この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

セッションセキュリティ設定の変更

セッションセキュリティ設定を変更して、セッション接続タイプ、タイムアウト設定、IP アドレス範囲を指定し、悪意のある攻撃などから保護できます。
使用可能なインターフェース: Salesforce Classic および Lightning Experience の両方

[ログイン時の IP アドレスとセッションをロックする] 設定を使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition

他のすべての設定を使用可能なエディション: Essentials Edition、Personal Edition、Contact Manager Edition、Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition


必要なユーザ権限
セキュリティ設定を変更する 「アプリケーションのカスタマイズ」
  1. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  2. セッションセキュリティ設定をカスタマイズします。
    項目 説明
    タイムアウト値 無効ユーザがログアウトされるまでの時間。ポータルユーザの場合、タイムアウトを 15 分に設定することはできても、タイムアウトは 10 分~ 24 時間になります。15 分から 24 時間の範囲の値を選択します。厳重なセキュリティが必要な機密情報がある場合は、より短いタイムアウト期間を選択してください。

    タイムアウト期間の半分が過ぎるまで、最終アクティブセッション時間値は更新されません。そのため、タイムアウトが 30 分の場合、15 分が過ぎるまで操作を行っているかどうかチェックされません。たとえば、10 分後にレコードを更新すると、15 分後には操作を行っていなかったため、最終アクティブセッション時間値は更新されません。最終アクティブセッション時間が更新されなかったため、操作した 20 分後 (計 30 分後) にログアウトされます。20 分後にレコードを更新するとします。これは、最終アクティブセッション時間がチェックされてから 5 分後です。タイムアウトがリセットされるため、ログアウトされるまであと 30 分 (計 50 分) あります。

    メモ

    セッションタイムアウト時の警告ポップアップを無効にする タイムアウト警告メッセージを無効ユーザに向けて表示するかどうかを決定します。[タイムアウト値] で指定されたタイムアウトの 30 秒前に注意を促すメッセージが表示されます。
    セッションタイムアウト時に強制的にログアウト 無効なユーザのセッションがタイムアウトすると、現在のセッションが強制的に無効になります。ブラウザが更新され、ログインページに戻ります。組織にアクセスするには、再ログインする必要があります。

    この設定を使用する場合、[セッションタイムアウト時の警告ポップアップを無効にする] は選択しないでください。

    メモ

    ログイン時の IP アドレスとセッションをロックする ユーザのセッションをユーザがログインした IP アドレスにロックして、認可されていないユーザによる有効なセッションの乗っ取りを防止するかどうかを決めます。

    この設定は、さまざまなアプリケーションやモバイルデバイスの機能を妨げる可能性があります。

    メモ

    セッションを最初に使用したドメインにセッションをロックする コミュニティユーザなどのユーザの現在の UI セッションを特定のドメインに関連付けます。この設定は、別のドメインでのセッション ID の不正使用防止に役立ちます。この設定は、Spring '15 リリース以降に作成された組織ではデフォルトで有効になっています。
    セキュアな接続 (HTTPS) が必要 Salesforce へのログインまたはアクセスに HTTPS が必要かどうかを決定します。

    セキュリティ上の理由により、この設定はデフォルトで有効になっています。この設定は、API 要求には適用されません。すべての API 要求には HTTPS が必要です。

    コミュニティと Lightning Platform サイトで HTTPS を有効にするには、「サイトとコミュニティの HSTS」を参照してください。

    [ユーザのパスワードをリセットする] ページには、HTTPS を使用してのみアクセスできます。

    メモ

    すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要 サードパーティドメインへの接続に HTTPS が必要かどうかを決定します。

    Summer '17 リリース以降に作成された取引先では、この設定がデフォルトで有効になっています。

    ユーザとしてログインしてから再ログインを強制する 別のユーザとしてログインしているシステム管理者がセカンダリユーザとしてログアウトした後、以前のセッションに戻れるかどうかを決めます。

    この設定をオンにすると、システム管理者がユーザとしてログアウトした後に Salesforce を使用し続けるためにはログインし直す必要があります。オフにした場合は、システム管理者がユーザとしてログアウトした後で元のセッションに戻ります。Summer '14 リリース以降の新しい組織では、この設定がデフォルトで有効になっています。

    ユーザがより少ない制限でコミュニティユーザまたはポータルユーザとしてログインできるようにする コミュニティユーザまたはポータルユーザとしてログインするために必要になるのは、取引先の編集権限とポータルユーザの管理機能のみです。この設定を有効にすると、より多くのユーザがコミュニティユーザまたはポータルユーザとしてログインできるようになるため、コミュニティとポータルのセキュリティが低下する可能性があります。
    HttpOnly 属性が必要 セッション ID Cookie アクセスを制限します。HttpOnly 属性を持つ Cookie は、JavaScript からのコールなど、非 HTTP メソッドではアクセスできません。

    JavaScript を使用してセッション ID の Cookie にアクセスするカスタムアプリケーションまたはパッケージアプリケーションを使用している場合は、[HttpOnly 属性が必要] を選択するとアプリケーションが停止します。これは、Cookie へのアプリケーションのアクセスが拒否されるためです。[HttpOnly 属性が必要] が選択されている場合は、AJAX Toolkit のデバッグウィンドウを使用できません。

    メモ

    クロスドメインセッションで POST 要求を使用 クロスドメイン交換でセッション情報が GET 要求ではなく POST 要求を使用して送信されるように組織を設定します。クロスドメイン交換の例として、ユーザが Visualforce ページを使用している場合が挙げられます。POST 要求ではセッション情報がリクエストボディに保持されるため、このコンテキストでは GET 要求よりも POST 要求のほうが安全です。ただし、この設定を有効にすると、別のドメインから埋め込まれたコンテンツ
    1<img
    2                    src="https://acme.force.com/pic.jpg"/>
    などが表示されないことがあります。
    すべての要求でログイン IP アドレスの制限を適用 ユーザが Salesforce にアクセスできる IP アドレスを、[ログイン IP アドレスの制限] に定義されている IP アドレスのみに制限します。この設定をオンにすると、クライアントアプリケーションからの要求を含め、各ページ要求でログイン IP アドレスの制限が適用されます。この設定をオフにすると、ユーザがログインする場合にのみログイン IP アドレスの制限が適用されます。この設定は、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。
    ログインページでキャッシングとオートコンプリート機能を有効にする ユーザのブラウザがユーザ名を保存できるようにします。オンにすると、初回ログインの後、ユーザ名がログインページの [ユーザ名] 項目に自動入力されます。ユーザがログインページで [ログイン情報を保存する] を選択した場合、セッションが期限切れになったりユーザがログアウトしたりした後でも、ユーザ名が保持されます。ユーザ名は、スイッチャにも表示されます。すべての組織で、この設定がデフォルトで選択されています。

    この設定をオフにすると、[ログイン情報を保存する] オプションは、組織のログインページにもスイッチャにも表示されません。

    メモ

    パフォーマンスを向上させるためにブラウザの安全で永続的なキャッシュを有効にする ブラウザの安全なデータキャッシュを有効にし、サーバとの往復処理の増加を避けることでページの再読み込みパフォーマンスを向上させます。すべての組織で、この設定がデフォルトで選択されています。

    この設定を無効にすることはお勧めしません。ただし、データが暗号化されている場合でも会社のポリシーによりブラウザのキャッシュが許可されない場合は、無効にしてもかまいません。

    この設定を無効にすると、Lightning Experience のパフォーマンスに対して重大な悪影響があります。

    警告

    ユーザの切り替えを有効化 組織のユーザがプロファイル写真を選択したときに、スイッチャを表示するかどうかを決定します。すべての組織で、この設定がデフォルトで選択されています。[ログインページでキャッシングとオートコンプリート機能を有効にする] 設定も有効にする必要があります。組織が他の組織のスイッチャに表示されないようにするには、[ユーザの切り替えを有効化] 設定をオフにします。これにより、組織のユーザがプロファイル写真を選択したときも、スイッチャが表示されなくなります。
    ログアウトするまでログイン情報を保存します

    通常、ユーザ名は、セッションがアクティブである期間、またはユーザが [ログイン情報を保存する] を選択した場合にのみキャッシュされます。SSO セッションでは、ユーザ名を記憶するオプションが使用できません。セッションが期限切れになると、ユーザ名は、ログインページとスイッチャに表示されなくなります。[ログアウトするまでログイン情報を保存します] を有効にすると、ユーザが明示的にログアウトした場合にのみキャッシュされたユーザ名が削除されます。セッションがタイムアウトしても、ユーザ名はスイッチャに無効として表示されます。ユーザは、自分のコンピュータを操作していてセッションがタイムアウトになった場合、ユーザ名を選択して再認証できます。ユーザが共有コンピュータを操作している場合、ユーザがログアウトすると、ユーザ名はただちに削除されます。

    この設定は、すべての組織のユーザに適用されます。このオプションはデフォルトで有効になっていません。ただし、ユーザの便宜のため、有効にすることをお勧めします。組織がログインページで SSO または認証のすべてのプロバイダを公開していない場合は、この設定を無効にしてください。

    SMS による ID 確認を有効にする ユーザが SMS 経由で配信される 1 回限りの PIN を受信できるようにします。この設定をオンにすると、システム管理者またはユーザは、この機能を利用する前に、携帯電話番号を確認する必要があります。すべての組織で、この設定がデフォルトで選択されています。
    コールアウトから API ログインするためのセキュリティトークンが必要 (API バージョン 31.0 以前) API バージョン 31.0 以前では、コールアウトからの API ログインにセキュリティトークンを使用する必要があります。例として、Apex コールアウトや AJAX プロキシを使用したコールアウトが挙げられます。API バージョン 32.0 以降では、デフォルトでセキュリティトークンが必要です。
    [ログイン IP アドレスの制限] (Contact Manager Edition、Group Edition、および Professional Edition) IP アドレスの範囲を指定します。ユーザはこの範囲内 (指定した両端を含む) の IP アドレスからログインする必要があり、範囲外からはログインできません。

    範囲を指定するには、[新規] をクリックし、開始 IP アドレスと終了 IP アドレスを入力して、開始値と終了値を含む範囲を定義します。

    この項目は、Enterprise Edition、Unlimited Edition、Performance Edition、および Developer Edition では使用できません。これらのエディションでは、有効な [ログイン IP アドレスの制限] をユーザプロファイル設定に指定できます。

    セキュリティキー (U2F) の使用をユーザに許可 ユーザは 2 要素認証や ID 検証に U2F セキュリティキーを使用できます。Salesforce Authenticator、認証アプリケーションによって生成されたワンタイムパスワード、またはメールや SMS で送信されたワンタイムパスワードを使用する代わりに、登録された U2F セキュリティキーを USB ポートに挿して検証を完了します。
    2 要素認証の登録時に ID 検証が必要 2 要素認証方式 (Salesforce Authenticator nado) を追加するには、ユーザは以前のように再ログインするのではなく ID を確認する必要があります。
    メールアドレスの変更に ID 検証が必要

    メールアドレスを変更するには、ユーザは以前のように再ログインするのではなく ID を確認する必要があります。

    ID 確認メールを取得するには、ユーザは以前に登録されたメールアカウントにアクセスできる必要があります。

    メモ

    Salesforce Authenticator でロケーションベースの自動検証を許可
    • 信頼済み IP アドレスからのみ許可
    ユーザは自宅やオフィスなどの信頼できる場所にいるときはいつでも Salesforce Authenticator で通知を自動的に承認して ID を検証できます。自動検証を許可する場合、すべての場所で許可することも、信頼できる IP アドレス (社内ネットワークなど) のみに制限することもできます。
    Lightning Login を許可 ユーザは Lightning Login を使用して、ID 検証で Salesforce Authenticator を信頼し、パスワードを使用せずに Salesforce にログインできます。
    ログアウトイベントストリームを有効化 ユーザのログアウトイベントを記録します。

    この設定では、タイムアウトイベントが記録されません。

    メモ

    設定ページのクリックジャック保護を有効化 Salesforce の設定ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます([設定] ページは [設定] メニューから使用できます)。
    設定以外の Salesforce ページのクリックジャック保護を有効化 設定以外の Salesforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。設定ページにはクリックジャック攻撃に対する保護がすでに含まれています([設定] ページは [設定] メニューから使用できます)。すべての組織で、この設定がデフォルトで選択されています。
    標準ヘッダーがある Visualforce ページのクリックジャック保護を有効化 ヘッダーが有効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。

    フレームまたは iframe 内でカスタム Visualforce ページを使用すると、空白のページが表示されたり、ページがフレームなしで表示されたりすることがあります。たとえば、クリックジャック保護がオンになっていると、ページレイアウトの Visualforce ページが機能しません。

    警告

    ヘッダーが無効化された Visualforce ページのクリックジャック保護を有効化 ページで showHeader="false" を設定するときに、ヘッダーが無効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。

    フレームまたは iframe 内でカスタム Visualforce ページを使用すると、空白のページが表示されたり、ページがフレームなしで表示されたりすることがあります。たとえば、クリックジャック保護がオンになっていると、ページレイアウトの Visualforce ページが機能しません。

    警告

    設定ページ以外の GET 要求の CSRF 保護を有効化 設定以外のページを変更して、クロスサイトリクエストフォージェリ (CSRF) 攻撃から保護します。設定以外のページでランダムな文字列を URL パラメータに挿入するか、非表示のフォーム項目として追加します。GET および POST 要求が実行されるたびに、アプリケーションがこの文字列の有効性をチェックします。期待される値に一致する値が見つからない限り、アプリケーションはコマンドを実行しません。すべての組織で、この設定がデフォルトで選択されています。
    設定ページ以外の POST 要求の CSRF 保護を有効化
    XSS 保護 反射型クロスサイトスクリプティング攻撃から保護します。反射型クロスサイトスクリプティング攻撃が検出されると、コンテンツのない空白のページがブラウザに表示されます。
    コンテンツ盗聴保護 ブラウザでドキュメントコンテンツから MIME タイプが推定されないようにします。また、ブラウザで悪意のあるファイルが動的コンテンツ (JavaScript、スタイルシート) として実行されないようにします。
    参照元 URL 保護 ページを読み込むとき、参照元ヘッダーには URL 全体ではなく Salesforce.com のみが表示されます。この機能により、完全な URL だと公開されてしまう可能性のある機密情報 (組織 ID など) が参照元ヘッダーに表示されなくなります。この機能は、Chrome と Firefox でのみサポートされています。
    サイトとコミュニティの HSTS コミュニティおよび Lightning Platform サイトで HTTPS を要求します。

    この設定を 2 つの場所で有効にする必要があります。[セッションの設定] で [サイトとコミュニティの HSTS] を有効にする必要があり、コミュニティまたは Lightning Platform サイトのセキュリティ設定で [セキュアな接続 (HTTPS) が必要] を有効にする必要があります。「Force.com サイトの作成と編集」を参照してください。

    メモ

    Salesforce の外部にユーザをリダイレクトする前にユーザに警告する ユーザが Salesforce から別のドメインに移動する場合、警告メッセージを表示します。この警告メッセージには、外部 URL への完全なリンクとドメイン名が含まれます。この機能を使用して、ユーザを悪意のある URL やフィッシングから保護してください。
    ログアウト URL ユーザが Salesforce からログアウトした後、認証プロバイダのページやカスタムブランドのページなど、特定のページにユーザをリダイレクトします。この URL は、ID プロバイダ、SAML シングルサインオン、または外部認証プロバイダの設定でログアウト URL が指定されていない場合にのみ使用されます。[ログアウト URL] に値が指定されていない場合、[私のドメイン] が有効でなければ https://login.salesforce.com がデフォルトになります。[私のドメイン] が有効な場合のデフォルトは https://customdomain.my.salesforce.com です。
  3. [保存] をクリックします。

セッションセキュリティレベル

ユーザの現在のセッションに対する認証 (login) メソッドに関連付けられたセキュリティレベルに基づいて、特定のタイプのリソースへのアクセスを制限できます。デフォルトで、各 login メソッドには [標準] または [高保証] という 2 つのセキュリティレベルのいずれかが設定されています。セッションのセキュリティレベルを変更してポリシーを定義することで、指定したリソースを使用できるユーザを [高保証] レベルのユーザのみに限定できます。

デフォルトでは、次のように認証メソッドごとに異なるセキュリティレベルが割り当てられています。
  • ユーザ名およびパスワード — 標準
  • 代理認証 — 標準
  • 有効化 — 標準
  • Lightning Login — 標準
  • 2 要素認証 — 高保証
  • 認証プロバイダ — 標準
  • SAML — 標準

    SAML セッションに対するセキュリティレベルも、ID プロバイダによって送信される SAML アサーションの SessionLevel 属性を使用して指定できます。属性は、STANDARD または HIGH_ASSURANCE という 2 つの値のいずれかに設定できます。

    メモ

Login メソッドに関連付けられたセキュリティレベルを変更する手順は、次のとおりです。
  1. [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
  2. [セッションセキュリティレベル] で、login メソッドを選択します。
  3. メソッドを適切なカテゴリに移動するには、[追加] または [削除] 矢印をクリックします。
現在、セッションレベルのセキュリティを使用する機能は、Salesforce のレポートおよびダッシュボードと接続アプリケーションのみです。これらのタイプのリソースに高保証を求めるポリシーを設定できます。また、リソースへのアクセスに使用されるセッションが高保証でない場合に実行するアクションも指定できます。サポートされるアクションは次のとおりです。
  • ブロックする — 権限が不��分であるというエラーを表示して、リソースへのアクセスがブロックされます。
  • セッションレベルを上げる— 2 要素認証の完了を促すメッセージをユーザに表示します。ユーザが認証に成功すると、リソースにアクセスできます。レポートおよびダッシュボードの場合、ユーザがレポートまたはダッシュボードにアクセスするとき、あるいはレポートまたはダッシュボードをエクスポートして印刷するときに、このアクションを適用できます。

Lightning Experience では、ユーザをリダイレクトして 2 要素認証を完了し、セッションレベルを高保証に上げることは、サポートされていません。組織で Lightning Experience が有効化されていて、レポートとダッシュボードへのアクセスに高保証セッションが必要なポリシーをユーザが設定している場合、標準保証セッションの Lightning Experience ユーザはレポートとダッシュボードからブロックされます。また、ナビゲーションメニューにはこれらのリソースのアイコンが表示されません。回避策として、標準保証セッションのユーザはログアウトしてから、組織によって高保証として定義された認証方法を使用して再度ログインできます。その後ユーザはレポートとダッシュボードにアクセスできます。または、Salesforce Classic に切り替えることができます。この場合、レポートとダッシュボードにアクセスするときに、セッションレベルを上げるように促されます。

警告

接続アプリケーションにアクセスするために、高保証を必要とするポリシーを設定する手順は、次のとおりです。
  1. [設定] から、[クイック検索] ボックスに「接続アプリケーション」と入力し、接続アプリケーションを管理するオプションを選択します。
  2. 接続アプリケーションの横にある [編集] をクリックします。
  3. [高保証セッションが必要です] を選択します。
  4. 表示されるアクションのいずれかを選択します。
  5. [保存] をクリックします。
レポートおよびダッシュボードにアクセスするために、高保証を必要とするポリシーを設定する手順は、次のとおりです。
  1. [設定] から、[クイック検索] ボックスに「アクセスポリシー」と入力し、[アクセスポリシー] を選択します。
  2. [高保証セッションが必要です] を選択します。
  3. 表示されるアクションのいずれかを選択します。
  4. [保存] をクリックします。

セッションレベルは、明示的なセキュリティポリシーが定義された接続アプリケーション、レポート、およびダッシュボードを除き、アプリケーションのリソースに影響を及ぼしません。