状態チェックによるセキュリティ設定の検査

学習の目的

この単元を完了すると、次のことができるようになります。

  • 独自の組織にセキュリテ状態チェックを実行する。
  • 概要スコアから組織のセキュリティ状態を読み取る方法を説明する。
  • 状態チェック情報を取得できる Tooling API オブジェクを特定する。
メモ

メモ

この単元を修了するためには、「設定・定義を参照する」および「パスワードポリシーを管理」ユーザ権限が必要です。

セキュリティ設定がどの程度安全かを確認するダッシュボードがあればいいのにと思ったことはありませんか?

あるでしょう。安全性を示すダッシュボードを状態チェックといいます。状態チェックは、組織全体のセキュリティと悪者を阻止する能力を高めるために使用します。

このモジュールを修了しなくても状態チェックを実行できます! 心配いりません。ここで待っていますので実行してみてください。

状態チェックは 1 つのページで、セキュリティ設定の脆弱性を特定して修正することができます。概要スコアには、Salesforce が推奨する基準に組織がどの程度適合しているかが示されます。

スコアが 81% で高リスクが 3 つあることを示すセキュリティ状態チェックページ

一般に、設定の制限を緩くすると、スコアが低下します。たとえば、パスワードの最低文字数を 8 字 (デフォルト値) から 5 字に変更し、パスワードポリシーの他の設定も制限を緩くしたとします。これらの変更により、推測や他の過激な攻撃に対してユーザのパスワードが脆弱な状態になります。その結果、全体的なスコアが低下し、設定がリスクとして表示されます。

組織のセキュリティリスクの特定および修正

では、組織のセキュリティリスクを修正する場合、何から始めればよいのでしょうか? まず、自身の組織の [状態チェック] に移動します。

[設定] から、[クイック検索] ボックスに「状態チェック」と入力し、[状態チェック] を選択します。

リスクとして表示されている設定ごとに便利な [編集] リンクがあり、このリンクをクリックすると設定を標準値に調整できるページが表示されます。状態チェックには、参考のために標準値が示されます。

次の動画は、状態チェックスコアを向上させる方法の一例を示しています。

複数の組織のセキュリティをまとめて確認したいと思いませんか? 問題ありません。

Salesforce コードを記述し、複数の Salesforce 組織をサポートしている場合は (あるいは、組織の誰かがこの作業を行っている場合は)、このセクションが役立ちます。

該当しなくても心配ありません。このセクションを読んでその内容を覚えておいてください。

Tooling API を使用すると、組織のセキュリティ設定、リスク、状態チェックスコア、そして Salesforce のベースライン設定を取得できます。こうした情報をセキュリティ監視システムおよびダッシュボードに追加すれば、複数の Salesforce アプリケーションのセキュリティレベルが同じかどうかを検証できます。

ここで使用する Tooling API オブジェクトは、SecurityHealthCheck と SecurityHealthCheckRisks です。以下は、組織の状態チェックスコアと高リスクの設定のリストを取得する SOQL クエリの例です。

SELECT Score, (SELECT RiskType, Setting, SettingGroup, OrgValue, StandardValue FROM SecurityHealthCheckRisks WHERE RiskType='HIGH_RISK') FROM SecurityHealthCheck
 
メモ

メモ

API を使用して状態チェック情報を取得するには、コマンドラインと Salesforce アプリケーションへの管理者アクセス権が必要です。

リソース

メモ

メモ

このモジュールは Salesforce Classic 向けです。ハンズオン組織を起動するときには、Salesforce Classic に切り替えてから、この Challenge を実行してください。