Salesforceの状態チェックをカスタマイズ:ベースラインのインポート
皆様こんにちは、セールスフォース事業本部です。
今回は、状態チェックの標準値やリスク分類の変更を行うために必要な、ベースラインのインポートをご紹介いたします。
※このページの情報はSummer'24時点のものになります。
ベースラインのカスタマイズ
状態チェックでは、各種設定項目のリスク分け(高リスク、中リスク、低リスク、情報)及び標準値を変更したカスタマイズベースラインを利用することができます。
カスタマイズベースラインを利用するまでの手順は以下になります。
1.状態チェックページでSalesforceベースライン標準をエクスポートする
2.エクスポートしたXMLファイルを書き換える
3.書き換えたXMLファイルをインポートする
インポートの際はベースラインの名前とAPI参照名を指定します。
4.インポート後はSalesforceベースライン標準の他に、インポートしたベースラインを選ぶことができます。
ベースライン用XMLファイルの編集
ベースライン用XMLファイルの構造
ベースライン用XMLファイルはヘッダー部分と設定部分に分かれます。
ヘッダー部分
<baseline name="SFDC recommended" developerName="SFDCRecommended"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:noNamespaceSchemaLocation="security-risk-baseline.xsd">
ここがXMLのヘッダーと言える箇所になります。nameにはベースラインの名前を、developerNameにはベースラインのAPI参照名を入れましょう。
それ以外の属性は編集しなくてよいです。
設定部分
<highRiskSecuritySettings>
<!-- 高リスクのセキュリティ設定を記載 -->
<booleanSetting name="SessionSettings.lockSessionsToDomain" compliant="true" nonCompliant="critical"/>
</highRiskSecuritySettings>
<mediumRiskSecuritySettings>
<!-- 中リスクのセキュリティ設定を記載 -->
<booleanSetting name="PasswordPolicies.minOneDayPasswordLifetime" compliant="true" nonCompliant="critical"/>
</mediumRiskSecuritySettings>
<lowRiskSecuritySettings>
<!-- 低リスクのセキュリティ設定を記載 -->
<booleanSetting name="PasswordPolicies.obscureSecretAnswer" compliant="true" nonCompliant="critical"/>
</lowRiskSecuritySettings>
<informationalSecuritySettings>
<!-- 情報のセキュリティ設定を記載 -->
<numericRangeSetting name="CertificateAndKeyManagement.keySize" compliant="4096.0" warning="2048.0"/>
</informationalSecuritySettings>
<highRiskSecuritySettings>に含めたセキュリティ設定は、高リスクのセキュリティ設定として扱われます。
同様に、<mediumRiskSecuritySettings>は中リスクのセキュリティ設定、<lowRiskSecuritySettings>は低リスクのセキュリティ設定、<informationalSecuritySettings>は情報のセキュリティ設定として扱われます。
各種設定ごとの値決め
Boolean形式のセキュリティ設定
標準値(compliant)がtrue(有効化)かfalse(無効化)のどちらかとなる設定です。xmlでは <booleanSetting ...から始まる行になります。
なおこれらの設定はcompliantの設定値を変更することができず、noncompliant(設定値から外れた値)の場合に表示する設定値はwarning(警告)かcritical(重大)のどちらかとなります。
数値形式のセキュリティ設定
標準値(compliant)、警告値(warning)を数値(小数点第1位まで)で指定する設定です。xmlでは <numericRangeSettingから始まる行になります。
文字列形式のセキュリティ設定
標準値(compliant)、警告値(warning)、重大値(critical)を指定された文字列で指定する設定です。xmlでは <enumSettingから始まる行になります。compliant、warning、criticalには、使用可能な値を全て割り当てる必要がありますが、compliant、warningにすべての値を割り振り、criticalは指定なしとすることも可能です。
おわりに
今回は、状態チェックの準拠値や各項目のリスク度をカスタマイズできる、ベースラインのカスタマイズについて説明いたしました。
Salesforceが作成しているポリシーと自社のセキュリティポリシーが合わない場合、また「コミュニティを使っているのでゲストユーザー関連のチェック項目のリスク度を上げたい」「パスワードポリシーの有効期限について許容幅を増やしたい」といったカスタマイズを希望する方にとって、今回の投稿が参考になれば幸いです。
参考文献
Salesforceヘルプ:状態チェックのカスタムベースラインの作成
https://help.salesforce.com/s/articleView?id=sf.security_custom_baseline_create.htm&type=5&language=ja
Salesforceヘルプ:カスタムベースラインファイルの要件
https://help.salesforce.com/s/articleView?id=sf.security_custom_baseline_file_requirements.htm&language=ja&type=5