ゲストユーザー異常を調査する場合のベストプラクティス
普段とは異なるユーザー行動を調査するときは、次のヒントを参考にしてください。データの安全性について、十分な情報に基づいて評価するために必要な情報を見つけます。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
次の設定を確認することをお勧めします。
-
組織の共有設定 (OWD):
- [デフォルトの外部アクセス権] が [公開/参照のみ] または [公開/参照・更新可能] であるすべての標準およびカスタムオブジェクト (取引先など)
- [デフォルトの外部アクセス権] が [親レコードに連動] に設定されているすべての標準およびカスタムオブジェクト (権限が取引先責任者などの親オブジェクトに従うため)。
-
ゲストユーザープロファイル:
- ゲストユーザープロファイル内の各標準オブジェクトまたはカスタムオブジェクトが所有する作成、参照、更新、削除 (CRUD) アクセス権
- [API の有効化] および [活動にアクセス] チェックボックスがオフになっていること。
現在のゲストユーザーのアクセス権および権限を表示するレポートを生成するには、AppExchange マーケットプレイスにある Authenticated and Guest User Access Report and Monitoring アプリケーションを使用します。この方法でゲストユーザーにデータへのアクセスを誤って許可しないようにするには、次のベストプラクティスを確認することをお勧めします。
組織設定
- リストビューが特定のグループとのみ共有されているか、非公開に設定されていることを確認します。
- 非公開データのあるすべてのオブジェクトで内部および外部の組織の共有設定 (OWD) を「非公開」に設定します。
- 正当な理由があれば、他の共有モデルを使用することもできます。たとえば、作成、参照、更新、削除 (CRUD) レベルでの十分な制限などです。
- サイトゲストユーザーとデータを共有しないようにすべての共有ルールを設定します。
- ユーザープロファイルに基づいて、ゲストユーザーとポータルユーザーの @AuraEnabled Apex メソッドへのアクセスを制限します。
- 各オブジェクトの項目レベルセキュリティを確認します。
- カスタムオブジェクトまたは標準オブジェクトへのアクセスを許可しないように共有ルールと権限セットを設定します。
- 「ゲストユーザープロファイルを設定するときのベストプラクティスと考慮事項」に従って、すべての有効なプロファイルに、個人情報が含まれる可能性のある標準オブジェクトまたはカスタムオブジェクトへのアクセス権がないことを確認します。
- [オブジェクトアクセス]、[API の有効化]、[活動にアクセス] チェックボックスがオフになっていることを確認します。
- 「ゲストユーザーによって作成されたレコードの組織のデフォルトユーザーへの割り当て」ドキュメントで説明されている手順に従って、サイトゲストユーザープロファイルによって作成された機密レコードの所有権���内部ユーザーに移行します。
- 既存のすべてのレコードの所有権が内部ユーザーに移行されていることを確認します。
- [設定] の [ゲストユーザーがこのサイトの他のメンバーを表示できるようにする] チェックボックスを無効にして、コミュニティ/Experience Cloud のゲストユーザー表示を削除します。[設定] から、[デジタルエクスペリエンス] > [すべてのサイト] > [ワークスペース] > [管理] > [設定] に移動します。
- カスタム Apex コードを確認します。
- データを返す公開 API メソッドを確認し、オブジェクトレコードの除外に使用できないことを確認します。
- すべての Apex クラスに項目レベルセキュリティを適用します。
- すべてのコントローラーで現在のユーザーの権限が考慮されていることを確認します。
- 静的リソースの JavaScript ライブラリを最新のセキュリティパッチに継続的に更新します。
- デフォルトでは、未割り当てのファイルは公開されます。ゲストユーザーによってアップロードされたファイルに所有者を割り当てるトリガーを設定することをお勧めします。コミュニティファイルモデレーションを使用して、ファイルのアップロードサイズまたはアップロード種別を制限できます。