用される。​日本国内でもランサムウェアによる被害が多数報告されています。2021年7月、ランサムウェアによる攻撃を受け、財務/販売管理の基幹システムやファイルサーバ、グループネットワークで運用していた販売管理システムや財務会計システムが暗号化された事例がありました。この事例で特徴的なのは、BCP(事業継続計画)として用意していたバックアップサーバも暗号化されて、業務復旧までに想定以上の時間を要し、四半期決算報告を延期せざるをえない結果となった点です。​同様に、10大脅威の3位にランキングしている「テレワーク等のニューノーマルな働き方を狙った攻撃」、8位の「インターネット上のサービスへの不正ログイン」に関しても、ランサムウェアによる攻撃につながる脅威として対応が求められます。​ランサムウェア対策の一つとして、MFA(多要素認証)を活用してユーザ認証を実施することにより、情報漏洩リスクを低減することが可能です。​コロナウイルス禍の影響で、ニューノーマルと言われる、クラウドシフトした業務システムの利用やリモートワークのような働き方改革が一般的になりました。ただ、企業のセキュリティ対策が、この変化に対応が取れていないのが現状です。従来のセキュリティ対策は、社員がオフィスへ出社し、イントラネットワークからアクセスすることを想定したものでした。ファイアウォールによって社内ネットワークをインターネットから切り離し、社外からのアクセスをチェックしていた境界防御です。ニューノーマルにおいては、境界をまたぐ形で社員からのアクセスや業務システムへの通信が発生し、外と内に分ける考え方では制御しきれない状況となりました。​ランサムウェアによる攻撃の例として、悪意の第三者が社内ネットワークにリモートからVPN接続するために必要なIDとパスワードを詐取した場合、従来型のセキュリティ対策ではプロアクティブに犯行を発見/防止することが困難です。社内ネットワークへ侵入した悪意の第三者は、正規ユーザとして社内の重要な資産にアクセスが可能で、その制御や発見するすべもありません。インターネットサービスの利用に関しては、企業内部からのアクセスを許可するIPアドレス制限をかけていたとしても、社内ネットワーク経由の接続は全て許可され、本人確認のチェックが効きません。詐取されたIDとパスワードを利用し、インターネットサービス上の業務システムから重要情報を取得し、社外へ持ち出されてしまいます。​ランサムウェア対策としてMFAを活用する背景には、ゼロトラストという「誰も信用しない」という考え方に基づき、ユーザを認証して社内外のアクセスをコントロールする必要性があるからです。全てのユーザはMFAという「関所」にアクセスし、認証された結果に応じて適切なアクセス権を付与されます。また、必要なタイミングでアクセス権を確認し、ユーザのコントロールと可視化をMFAは実現できます。​セールスフォース社の場合、全社員がVPN経由で社内ネットワークにアクセスする際、IDとパスワード以外にMFAによる認証が求められます。社内ネットワーク接続後も、重要な社内情報を閲覧する際にもMFAによる認証を求められ、アクセス権を有する社員かどうかをチェックする体制を取っております。​2022年2月1日から、セールスフォース社はサービスログイン時にMFAによる認証を必須とします。この背景には、上述のゼロトラストの思想より、ランサムウェアによる攻撃を防止することにあります。​インターネット上のサービスへの不正アクセスへの対策としてMFAが有効なのは、ゼロトラストの観点から、IDやパスワードでチェックするだけではなく、ユーザ個人が有するデバイスを活用して多面的に認証をかける点にあります。アクセス元のIPアドレスの制御に加えて、アクセスを試みたユーザが本人なのか、接続するたびにチェックをかけることによって、情報漏洩のリスクを軽減することが可能となります。​​

Salesforceについてもっと学ぶ

Salesforce活用に役立つメルマガ登録

システム管理者のみなさまにおすすめの活用ウェブセミナーや、Salesforceでビジネスを推進いただくために有益なコンテンツを毎月お届けします。

Follow us!

Twitter公式アカウント

Salesforce活用に役立つメルマガ登録(毎月配信)

  • 私は、個人情報保護基本方針プライバシーに関する声明個人情報利用についての通知に同意します。 特に、プライバシーに関する声明で定めるとおり、情報のホスティングと処理を目的として私の個人データをアメリカ合衆国を含む国外に転送することを許可します。詳細私は、海外では日本の法律と同等のデータ保護法が整備されていない可能性があることも理解しています。詳細はこちらでご確認ください

  • 私は、Salesforce の製品、サービス、イベントに関するマーケティング情報の受け取りを希望します。私は、当該マーケティング情報の受け取りを私がいつでも停止できることを理解しています。