セールスフォース・ドットコムからのお知らせ

Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について

セールスフォース・ドットコムは、お客様のデータのセキュリティがお客様のビジネスに不可欠であることを理解しており、データの保護には細心の注意を払っています。

 

背景

当社では、アクセス制御の権限設定について、認証されていないユーザ(以下「ゲストユーザ」)に対して意図した以上の情報にアクセスを許可してしまう可能性があることに懸念を持たれているお客様がいらっしゃることを認識しております。この潜在的な問題は、コミュニティ、Salesforce サイト(旧 Force.com サイト)、および Site.comのサイト上に構築する公開サイト機能をご利用のお客様にのみ発生する事象です。

これは、Salesforce プラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。

 

お客様にとっていただきたいアクション

すでにコミュニティならびにサイトをご利用のすべてのお客様にお伝えしている通り、ゲストユーザのアクセス制御の権限設定の再確認を支援するパッケージ「ゲストユーザ アクセスレポート」を利用することをお勧めします。また、以下のヘルプ記事「ゲストユーザプロファイルを設定する際のベストプラクティスと考慮事項」を確認することもあわせてお勧めします。

アクセス制御の権限設定の見直しや構成に支援が必要なお客様は、いつでも Salesforce ヘルプからケースを起票いただくか、SIパートナーにご相談ください。

 

セールスフォース・ドットコムのアクション

セールスフォース・ドットコムでは、各リリースの前に積極的にお客様に連絡を取り、リリースノートをご確認いただくことを推奨しております。また、個別にお客様に連絡を取り、お客様にてアクセス制御の権限設定を再確認し、ビジネスおよび業界の要件に沿った最も安全な方法で設定いただくよう推奨しています。

Salesforce Winter '21 のリリースでは、最小権限(注1)とセキュア・バイ・デフォルト(注2)での安全性の原則に基づいたゲストユーザセキュリティポリシーの強制適用を開始しました。これまではゲストユーザ権限の多くは、お客様側で設定が可能でした。

「ゲストユーザプロファイルを設定する際のベストプラクティスと考慮事項」をご案内するために、お客様にわかりやすい補足的な資料をご用意しました。また、当社では、SIパートナーのお客様支援を円滑にするために、ウェビナートレーニングを開催しました。

セールスフォース・ドットコムは、お客様のご懸念を真摯に受け止め、引き続きお客様をサポートするために、これらの支援を続けてまいります。

当社にとって「信頼」は最も重視する価値観です。セールスフォース・ドットコムは常にお客様に寄り添い、ご支援してまいります。

 

(注1)最小権限とは、ユーザーにとって必要な最小限のアクセス権限をユーザーに与えることを指します。
(注2)セキュア・バイ・デフォルトとは、初期設定(デフォルト)の状態が可能な限り最も安全な状態とすることを指します。