1 - Salesforce Developers | API Documentation, Developer ...



第一部：自己評価チェックリスト

注意：下記の各項目が満たしているかご確認下さい。未完了の項目がありますとアプリケーションレビュー手続きに遅延が発生してしまう場合がございますので、予めご了承下さいます様宜しくお願い致します。

|テスト項目 |Webサイトリンク及び更なる情報 |完了（はい・いいえ・非該当）? |

|Apex: |通常Apexスクリプトはシステムコンテキスト上で実行されるので、スクリプト実行中に現在のユー | |

|シェアリング |ザープロファイルを基にしたセキュリティ許可、項目レベルセキュリティ、共有ルール等はセキュ | |

| |リティコンテキストに影響を及ぼしません。 | |

| | | |

| |クラス作成時、現在のユーザーに与えられた共有ルールが引き続き守られるように“with sharing” | |

| |というキーワードを駆使します。 | |

| |また、ユーザー指定オブジェクトを処理するコントローラは例外なく“with sharing”を使用すべき | |

| |です。 | |

|Apex： |顧客側の管理者により設定されたFLS（フィールドレベルセキュリティ）設定とCRUD（クリエート、| |

|CRUD及びFLS |リード、アップデート、デリート）設定を厳守します。 | |

| | | |

| |ディスクライブコールについてのより詳細な情報に関しましては、下記のドキュメントの１３５ペ | |

| |ージを参照ください： | |

| | | |

| | |

| |df (英語) | |

|カスタムHTML及びJavaScript: |XSS攻撃の対策として、アプリケーションは検索データ、ページ要素、クライント要求変数等のデー| |

|XSS対策 |タに含まれる < ‘ > & “ という文字を表示メソッド（例えば、element.innerHTML=...）で使用さ | |

| |れる前に安全なHTML代用文字に入れ替えられていますか？ | |

| | | |

| |XSS攻撃が成立してしまった場合、悪意のあるスクリプトはSFDCドメインコンテキスト上で実行され| |

| |ます。 | |

| | | |

| |結果としてお客様の監査ログデータ完全性が損なわれる上、ロールやアクセス許可等を回避する事 | |

| |も可能となるので、とても深刻な問題です。 | |

| | | |

| |XSSに関して更にご興味のある方は下記をご参照下さい。 | |

| | | |

| | (英語) | |

| | (英語) | |

| | (英語) | |

| | | |

| | |

| |d (55ページ) | |

|動的API |動的なAPI SQLクエリを作成する場合、クエリ内で使用される全ての入力値（ページ要素、要求変 | |

|クエリ: |数、クエリデータ）に入っている’と\というメタ文字を\’と\\にエスケープしていますか？ | |

|SQLインジェクション対策 | | |

| |これ等のメタ文字をエスケープする事が、APIクエリ構文の悪意的な変更を狙うSQLインジェクショ | |

| |ン攻撃を防止するための重要な対策の一つとなります。更に詳細な情報につきましては、こちらの | |

| |サイトをご参照下さい。 | |

| | (英語) | |

| | | |

| | |

| |d (60ページ) | |

| | | |

| |注意：エスケープ法はデータベースにより異なりますので、対象となるデータベースのドキュメン | |

| |テーションを参照されてからご対応ください。 | |

|Apex |アプリケーションが正常に稼動しているかを検証するために、テストケースには十分にSystem.asse| |

|テストケース |rtメソッドが含まれていますか？ | |

| |Apexコードテストメソッドの概要 | |

第２部：ウェブアプリケーション（非フォース・ドットコム統合）自己評価チェックリスト

注意：下記の各項目が満たされたかどうかご確認ください。未完了の項目がありますとアプリケーションレビュー手続きに遅延が発生してしまう場合がございますので、予めご了承下さいますよう宜しくお願いします。

|テスト項目 |Webサイトリンク及び更なる情報 |詳細 |

|SSL通信強制 |SSL通信は常にクライアントに強制されていますか？ | |

|Cookieセキュリティ |セッションCookieと他に機密情報のあるCookieに”secure”フラグが設定されていますでしょうか？ | |

| |(OWASP-SM-002) (英語) | |

| | | |

| | |

| |d (35ページ) | |

|セッション・フィクセーション |セッション・フィクセーション攻撃を防止するためにはどのような対策が導入されていますでしょ | |

| |うか？ユーザーがアプリケーションに認証成功する度に、新しいセッションIDは生成されています | |

| |か？対策実証と詳細なご説明を頂けますでしょうか？ | |

| | | |

| |セッション・フィクセーションについての詳細は下記をご参照ください。 | |

| | | |

| |(OWASP-SM-003) (英語) | |

| | | |

| | |

| |d (39ページ) | |

| | | |

|反射型及び持続型XSS |反射型及び持続型クロスサイトスクリプティング（XSS）攻撃を防止するためにはどのような対策が| |

| |導入されていますでしょうか？例えば、フォームフィールド、クッキー値、URL変数、HTTPヘッダー| |

| |値等から取り込まれた全ての入力データ安全性は検証されていますか？また、HTMLやスクリプト出 | |

| |力時、HTML | |

| |特殊文字のエンコードはされていますか？対策実証と詳細なご説明を頂けますでしょうか？ | |

| |(XSS) (英語) | |

| | (英語) | |

| | (英語) | |

| | | |

| | |

| |d (39ページ) | |

| | | |

|SQLインジェクション |SQLインジェクション攻撃を防止するためにはどのような対策が導入されていますでしょうか？例え| |

| |ば、悪意のある入力データがデータベースへ注入されるのを防止するために、入力データの検証や | |

| |エスケーピング、パラメータ化クエリやストアド | |

| |プロシージャ等の対策を実装されていますでしょうか？対策実証と詳細なご説明を頂けますでしょ | |

| |うか？ | |

| | | |

| | | |

| | (英語) | |

| | | |

| | |

| |d (60ページ) | |

|ソープエンドポイント検証 |セールスフォース・ドットコムのセッションIDとサーバーURLを使用してSFDCに接続する際に、サー| |

| |バーURLが正しいサーバーURLである事をどのように検証していますか？対策実証と | |

| |詳細なご説明を頂けますでしょうか？URL検証のための正規表現は下記のサイトにあります：http:/| |

| |/wiki.index.php/JP:Requirements_Checklist | |

|CSRF |管理機能等へのクロスサイトリクエストフォージェリ（CSRF）攻撃を防止するためにはどのような | |

| |対策が導入されていますでしょうか？対策実証と詳細なご説明を頂けますでしょうか？ | |

| |(CSRF) (英語) | |

|不適切なセキュリティ設定 |不適切なセキュリティ設定を防止するために、ウェブアプリケーション及びサーバーセキュリティ | |

| |強化につきまして、内部セキュリティ強化ガイドラインやCISベンチマーク等のセキュリティ業界標| |

| |準に従っていますでしょうか？導入されているガイドラインの添付、もしくはどちらのガイドライ | |

| |ンが導入されているかご記入下さい。 | |

| | (英語) | |

| | (英語) | |

第3部：セキュリティアンケート

1. 御社名とAppExchange掲載予定の アプリケーションの名前をご記入頂けますでしょうか？

2. アプリケーションに関してセールスフォースとの統合及び技術詳細につきましてのご説明を頂けますでしょうか？

3. アプリケーション検証のためにサンプルデータと共に、完全に設定済みのテスト用のアカウントのユーザ名とパスワードをご提出下さい。データ読み込み専用アカウント、もしくはカスタマーデモアカウント等ではアクセス権限が不十分な場合がございますので、組織の管理者アカウントをご提供下さい。セールスフォース・ドットコムから検証結果が通知されるまで管理者アカウントへのアクセスが出来るようにしておく様にお願い致します 。

無料DE組織は下記のサイトにて登録可能です：

.

テストアカウントはアプリケーションを開発した開発元組織(primary org)と違うものである必要がありますので、予めご準備頂くようお願い致します 。

4. アプリケーションはフォース・ドットコム以外のウェブサービスや外部インターフェースとの統合やデータ通信が御座いますか？

「はい」と回答した場合：

a. 全てのウェブサービスエンドポイント、インターフェース（URLs）及びローカルインストールが必要なクライアント側コンポーネントのリンクをご記入頂けますでしょうか？

b. アプリケーションがの外部にユーザー名とパスワードを保存していますか？もしそうでしたら、ユーザー名とパスワードがどのように保存されるか、またどのような暗号技術が実装されているかご教示頂けますでしょうか？

c. アプリケーションはどんなデータ（オブジェクトタイプ）を利用していますか？

d. 外部のアプリケーションにアクセスするためにログインURL、ユーザー名とパスワードをご教示頂けますでしょうか。（注意：こちらのユーザーアカウントは顧客の管理者が使用するのと同じレベルの権限を持つアカウントでなくてはなりません）

e. パスワードがどのように保存されるか、また、暗号化される場合、どのような暗号技術が実装されているかご説明下さい。

f. パスワードセキュリティ標準に関して、最小桁数、複雑さ、有効期間、再利用、既定回数を超えた連続認証失敗によるアカウントロックアウト等のご説明を頂けますでしょうか？

g. アプリケーションが暗証キーを使用するならば、暗証キーがどこでどのように保存されているかご教示頂けますでしょうか？

h. その他の依存情報やプラットフォーム必要条件をご記入ください。

5. アプリケーションの開発とパッケージングが行われた組織のIDをご記入下さい。（Setup->Company Profile->Company Information）

................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download