Apex トランザクションセキュリティの高度な実装例
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
異なる IP アドレス からのログイン
この例では、過去 24 時間でいずれかのユーザが異なる IP アドレスからログインしたときにトリガされるポリシーが実装されています。
特定の IP アドレス からのログイン
この例では、セッションが特定の IP アドレスから作成されたときにトリガされるポリシーが実装されています。
データのエクスポート
- UI で表示
- SOQL クエリを使用してエクスポート
- リストビューからエクスポート
- レポートからエクスポート
機密データへのアクセス
このポリシーは、特定のレポートにアクセスする全員に 2 要素認証の使用を義務付けます。
Salesforce の四半期レポートには非公開の機密データを記載できます。レポートにアクセスするチームが、このデータを参照する前に必ず高保証の 2 要素認証 (2FA) を使用するようにします。このポリシーは 2FA を義務付けますが、チームが 2FA の要件を満たす手段がなければ高保証セッションを提供できません。前提条件として、まず Salesforce 環境に 2FA を設定します。
この例では、特定のレポートに 2FA を適用するポリシーの機能が強調表示されています。ここで定義されるレポートは、「Quarterly Report」 (四半期レポート) という名前のレポートです。レポートにアクセスするユーザは、2FA を使用して高保証セッションを設定する必要があります。
ブラウザチェック
このポリシーは、オペレーティングシステムとブラウザの組み合わせが分かっているユーザが、異なるオペレーティングシステム上で別のブラウザを使用してログインしようとするとトリガされます。
多くの組織では、標準ハードウェアを設定し、さまざまなブラウザの特定のバージョンをサポートしています。この標準を使用して、通常と異なるデバイスからログインが発生したときにアクションを行うことにより、影響が大きいユーザのセキュリティリスクを軽減できます。たとえば、自社の CEO が通常はサンフランシスコから MacBook を使用するか、iPhone で Salesforce モバイルアプリケーションを使用して Salesforce にログインするとします。別の場所から Chromebook を使用したログインが発生した場合、それは非常に疑わしいと言えます。企業役員が使用するプラットフォームをハッカーが知っているとは限らないため、このポリシーによりセキュリティ侵害の可能性が低減されます。
この例では、顧客の組織は、CEO が OS X と Safari ブラウザを実行する MacBook を使用していることを知っているとします。その他のものを使用して CEO のログイン情報でログインしようとすると、自動的にブロックされます。
国ごとのログインのブロック
このポリシーは、国ごとにアクセスをブロックします。
組織にリモートオフィスがあり、海外展開しているが、国際法に従って Salesforce 組織へのアクセスを制限したいと考えているとします。
この例では、北朝鮮からログインしているユーザをブロックするポリシーを作成します。ユーザが北朝鮮にいながら企業 VPN を使用している場合は、VPN ゲートウェイがシンガポールか米国にあるものと考えられます。Salesforce は VPN ゲートウェイおよび米国内に所在する会社の IP アドレスを認識するため、このユーザは正常にログインできます。
郵便番号や市区郡など、他の値へのアクセスを���限することもできます。
オペレーティングシステムのブロック
このポリシーは、Android OS の旧バージョンを使用しているユーザのアクセスをブロックします。
特定のモバイルプラットフォームの脆弱性や、Salesforce にアクセス中にスクリーンショットを撮影してデータを読み取る機能に懸念のある場合があります。デバイスがセキュリティクライアントを実行していない場合、既知の脆弱性があるオペレーティングシステムを使用しているデバイスプラットフォームからのアクセスを制限することができます。このポリシーは、Android 5.0 以前を使用するデバイスをブロックします。