見出し画像

Salesforceの状態チェックをカスタマイズ:ベースラインのインポート

皆様こんにちは、セールスフォース事業本部です。
今回は、状態チェックの標準値やリスク分類の変更を行うために必要な、ベースラインのインポートをご紹介いたします。

※このページの情報はSummer'24時点のものになります。


ベースラインのカスタマイズ

状態チェックでは、各種設定項目のリスク分け(高リスク、中リスク、低リスク、情報)及び標準値を変更したカスタマイズベースラインを利用することができます。

カスタマイズベースラインを利用するまでの手順は以下になります。

1.状態チェックページでSalesforceベースライン標準をエクスポートする

2.エクスポートしたXMLファイルを書き換える

3.書き換えたXMLファイルをインポートする

インポートの際はベースラインの名前とAPI参照名を指定します。

4.インポート後はSalesforceベースライン標準の他に、インポートしたベースラインを選ぶことができます。

ベースライン用XMLファイルの編集

ベースライン用XMLファイルの構造

ベースライン用XMLファイルはヘッダー部分と設定部分に分かれます。

ヘッダー部分

<baseline name="SFDC recommended" developerName="SFDCRecommended" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:noNamespaceSchemaLocation="security-risk-baseline.xsd">

ここがXMLのヘッダーと言える箇所になります。nameにはベースラインの名前を、developerNameにはベースラインのAPI参照名を入れましょう。
それ以外の属性は編集しなくてよいです。

設定部分

<highRiskSecuritySettings>
  <!-- 高リスクのセキュリティ設定を記載 -->
  <booleanSetting name="SessionSettings.lockSessionsToDomain" compliant="true" nonCompliant="critical"/>
</highRiskSecuritySettings>
<mediumRiskSecuritySettings>
  <!-- 中リスクのセキュリティ設定を記載 -->
  <booleanSetting name="PasswordPolicies.minOneDayPasswordLifetime" compliant="true" nonCompliant="critical"/>
</mediumRiskSecuritySettings>
<lowRiskSecuritySettings>
  <!-- 低リスクのセキュリティ設定を記載 -->
  <booleanSetting name="PasswordPolicies.obscureSecretAnswer" compliant="true" nonCompliant="critical"/>
</lowRiskSecuritySettings>
<informationalSecuritySettings>
  <!-- 情報のセキュリティ設定を記載 -->
  <numericRangeSetting name="CertificateAndKeyManagement.keySize" compliant="4096.0" warning="2048.0"/>
</informationalSecuritySettings>

<highRiskSecuritySettings>に含めたセキュリティ設定は、高リスクのセキュリティ設定として扱われます。

同様に、<mediumRiskSecuritySettings>は中リスクのセキュリティ設定、<lowRiskSecuritySettings>は低リスクのセキュリティ設定、<informationalSecuritySettings>は情報のセキュリティ設定として扱われます。

各種設定ごとの値決め

Boolean形式のセキュリティ設定

標準値(compliant)がtrue(有効化)かfalse(無効化)のどちらかとなる設定です。xmlでは <booleanSetting ...から始まる行になります。

なおこれらの設定はcompliantの設定値を変更することができず、noncompliant(設定値から外れた値)の場合に表示する設定値はwarning(警告)かcritical(重大)のどちらかとなります。

Boolean形式のセキュリティ設定一覧

数値形式のセキュリティ設定

標準値(compliant)、警告値(warning)を数値(小数点第1位まで)で指定する設定です。xmlでは <numericRangeSettingから始まる行になります。

数値形式のセキュリティ設定一覧

文字列形式のセキュリティ設定

標準値(compliant)、警告値(warning)、重大値(critical)を指定された文字列で指定する設定です。xmlでは <enumSettingから始まる行になります。compliant、warning、criticalには、使用可能な値を全て割り当てる必要がありますが、compliant、warningにすべての値を割り振り、criticalは指定なしとすることも可能です。

文字列形式のセキュリティ設定一覧

おわりに

今回は、状態チェックの準拠値や各項目のリスク度をカスタマイズできる、ベースラインのカスタマイズについて説明いたしました。
Salesforceが作成しているポリシーと自社のセキュリティポリシーが合わない場合、また「コミュニティを使っているのでゲストユーザー関連のチェック項目のリスク度を上げたい」「パスワードポリシーの有効期限について許容幅を増やしたい」といったカスタマイズを希望する方にとって、今回の投稿が参考になれば幸いです。

参考文献

Salesforceヘルプ:状態チェックのカスタムベースラインの作成
https://help.salesforce.com/s/articleView?id=sf.security_custom_baseline_create.htm&type=5&language=ja

Salesforceヘルプ:カスタムベースラインファイルの要件
https://help.salesforce.com/s/articleView?id=sf.security_custom_baseline_file_requirements.htm&language=ja&type=5