| タイムアウト値 |
無効ユーザがログアウトされるまでの時間。ポータルユーザの場合、タイムアウトを 15 分に設定することはできても、タイムアウトは 10 分~ 24 時間になります。15 分から 24 時間の範囲の値を選択します。厳重なセキュリティが必要な機密情報が Salesforce 組織にある場合は、より短いタイムアウト期間を選択してください。タイムアウト期間の半分が過ぎるまで、最終アクティブセッション時間値は更新されません。そのため、タイムアウトが 30 分の場合、15 分が過ぎたときに活動があるかどうかがチェックされます。20 分後にレコードを更新した場合、アクティブセッション時間のチェックから 5 分経過しているため、タイムアウトはリセットされます。このシナリオでは、ログアウトされるまであと 30 分 (計 50 分) あります。ただし、10 分後にレコードを更新した場合、過去 15 分以内に活動がなかったため、20 分 (計 30 分) 後にログアウトされます。
|
| セッションタイムアウト時の警告ポップアップを無効にする |
タイムアウト警告メッセージを無効ユーザに向けて表示するかどうかを決定します。ユーザには、タイムアウト値で指定されたとおりに、タイムアウトの 30 秒前に注意を促すメッセージが表示されます。 |
| セッションタイムアウト時に強制的にログアウト |
無効なユーザのセッションがタイムアウトすると、現在のセッションが強制的に無効になります。ブラウザが更新され、ログインページに戻ります。組織にアクセスするには、再ログインする必要があります。この設定を使用する場合は、[セッションタイムアウト時の警告ポップアップを無効にする] を選択しないでください。
|
| ログイン時の IP アドレスとセッションをロックする |
ユーザのセッションをユーザがログインした IP アドレスにロックして、認可されていないユーザによる有効なセッションの乗っ取りを防止するかどうかを決めます。この設定は、さまざまなアプリケーションやモバイルデバイスの機能を妨げる可能性があります。
|
| セッションを最初に使用したドメインにセッションをロックする |
コミュニティユーザなどのユーザの現在の UI セッションを特定のドメインに関連付けます。この設定は、別のドメインでのセッション ID の不正使用防止に役立ちます。この設定は、Spring '15 リリース以降に作成された組織ではデフォルトで有効になっています。 |
| セキュアな接続 (HTTPS) が必要 |
Salesforce へのログインまたはアクセスに HTTPS が必要かどうかを決定します。 セキュリティ上の理由により、この設定はデフォルトで有効になっています。この設定は、API 要求には適用されません。すべての API 要求には HTTPS が必要です。
コミュニティと Salesforce サイトで HTTPS を有効にするには、「サイトとコミュニティの HSTS」を参照してください。
- [ユーザのパスワードをリセットする] ページには、HTTPS を使用してのみアクセスできます。
- この設定が無効になっている場合は、2020 年 2 月の Chrome 80 リリース以降、Google Chrome ユーザで Salesforce が完全に機能しないことがあります。Chrome で Cookie をデフォルトの SameSite 動作にするには、Salesforce に HTTPS が必要です。
|
| すべてのサードパーティドメインでセキュアな接続 (HTTPS) が必要 |
サードパーティドメインへの接続に HTTPS が必要かどうかを決定します。 Summer '17 リリース以降に作成された取引先では、この設定がデフォルトで有効になっています。
この設定が無効になっている場合は、2020 年 2 月の Chrome 80 リリース以降、Google Chrome ユーザで Salesforce が完全に機能しないことがあります。Chrome で Cookie をデフォルトの SameSite 動作にするには、Salesforce に HTTPS が必要です。
|
| ユーザとしてログインしてから再ログインを強制する |
別のユーザとしてログインしているシステム管理者がセカンダリユーザとしてログアウトした後、以前のセッションに戻れるかどうかを決めます。 この設定をオンにすると、システム管理者がユーザとしてログアウトした後に Salesforce を使用し続けるためにはログインし直す必要があります。オフにした場合は、システム管理者がユーザとしてログアウトした後で元のセッションに戻ります。すべての組織で、この設定がデフォルトで有効になっています。
|
| HttpOnly 属性が必要 |
セッション ID Cookie アクセスを制限します。HttpOnly 属性を持つ Cookie は、JavaScript からのコールなど、非 HTTP メソッドではアクセスできません。JavaScript を使用してセッション ID の Cookie にアクセスするカスタムアプリケーションまたはパッケージアプリケーションを使用している場合は、[HttpOnly 属性が必要] を選択するとアプリケーションが停止します。これは、Cookie へのアプリケーションのアクセスが拒否されるためです。[HttpOnly 属性が必要] が選択されている場合は、AJAX Toolkit のデバッグウィンドウを使用できません。
|
| クロスドメインセッションで POST 要求を使用 |
クロスドメイン交換でセッション情報が GET 要求ではなく POST 要求を使用して送信されるように組織を設定します。クロスドメイン交換の例として、Visualforce ページを使用している場合が挙げられます。POST 要求ではセッション情報がリクエストボディに保持されるため、このコンテキストでは GET 要求よりも POST 要求のほうが安全です。ただし、この設定を有効にすると、別のドメインから埋め込まれたコンテンツ (画像など) が表示されない場合があります。 |
| すべての要求でログイン IP アドレスの制限を適用 |
ユーザが Salesforce にアクセスできる IP アドレスを、[ログイン IP アドレスの制限] に定義されている IP アドレスのみに制限します。この設定をオンにすると、クライアントアプリケーションからの要求を含め、各ページ要求でログイン IP アドレスの制限が適用されます。この設定をオフにすると、ユーザがログインする場合にのみログイン IP アドレスの制限が適用されます。この設定は、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。 |
|
ログイン IP アドレスの制限 (Contact Manager Edition、Group Edition、および Professional Edition) |
IP アドレスの範囲を指定します。ユーザはこの範囲内 (指定した両端を含む) の IP アドレスからログインする必要があり、範囲外からはログインできません。 範囲を指定するには、[新規] をクリックし、開始 IP アドレスと終了 IP アドレスを入力して、開始値と終了値を含む範囲を定義します。
この項目は、Enterprise Edition、Unlimited Edition、Performance Edition、および Developer Edition では使用できません。これらのエディションでは、有効な [ログイン IP アドレスの制限] をユーザプロファイル設定に指定できます。
|
| ログインページでキャッシングとオートコンプリート機能を有効にする |
ユーザのブラウザがユーザ名を保存で���るようにします。オンにすると、初回ログインの後、ユーザ名がログインページの [ユーザ名] 項目に自動入力されます。ユーザがログインページで [ログイン情報を保存する] を選択した場合、セッションが期限切れになったりユーザがログアウトしたりした後でも、ユーザ名が保持されます。ユーザ名は、スイッチャにも表示されます。すべての組織で、この設定がデフォルトで選択されています。組織のセキュリティ体制を改善するには、この設定をオフにすることをお勧めします。この設定をオフにすると、[ログイン情報を保存する] オプションは、組織のログインページにもスイッチャにも表示されません。
|
| パフォーマンスを向上させるためにブラウザの安全で永続的なキャッシュを有効にする |
ブラウザの安全なデータキャッシュを有効にし、サーバとの往復処理の増加を避けることでページの再読み込みパフォーマンスを向上させます。すべての組織で、この設定がデフォルトで選択されています。ブラウザの安全で永続的なキャッシュを無効にすると、Lightning Experience のパフォーマンスに対して重大な悪影響があります。次のような場合にのみ無効にします。
- データが暗号化されている場合でも、会社のポリシーによりブラウザのキャッシュが許可されていない。
- コード変更の影響を確認するために Sandbox 組織または Developer Edition 組織で開発しており、安全なキャッシュを空にする必要がない。
|
| ユーザの切り替えを有効化 |
組織のユーザがプロファイル写真を選択したときに、スイッチャを表示するかどうかを決定します。すべての組織で、この設定がデフォルトで選択されています。[ログインページでキャッシングとオートコンプリート機能を有効にする] 設定も有効にする必要があります。組織が他の組織のスイッチャに表示されないようにするには、[ユーザの切り替えを有効化] 設定をオフにします。これにより、組織のユーザがプロファイル写真を選択したときも、スイッチャが表示されなくなります。 |
| ログアウトするまでログイン情報を保存します |
通常、ユーザ名は、セッションがアクティブである期間、またはユーザが [ログイン情報を保存する] を選択した場合にのみキャッシュされます。この保存オプションは、SSO セッションでは使用できません。セッションが期限切れになると、ユーザ名は、ログインページとスイッチャに表示されなくなります。[ログアウトするまでログイン情報を保存します] を有効にすると、ユーザが明示的にログアウトした場合にのみキャッシュされたユーザ名が削除されます。セッションがタイムアウトしても、ユーザ名はスイッチャに無効として表示されます。ユーザは、自分のコンピュータを操作していてセッションがタイムアウトになった場合、ユーザ名を選択して再認証できます。ユーザが共有コンピュータを操作している場合、ユーザがログアウトすると、ユーザ名はただちに削除されます。
この設定は、すべての組織のユーザに適用されます。このオプションはデフォルトで有効になっていません。ただし、ユーザの便宜のため、有効にすることをお勧めします。組織がログインページで SSO または認証��すべてのプロバイダを公開していない場合は、この設定を無効にしてください。
|
| Lightning コンポーネントフレームワークのコンテンツ配信ネットワーク (CDN) を有効化 |
Lightning コンポーネントフレームワークの静的コンテンツを提供する Akamai のコンテンツ配信ネットワーク (CDN) を有効にして、ユーザが Lightning Experience やその他のアプリケーションをよりすばやく読み込みことができるようにします。通常、CDN を使用するとページの読み込み時間が短縮されますが、ファイルを提供する供給元ドメインも変わります。会社で Salesforce から提供されるコンテンツの IP 範囲を制限している場合、この設定を有効にする前に徹底的にテストします。 CDN では、複数の地理的な場所でキャッシュバージョンが保存され、静的コンテンツの読み込み時間が短縮されます。この設定により、Lightning コンポーネントフレームワークの静的な JavaScript や CSS の CDN 配信が有効になります。CDN では、組織のデータまたはメタデータは配信されません。
|
| ユーザはテキスト (SMS) で ID を検証する |
ユーザがテキストメッセージで ID 検証コードを受信できるようにします。ユーザはテキストで ID 検証コードを受信する前に電話番号を検証する必要があります。すべての組織で、この設定がデフォルトで有効になっています。検証コードは 24 時間有効です。この期間にコードが使用されなかった場合は、initSelfRegistration を再度初期化して新しい検証コードを生成できます。 SMS による検証方法を無効にする場合は、Salesforce サポートにお問い合わせください。メールによる ID 検証方法を無効にすることはできません。
|
| 他の方法が登録されている場合、メールによる ID 検証を防止する |
他の ID 方法が検証されていない場合のみ、ユーザがメールで検証コードを取得できるようにします。他の検証方法としては、Salesforce Authenticator、SMS、時間ベースのワンタイムパスワード (TOTP)、物理キー (U2F) があります。すべての組織で、この設定がデフォルトで有効になっています。検証コードは 24 時間有効です。この期間にコードが使用されなかった場合は、initSelfRegistration を再度初期化して新しい検証コードを生成できます。 |
| コールアウトから API ログインするためのセキュリティトークンが必要 (API バージョン 31.0 以前) |
API バージョン 31.0 以前では、コールアウトからの API ログインにセキュリティトークンを使用する必要があります。例として、Apex コールアウトや AJAX プロキシを使用したコールアウトが挙げられます。API バージョン 32.0 以降では、デフォルトでセキュリティトークンが必要です。 |
| ユーザが物理的なセキュリティキー (U2F) を使用して ID を検証できるようにする |
多要素認証 (MFA) や ID 検証に U2F セキュリティキーを使用できるようにします。Salesforce Authenticator、認証アプリケーションによって生成されたワンタイムパスワード、またはメールや SMS で送信されたワンタイムパスワードを使用する代わりに、ユーザは登録された U2F セキュリティキーを適切なポートに挿して検証を完了します。 |
| ユーザが証明書を使用して認証できるようにします |
証明書ベースの認証で、組織で個々のユーザを認証するための PEM エンコード X.509 デジタル証明書を使用できるようにします。 |
| 多要素認証 (MFA) の登録時に ID 検証が必要 |
MFA 検証方式 (Salesforce Authenticator など) を追加するには、ユーザは以前のように再ログインするのではなく ID を確認する必要があります。 |
| メールの変更に対して ID 検証が必要 |
メールアドレスの変更が有効になる前に、ユーザは再度ログインして、自分の ID を確認する必要があります。ユーザが ID を検証するには、Salesforce Authenticator、SMS、メールなどの登録済みの検証方法を使用します。
ユーザの検証方法がメールの場合、確認コードは、新しいメールアドレスではなく、ユーザが以前に登録したメールアドレスに送信されます。
|
| メールアドレスの変更に対してメール確認が必要 (Lightning コミュニティの外部ユーザに適用) |
外部ユーザは、新しいメールアドレスを所有していることを確認する必要があります。ユーザがメールアドレスを変更すると、新しいメールアドレスにリンク付きのメールが送信されます。ユーザがリンクをクリックすると、新しいメールアドレスが有効になります。Winter '20 以降に作成される組織では、メールでの確認がデフォルトで有効になります。Winter ’20 より前に作成された組織では、セキュリティ予防措置としてこのオプションを有効にすることをお勧めします。このオプションは、従業員には適用されません。 |
| Salesforce Authenticator は地理位置情報を使用して自動的に ID を検証する |
Salesforce Authenticator で電話のロケーションサービスを使用してユーザの ID を検証できるようにします。ユーザが場所を承認すると、ユーザはその場所にいるときに ID の入力を促されません。場所が承認されない場合、または信頼できる場所の外側にユーザがいる場合、ID の検証が促されます。 |
| Salesforce Authenticator は信頼された IP アドレスのみに基づいて自動的に ID を検証する |
Salesforce Authenticator で信頼済み IP 範囲を使用してユーザの ID を検証できるようにします。ユーザが信頼済み IP アドレス範囲内にいる場合、ID の検証は促されません。ユーザが信頼済み IP アドレス範囲外にいる場合、ID の検証が促されます。 |
| Lightning Login を許可 |
Lightning Login を使用してパスワードの代わりに Salesforce Authenticator で Salesforce にログインできるようにします。 |
| Lightning Login ユーザ権限のあるユーザのみを許可 |
Lightning Login ユーザ権限が有効になっている場合に、ユーザが Lightning Login を使用してパスワードの代わりに Salesforce Authenticator で Salesforce にログインできるようにします。 |
| 設定ページのクリックジャック保護を有効化 |
Salesforce の設定ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。([設定] ページは [設定] メニューから使用できます)。 |
| 設定以外の Salesforce ページのクリックジャック保護を有効化 |
設定以外の Salesforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。設定ページにはクリックジャック攻撃に対する保護がすでに含まれています ([設定] ページは [設定] メニューから使用できます)。すべての組織で、この設定がデフォルトで選択されています。 |
| 標準ヘッダーがある Visualforce ページのクリックジャック保護を有効化 |
ヘッダーが有効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。 また、信頼済み外部ドメインで iframe を許可します。この機能を有効にするには、[Trusted Domains for Visualforce and Survey Inline Frames (Visualforce およびアンケートインラインフレームの信頼済みドメイン)] でフレーム化を許可する外部ドメインを追加します。
|
| ヘッダーが無効化された Visualforce ページのクリックジャック保護を有効化 |
ページで showHeader="false" を設定するときに、ヘッダーが無効になっている Visualforce ページで、クリックジャック攻撃に対して保護します。クリックジャックは、ユーザインターフェース着せ替え攻撃とも呼ばれます。 また、信頼済み外部ドメインで iframe を許可します。この機能を有効にするには、[Trusted Domains for Visualforce and Survey Inline Frames (Visualforce およびアンケートインラインフレームの信頼済みドメイン)] でフレーム化を許可する外部ドメインを追加します。
|
| 設定ページ以外の GET 要求の CSRF 保護を有効化 |
設定以外のページを変更して、クロスサイトリクエストフォージェリ (CSRF) 攻撃から保護します。設定以外のページでランダムな文字列を URL パラメータに挿入するか、非表示のフォーム項目として追加します。GET および POST 要求が実行されるたびに、アプリケーションがこの文字列の有効性をチェックします。期待される値に一致する値が見つからない限り、アプリケーションはコマンドを実行しません。すべての組織で、この設定がデフォルトで選択されています。 |
| 設定ページ以外の POST 要求の CSRF 保護を有効化 |
| より厳格なコンテンツセキュリティポリシーを有効化 |
Lightning コンポーネントフレームワークでは、W3C 標準のコンテンツセキュリティポリシー (CSP) を使用して、ページに読み込むことができるコンテンツのソースを制御します。script-src ディレクティブでの unsafe-inline ソースの使用を禁止するために、Winter '19 リリースで [より厳格なコンテンツセキュリティポリシーを有効化] 設定が導入されました。この設定はクロスサイトスクリプティング攻撃のリスクを軽減させるもので、デフォルトで有効になっています。現在のリリースではこの設定が常に有効で、この設定が無効と思われる場合でも unsafe-inline が常に禁止されています。安全でないインライン JavaScript には常に制限が適用されるため、今後のリリースで [セッションの設定] からこの設定が削除される予定です。 |
| Lightning Locker API バージョン |
API バージョンが指定されていないすべての Lightning コンポーネントについて、Lightning Locker との互換性を確保するために API バージョンを設定します。Lightning Locker により、各バージョンでセキュリティが向上します。このため、カスタムコンポーネントを更新して、最新バージョンに準拠させることをお勧めします。今すぐ更新を実行できない場合、または最新バージョンと互換性がない管理パッケージが必要な場合は、以前の互換 API バージョンを一時的に選択できます。
|
| XSS 保護 |
反射型クロスサイトスクリプティング攻撃から保護します。反射型クロスサイトスクリプティング攻撃が検出されると、コンテンツのない空白のページがブラウザに表示されます。 |
| コンテンツ盗聴保護 |
ブラウザでドキュメントコンテンツから MIME タイプが推定されないようにします。また、ブラウザで悪意のあるファイルが動的コンテンツ (JavaScript、スタイルシート) として実行されないようにします。 |
| 参照元 URL 保護 |
ページを読み込むとき、参照元ヘッダーには URL 全体ではなく Salesforce.com のみが表示されます。この機能により、完全な URL だと公開されてしまう可能性のある機密情報 (組織 ID など) が参照元ヘッダーに表示されなくなります。この機能は、Chrome と Firefox でのみ動作します。 |
| サイトとコミュニティの HSTS |
コミュニティおよび Salesforce サイトで HTTPS を要求します。この設定は、2 つのロケーションで有効にする必要があります。[セッションの設定] で [サイトおよびコミュニティの HSTS] を有効にします。コミュニティまたは Salesforce サイトのセキュリティ設定で [セキュアな接続 (HTTPS) が必要] を有効にします。「Salesforce サイトの作成と編集」を参照してください。
|
| Salesforce の外部にユーザをリダイレクトする前にユーザに警告する |
ユーザが salesforce.com ドメインの外部にリダイレクトされるリンクをクリックしたときに、警告メッセージを表示します。この警告メッセージには、外部 URL への完全なリンクとドメイン名が含まれます。この機能を使用して、ユーザを悪意のある URL やフィッシングから保護してください。Lightning Experience では、警告メッセージは Web タブにのみ適用されます。 |
| ログアウト URL |
ユーザが Salesforce からログアウトした後、認証プロバイダのページやカスタムブランドのページなど、特定のページにユーザをリダイレクトします。この URL は、ID プロバイダ、SAML シングルサインオン、または外部認証プロバイダの設定でログアウト URL が指定されていない場合にのみ使用されます。[ログアウト URL] に値が指定されていない場合、[私のドメイン] が有効でなければ https://login.salesforce.com がデフォルトになります。[私のドメイン] が有効な場合のデフォルトは https://customdomain.my.salesforce.com です。 |
| リンク有効期限 |
新しいユーザへのお知らせメール内のアカウントの確認リンクが有効である期間を指定します。1 日、7 日、または 180 日を選択できます。デフォルトでは、アカウントの確認リンクの有効期限は 7 日間です。 この設定を更新すると、その変更はすでに送信されたお知らせメールのリンクに適用されます。たとえば、2 日前にユーザを追加してお知らせメールを送信し、その時点ではリンクの有効期間が 7 日間だったとします。設定を更新して、リンクの有効期間を 1 日にすると、2 日前に送信したメールのリンクは有効ではなくなります。
|