Salesforceサイトでのセキュリティ設定の注意喚起について

＜目次＞

【概要】

株式会社セールスフォース・ドットコムより、Salesforceサイトを利用した製品において、不適切な権限付与により情報が漏洩したというお知らせが公開されております。

本件はSalesforce基盤で脆弱性が見つかったというわけではなく、権限設定の誤りによるものであり、Salesforceサイトを利用していると必ず発生するという事象ではありません。

セルフサービスポータルをご利用されているお客様

弊社の製品、「LMIS/セルフサービスポータル」にて該当のSalesforceサイト機能を利用しておりますが、現時点ではSalesforceヘルプに記載されているような設定不備はなく、漏洩が起きる危険性は確認されておりません。

今後、Salesforce社より連携される詳細な資料を基に確認作業を進めて参ります。

※2021年1月27日更新

Salesforce社より連携された資料に基づき、「LMIS/セルフサービスポータル」で設定の問題がないかを確認致しました。

「LMIS/セルフサービスポータル」においては、マニュアルの記述に従って設定を行っているのであれば問題ないことが確認されました。

もしも、マニュアルに記述以外の設定をしている場合は設定を元に戻すか、Salesforceヘルプ「ゲストユーザセキュリティポリシーのベストプラクティス」を参考に設定を行ってください。

※2021年6月1日更新

「ゲストユーザの Lightning 機能」、「APIの有効化」権限についての注意事項を追記いたします。

「LMIS/セルフサービスポータル」のサイト設定の「ゲストユーザの Lightning 機能」、およびサイトゲストユーザプロファイルの「APIの有効化」に、権限を付与していると、外部からのAPIアクセスを可能とする権限になり情報漏洩などのセキュリティリスクが高くなります。

「LMIS/セルフサービスポータル」では不要な権限となっておりますので、「ゲストユーザの Lightning 機能」、「APIの有効化」権限が付与されていないか、お客様の環境でご確認いただきますようお願いいたします。

また権限が付与されているようであれば、権限を外していただくようにお願いいたします。

その他、AzureDevOps連携機能でも、「LMIS/セルフサービスポータル」と同じサイトの機能を使用しますが、そのサイトに関しては、ゲストユーザプロファイルに「APIの有効化」の権限が必要となります。

「LMIS/セルフサービスポータル」のサイトとは別サイトでご利用いただくようお願いいたします。AzureDevOps連携に関しては、マニュアル「オペレーションズガイド　外部連携機能(Lightning)」を参照してください。

システム管理者で確認をしてください。

1．[設定]-[クイック検索]にて「サイト」を入力します。検索された「サイト」をクリックします。

2．「サイト」画面が表示されます。お客様で使用している「LMIS/セルフサービスポータル」の「サイトの表示ラベル」をクリックします。

3．「サイトの詳細」画面が表示されます。[編集]ボタンをクリックします。

4．編集画面が表示されます。「ゲストユーザの Lightning 機能」にチェックが入っている場合はチェックを外し、[保存]ボタンをクリックします。

5．「サイトの詳細」画面が表示されます。[公開アクセス設定]ボタンをクリックします。

6．「プロファイル」の詳細画面が表示されます。[編集]ボタンをクリックします。

7．下にスクロールし「システム管理者権限」の欄を確認します。「API の有効化」項目にチェックがついているかを確認します。

環境によって項目が表示されていない場合があります。その場合は対応不要です。

8．API の有効化」項目にチェックが付いている場合はチェックを外します。

9．一番下までスクロールし、[保存]ボタンをクリックします。

これで、確認は完了です。