脆弱性評価と侵入テストの実行

logo cloud active logo hybrid disabled logo server disabled logo rtf disabled

会社のセキュリティポリシーで、Anypoint Platform に対して脆弱性テストと侵入テストの実行が求められている場合は、事前にセキュリティ評価を実施します。

セキュリティ評価を要求する

セキュリティ評価を要求するには、次の手順を実行します。

  1. MuleSoft カスタマーサクセスマネージャに連絡して、セキュリティ評価要求フォームとセキュリティ評価同意書を要求します。

  2. 要求フォームに必要な情報を入力して、条件に同意します。

    要求フォームへの記入については、ナレッジ記事 「Complete the Security Assessment submission form (セキュリティ評価送信フォームへの入力)」を参照してください。

  3. 入力が完了したセキュリティ評価要求フォームを securityassessment@salesforce.com に送信します。

    セキュリティ評価要求が承認されると、自動化システムから連絡があります。

    Salesforce に問い合わせる前にスパムフォルダに自動返信がないか確認してください。

侵入テストと脆弱性テストを実行する

侵入テストは他のテナントに干渉する可能性があるため、MuleSoft では侵入テストの実行をユーザのワーカー上でのみ許可しており、他の Anypoint Platform サービス上では許可していません。

Salesforce は、カスタムデプロイメントで見つかった脆弱性については対応していません。 カスタムデプロイメントの検証と見つかった問題の修復は、お客様の責任となります。

前提条件

侵入テストを開始する前に行うこと:

  • アプリケーションの静的 IP を有効化する。

    デフォルトでは、CloudHub ワーカーは静的 IP アドレスを使用せず、IP アドレスが変更されてしまうため、テストすることはできません。 静的 IP を有効化する方法は、​「Static IPs Tab Settings ([Static IPs (静的 IP) タブの設定)」]​を参照してください。

  • テストの結果を確認して検証するための会社のセキュリティリソースを割り当てる。

手順

セキュリティ評価要求が承認されたら、次の手順を実行します。

  1. 侵入テストを実行します。

    セキュリティ評価同意書には、テストの制限と要件も含まれています。

  2. 次のドキュメントを参考にして、よくある偽陽性や設定に関するセキュリティの問題を特定するように、セキュリティリソースに指示します。

    このステップは Salesforce へのフォローアップ前に完了する必要があります。
  3. 未解決のセキュリティ脆弱性が見つかったら、security@salesforce.com に報告します。

    メールには次の情報を含めてください。

    • Salesforce が承認したセキュリティ評価の確認番号

    • 見つかった脆弱性の概要とそれぞれの重大度レベル

    • それぞれの脆弱性を説明した詳細な評価レポート

    • 脆弱性を再現するための手順

    • 関連するすべての HTTP 要求と応答

    • サンプルを脆弱性だと判断した理由の説明

    セキュリティ脆弱性を送信する方法については、 「Security Vulnerability Finding Submittal Guide (見つかったセキュリティ脆弱性の送信ガイド)」を参照してください。

Was this article helpful?

💙 Thanks for your feedback!