はじめに
Salesforceは、サイバー攻撃の巧妙化に対応するため、2026年6月より順次、セキュリティ強化策を適用します。
この変更は、システム管理者や特権ユーザーだけでなく、すべての従業員ユーザーに影響を及ぼす可能性があります。
本記事では、Salesforceのセキュリティ強化の背景、具体的な変更内容、そして組織が期日までに実施すべき対応について、分かりやすく解説します。
7月から開始されるので管理者権限を持っている方は必ず対応しておきましょう!
1. セキュリティ強化の背景
近年、サイバー攻撃はかつてないスピードで巧妙化しており、特にフィッシング詐欺は多要素認証(MFA)を突破する手口も出現しています。
Salesforceは、お客様のデータを保護するため、MFAの適用を必須としてきましたが、さらなる脅威から組織を守るために、より厳格なセキュリティ対策を導入します。
これにより、特に強い権限を持つユーザーのアカウント侵害リスクを低減し、組織全体のセキュリティレベルを向上させることを目指します。
2. 2026年6月より開始されるセキュリティ強化の概要
2026年6月より、以下の主要なセキュリティ強化がSandbox環境および本番環境で順次実施されます。
SalesforceのUIから直接ログインしているユーザーも、シングルサインオン(SSO)でログインしているユーザーも、すべてのユーザーが対象となります。
| セキュリティ強化項目 | 概要 | 対象ユーザー | 期日(Sandbox) | 期日(本番環境) |
| 管理者/特権ユーザー向けのフィッシング耐性MFA必須化 | 強い権限を持つユーザーのログインに、フィッシング耐性のあるMFAを義務付け | システム管理者、または特定の権限を持つ特権ユーザー | 2026年6月22日 | 2026年7月1日 |
| 全従業員ユーザー向けの多要素認証 (MFA) 厳格化 | すべての内部ユーザーのログインにMFAを義務付け(既存MFAの厳格化) | システム管理者や特権ユーザーを除くすべての内部ユーザー | 2026年6月22日 | 2026年7月1日 |
| ステップアップ認証: 時間ベース | レポートのエクスポートなど特定の操作時に、追加の認証を要求 | すべての内部ユーザー | 2026年6月22日 | 2026年7月1日 |
| ステップアップ認証: 異常な動作 | 異常な動作が検出された際に、追加の認証を要求 | すべての内部ユーザー | 2026年6月22日 | 2026年7月1日 |
| トランザクションセキュリティポリシーの強化 | レポートエクスポート時のデータ流出リスクを低減するポリシーを導入 | すべての内部ユーザー | 2026年6月22日 | 2026年7月1日 |
※上記期日は2026年6月17日時点の情報です。最新のスケジュールはをご確認ください。
特にSandBoxをよく利用しているユーザーは急ぎ処理してください。
3. 各セキュリティ強化の詳細と対応方法
3.1. 管理者/特権ユーザー向けのフィッシング耐性MFA必須化
概要
この強化の目的は、組織内で強い権限を持つユーザーのアカウントが侵害されるリスクを低減することです。
フィッシング耐性のあるMFA(組み込みAuthenticatorや物理的なセキュリティキーなど)を利用することで、管理者/特権ユーザーはSalesforceにログインできるようになります。
Salesforce AuthenticatorやサードパーティのTOTPアプリ(Google/Microsoft Authenticatorなど)は、フィッシング耐性のMFAの要件を満たしません。
対象ユーザー:
- システム管理者プロファイルが割り当てられているユーザー
- 「すべてのデータの編集」
- 「すべてのデータの参照」
- 「アプリケーションのカスタマイズ」
- 「Apex 開発」
のいずれかの権限が付与されているユーザー
準備が必要なユーザーの確認方法
Salesforceに直接ログインしているユーザーの場合、リストビューやレポートでプロファイルが「システム管理者」のユーザーを抽出するか、(AppExchangeアプリ)のPermission Analyzer機能を使用して、対象の権限を持つユーザーを確認できます。SOQLでの確認も可能です。
期日までに実施すること
1.対象となるユーザーの特定:上記の確認方法を参考に、準備が必要なシステム管理者や特権ユーザーを特定します。
私の場合めんどくさかったのが、「システム管理者」プロファイルとして利用しているのではなく、プロファイルをカスタマイズして社員に割り振っていたため、プロファイル毎に対象者か否か確認を行いました。
2.フィッシング耐性のあるMFAの有効化と登録:
•組織全体の設定:[設定] > [ID 検証] にて、「ユーザーが物理的なセキュリティキー (U2F または WebAuthn) を使用して ID を検証できるようにする」および「ユーザーが Touch ID や Windows Hello などの組み込み Authenticator を使用して ID を検証できるようにする」が有効になっていることを確認します。
•ユーザーごとの登録:ユーザー自身で、セキュリティキーまたは組み込みAuthenticatorを登録します。iPhoneのパスキーをセキュリティキーの代わりとして登録することも可能です。
3.SSO利用時のIDプロバイダー側の動作確認:IDプロバイダー側の認証でフィッシング耐性のあるMFAを利用し、適切なMFAシグナル(AMR/ACR)がSalesforceに送信されることを確認します。
セキュリティーキーの設定方法
- 右上のアイコンから[設定]を開く
- 高度なユーザーの詳細を押下
- セキュリティキー(U2FまたはWeb Authn)の横の[接続]をクリックし、登録する。
- IDを検証をクリックし、iPhoneのパスキーによる認証やWindows Helloを登録する。
設定は以上で完了です。(私は既に接続済のため削除と出ています。
接続などの表示がなく「i」マークだけの場合は、以下設定を行ってください。
- 歯車マークから設定(オブジェクトマネージャーなどがタブで出る設定画面)
- クイック検索に「ID」と入力し、検索
- ID検証をクリック
- 「ユーザーがTouch IDやWindows Helloなどの組み込み~」「ユーザーがUF2やWebAuthnなどの~」にチェックを入れる。
これで個人設定に先程の接続が表示されるはずです。
複数端末(会社PC・自宅PC)を使う場合の注意点
「組み込みAuthenticator」や「セキュリティキー」は、1人のIDにつき原則それぞれ1つまでしか登録できません。複数端末からアクセスする場合、以下の回避策を検討してください。
以前のようにパートナー企業に管理者権限を預ける。などが難しくなったわけです。
私は、iPhoneのパスキーを登録することにしました。
- 1Passwordなどの有償パスワード管理ツールを利用する。
- 持ち運び可能なUSB型のセキュリティキー(YubiKeyなど)を購入し、両方のPCで使用する。
- iPhoneのパスキーを登録し、どのPCからログインする際もスマホと連動させて認証する。
3.2. 全従業員ユーザー向けの多要素認証 (MFA) 厳格化
概要
この強化は、システム管理者や特権ユーザーを除くすべての内部ユーザーを対象に、MFAの厳格化を図るものです。
ログイン時にユーザー名とパスワードに加え、Salesforce Authenticator、サードパーティのTOTPアプリ、セキュリティキー、組み込みAuthenticatorなどのMFA検証メソッドによる本人確認が求められます。
準備が必要なユーザーの確認方法
Salesforceに直接ログインしているユーザーの場合、レポートタイプ「ID 検証方法」を使用して、MFA検証手段の登録状況を確認できます。
SSO経由でログインしているユーザーの場合、IDプロバイダー側の認証においてユーザーがMFAを利用しているかを確認します。
期日までに実施すること
- 対象となるユーザーの特定:上記の確認方法を参考に、準備が必要なユーザーを特定します。
- 組織でMFAが有効化されているか確認:[設定] > [ID 検証] にて、「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」が有効になっていることを確認します。
- 組織の認証オプションの設定と登録:[設定] > [ID 検証] で、ユーザーが利用できるMFAメソッドを定義し、各ユーザーに登録作業を促します。
- アクセス回復手順の確立:ユーザーがデバイスを紛失した場合などに備え、管理者が一時的な確認コードを生成するなどの社内プロセスを定義します。
- SSO利用時のIDプロバイダー側の動作確認:IDプロバイダー側の認証でMFAを利用し、適切なMFAシグナル(AMR/ACR)がSalesforceに送信されることを確認します。
MFAは既に設定されている企業の方が多いのであまり気にせずともよさそうですね。
3.3. ステップアップ認証: 時間ベース
概要
レポートのエクスポートや印刷など、特定の操作を行う際に、追加の認証(ステップアップ認証)が求められるようになります。これは不正なデータ流出のリスクに対する保護を強化するためです。ログイン時にMFAを完了していても、この追加認証はスキップされません。
ステップアップ認証に対応している認証方法:
- 登録済みの多要素認証(MFA)
- 有効なメールアドレスへの確認コード送付
- SMS対応の携帯電話番号への確認コード送付
準備が必要なユーザーの確認方法
レポートタイプ「ID 検証方法」を使用して、すべての内部ユーザー(特にSSOを利用しているユーザー)が、上記の認証方法のうち少なくとも1つを準備していることを確認します。
期日までに実施すること
- クールダウン期間の確認:[設定] > [ID 検証] ページで「定期的なステップアップ認証を要求」を選択し、クールダウン期間(2分〜120分)を調整します。
- SSOユーザーにおける準備:SSOを利用しておりSalesforceでMFAを登録していないユーザーは、メールやSMSによるワンタイムパスワードが要求されるため、MFAを登録するか、正しい電話番号・メールアドレスをユーザーレコードに登録するよう促します。
3.4. ステップアップ認証: 異常な動作
概要
ユーザーがレポートを実行または表示する際に機械学習によって異常な動作が検出された場合、次回のレポートに関するアクション実行時にステップアップ認証が要求されます。
これにより、不正なデータ流出のリスクに対する保護を強化します。
準備が必要なユーザーの確認方法
レポートタイプ「ID 検証方法」を使用して、すべての内部ユーザー(特にSSOを利用しているユーザー)が、ステップアップ認証に必要な準備(MFA登録、有効なメールアドレス、SMS対応携帯電話番号のいずれか)を完了していることを確認します。
期日までに実施すること
SSOユーザーにおける準備:SSOを利用しておりSalesforceでMFAを登録していないユーザーは、メールやSMSによるワンタイムパスワードが要求されるため、MFAを登録するか、正しい電話番号・メールアドレスをユーザーレコードに登録するよう促します。
3.5. トランザクションセキュリティポリシーの強化
概要
Salesforce ShieldまたはEvent Monitoringの契約がある組織を対象に、ReportEventに関するトランザクションセキュリティポリシー(TSP)が導入・有効化されます。
UI経由で10,000件を超えるレポートエクスポートが開始された際にTSPが実行され、ステップアップ認証が要求されます。
これにより、不正なデータ流出のリスクに対する保護を強化します。
期日までに実施すること
- TSP管理権限の割り当て:TSPの管理操作を行う管理者ユーザーに、「アプリケーションのカスタマイズ」権限に加え、新しい「トランザクションセキュリティポリシーを変更 (Modify Transaction Security Policy)」権限を割り当てます。
- ステップアップ認証の構成・周知:TSPを管理するユーザー、および10,000件以上のレポートエクスポートを実行するユーザーに対して、ステップアップ認証が実施できるように、MFAを登録するか、正しい電話番号/メールアドレスをユーザーレコードに登録するよう促します。
- デフォルトポリシーのテストと評価:Sandbox環境でデフォルトポリシーをテストし、組織のセキュリティ要件に合致するかを評価します。
- ポリシーの有効化・調整:デフォルトポリシーはSalesforceによって自動で登録され、期日を迎えると自動で有効化されます。期日より早く利用する場合や、管理者がポリシーを変更した場合は、手動で有効化してください。
まとめ
2026年6月より順次適用されるSalesforceのセキュリティ強化は、お客様のデータをより安全に保護するための重要な取り組みです。
各組織は、本記事で解説した内容を参考に、対象ユーザーの特定、必要な設定の有効化、MFA検証手段の登録、そしてSSO環境におけるIDプロバイダー側の動作確認などを期日までに実施することが求められます。
計画的な準備を進め、安全なSalesforce運用を継続しましょう。