(仮題)2026 年 6 月から開始されるセキュリティ強化に備えよう
公開日 :
Share:
目次
この記事で学べること
2026 年 6 月から順次開始される一部の Salesforce 製品(Salesforce Platform)のセキュリティ強化に関する更新について、その概要やスケジュールをご説明します。あわせて、今後必要となる準備についてもご理解いただける内容となっています。
背景
サイバー攻撃の脅威から Salesforce をご利用のお客様を保護するという当社の継続的な取り組みの一環として、Salesforce Platform 向けのセキュリティ強化を随時実施しています。2022 年 2 月より MFA の適用を利用規約上必須としておりましたが、昨今のサイバー攻撃はかつてないスピードで巧妙化を続けています。そういった脅威からお客様組織を保護するため、2026 年 6 月より、お使いの環境において順次セキュリティの強化を行ってまいります。
6 月から開始されるセキュリティ強化の概要とスケジュール
6 月から下記のセキュリティ強化が Sandbox 環境、本番環境それぞれで実施される予定です。Salesforce の UI から直接ログインいただいているお客様も シングルサインオン (SSO) でログインいただいているお客様も、すべてのお客様において確認と準備が必要な内容となります。
*2026 年 5 月 22 日時点。最新のスケジュールはこちらから確認ください
(最新情報は英語版をご覧ください)
各アップデートの詳細や必要な準備は後述いたします。
管理者/特権ユーザー向けのフィッシング耐性 MFA 必須化
概要
- 目的:組織内で強い権限を持つユーザーが侵害されることによって、お客様組織の設定やデータを参照されるリスクを低減します。
- 動作の仕組み: フィッシング耐性のある多要素認証(MFA)を利用することで、管理者/特権ユーザーはSalesforceにログインできます。フィッシング耐性のあるMFAで利用できる検証手段には以下のようなものがあります。
- セキュリティキー
- 組み込み Authenticator (Touch ID、Face ID、Windows Hello など)
- 対象ユーザー: 以下いずれかの条件に該当するユーザー
- システム管理者( System Administrator )プロファイルが割り当てられている
- プロファイルや権限セットなどを通じて以下のいずれかの権限が付与されている
- すべてのデータの編集
- すべてのデータの参照
- アプリケーションのカスタマイズ
- Apexの開発
- 注意点:
- Salesforce Authenticator やサードパーティの TOTP アプリ(Google / Microsoft Authenticator等)は「フィッシング耐性のMFA」の要件を満たしません。
- 「除外ユーザーの多要素認証を放棄」権限による MFA の除外は機能しなくなります
準備が必要なユーザーの確認方法
Salesforce に直接ログインしているユーザーの場合:
1. 標準機能を用いた確認方法:
リストビューやレポートで、プロファイルが「システム管理者」のユーザーを抽出します。
- ユーザーリストビュー:
- 項目:「プロファイル」
- 演算子:「次の文字と一致する」
- 値:「システム管理者」や「System Administrator」を設定してください。
- レポート:
- レポートタイプ:「ユーザー」を選択し作成してください。
2. User Access and Permissions Assistant による確認:
アプリケーションをインストールして、対象の権限を持っているユーザーを確認します。
- AppExchangeをインストールし、Permission Analyzer の機能を使用します。
- Analyze by:「permission」
- Permission type:「User」
- Permission type:以下の権限を一つずつ指定して確認します。
- 「すべてのデータの編集(Modify All Data)」権限
- 「すべてのデータの参照(View All Data)」権限
- 「アプリケーションのカスタマイズ(Customize Application)」権限
- 「Apexの開発(Author Apex)」権限
Salesforce に SSO 経由でログインしているユーザーの場合:
ID プロバイダー側の認証においてフィッシング耐性のある MFA をユーザーが利用しているかを確認します。
期日まで実施すること
1.対象となるユーザーの特定
上述の確認方法を参考に、準備が必要なシステム管理者や特権ユーザーを特定します。
2.フィッシング耐性のある MFA の有効化と登録
<セキュリティキーを使用する場合>
- [設定] > [ID 検証] を開き、以下の設定が有効化されていることを確認します。
- ユーザー自身でフィッシング耐性のあるMFAを登録します。
<組み込み Authenticator を使用する場合>
- [設定] > [ID 検証] を開き、以下の設定が有効化されていることを確認します。
- ユーザー自身でフィッシング耐性のあるMFAを登録します。
参考情報:この確認を行う際、パスキーログインの有効化を行うことを推奨します。これにより、ユーザーはパスワードを入力せずに、より高速で安全にログインできるようになります。
3.(SSO利用時) ID プロバイダー側の動作確認
ID プロバイダー側の認証においてフィッシング耐性のある MFA を利用します。
また ID プロバイダーからフィッシング耐性のある MFA のシグナル(AMR/ACR)が Salesforce に送信される必要があります。ID プロバイダーが適切なシグナルを Salesforce に送信していない場合、ユーザーは Salesforce 上で再度フィッシング耐性のある MFA が求められます。
つきましては、ID プロバイダー側の動作をご確認いただき、適切な MFA シグナル(AMR/ACR)を返しているかご確認ください。なお、MFA シグナルの詳細はこちらの公開情報をご覧ください。
全従業員ユーザー向けの多要素認証 (MFA) 厳格化
概要
- 目的:ユーザーアカウントをサイバー攻撃の脅威から保護し、組織全体のセキュリティをより強化するためです。
- 動作の仕組み: ログイン時にユーザー名とパスワードを入力するだけでなく、サポートされている MFA検証メソッド( Salesforce Authenticator、サードパーティの TOTP アプリ、セキュリティキー、組み込み Authenticator など)を使用して本人確認を行うよう要求します。
- 対象ユーザー: システム管理者や特権ユーザーを除くすべての内部ユーザー
- 注意点:
- 「除外ユーザーの多要素認証を放棄」権限による MFA の除外は機能しなくなります。
準備が必要なユーザーの確認方法
Salesforce に直接ログインしているユーザーの場合:
組織内で準備が必要なユーザーを特定するには、以下のようにレポートで確認します。
- レポートタイプ:
- ID 検証方法
- 追加する項目:
- ユーザー名
- 有効
- 組み込み Authenticator
- WebAuthn セキュリティキー
- U2F セキュリティキー
- Salesforce Authenticator
- 時間ベースのワンタイムパスワードアプリケーション
Salesforce に SSO 経由でログインしているユーザーのー場合:
ID プロバイダー側の認証においてユーザーが MFA を利用しているかを確認します。
期日まで実施すること
1.対象となるユーザーの特定
上述の確認方法を参考に、準備が必要なユーザーを特定します。
2.組織で MFA が有効化されているか確認
[設定] > [ID 検証] を開き、「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」が有効になっている事を確認します。
3.組織の認証オプションの設定と登録
ユーザーがどの MFA メソッド(Salesforce Authenticator、サードパーティのTOTPアプリ、セキュリティキー、組み込み Authenticatorなど)を選択・使用できるかを[設定] > [ID 検証] で定義します。
組織で登録オプションを決定後、各ユーザーにて登録作業を行います。登録ステップは下記のナレッジ記事をご参照ください。
多要素認証 (MFA) が有効な組織における MFA 検証手段の設定方法
※実際に本番環境にて実施いただく前に Sandbox 環境でお試し頂く事を推奨します
4.アクセス回復手順の確立
ユーザーがデバイスの紛失等でロックアウトされた場合などに備え、管理者が一時的な確認コードを生成するなど、社内での対応プロセスをあらかじめ定義しておきます。
5.(SSO利用時のみ) IDプロバイダー側の動作確認
ID プロバイダー側の認証において MFA を利用します。
また ID プロバイダーから MFA のシグナル(AMR/ACR)が Salesforce に送信される必要があります。ID プロバイダーが適切なシグナルを Salesforce に送信していない場合、ユーザーは Salesforce 上で再度 MFA が求められます。
つきましては、ID プロバイダー側の動作をご確認いただき、適切な MFA シグナル(AMR/ACR)を返すことができるかご確認ください。なお、MFA シグナルの詳細はこちらの公開情報をご覧ください
レポート操作に対するステップアップ認証: 時間ベース
概要
- 目的:不正なデータ流出のリスクに対する保護を強化します。
- 動作の仕組み: レポートの実行や表示の際にステップアップ認証が必要となります。ステップアップ認証後も、一定時間(最大2時間)経過後に再度レポートの操作を行う場合には、ステップアップ認証が求められます。
- 対象ユーザー: すべての内部ユーザー
- 注意点:
- ログイン時に MFA を完了していても、この追加の認証はスキップされません。
- 「エクスポート」や「ダウンロード」ボタンをクリックした時だけでなく、レポートの実行や表示をする時もステップアップ認証が必要です。
ステップアップ認証に対応している認証方法
ステップアップ認証は以下の方法で実施されます。
- 登録済みの多要素認証(MFA)
- 有効なメールアドレスへの確認コード送付
- SMS 対応の携帯電話番号への確認コード送付
Salesforce に直接ログインしているユーザーの場合:
直接ログインするユーザーは、すでに上記1(MFA)の設定が必須となっているため、新たな設定は必要ありません。
Salesforce に SSO 経由でログインしているユーザーの場合:
ID プロバイダー側の MFA を利用してSalesforce にログインしているユーザーは、ステップアップ認証に必要な準備ができていない可能性があるため、上述の 1, 2, 3 いずれかの準備が必要になります。 (登録が必要となるユーザーの確認方法について、1.については上述されているため、ここでは主に 2. 3. について説明します。)
準備が必要なユーザーの確認方法
組織内で準備が必要なユーザーを特定するには、以下のようなレポートを使用して、すべての内部ユーザー(特にSSOを利用しているユーザー)が、ステップアップ認証に必要な準備のうち、少なくとも1つが完了していることを確認します。
- レポートタイプ:
- ID 検証方法
- 追加する項目:
- ユーザー名
- 有効
- 組み込み Authenticator
- WebAuthn セキュリティキー
- U2F セキュリティキー
- Salesforce Authenticator
- 時間ベースのワンタイムパスワードアプリケーション
- ユーザーの検証済み携帯番号
- ユーザーの検証済みメール
期日までに実施すること
- クールダウン期間の確認
- [設定] 画面の「ID 検証」ページを開く
- 「クールダウン期間内にステップアップ認証を要求する (Require step-up authentication within cool-down period)」を選択します。
- 必要に応じて、クールダウン期間の値を調整します(2分〜120分の間で設定可能)。
- SSOユーザーにおける準備
- Salesforce へのログインにSSOを利用しており、Salesforce で MFA を登録していない場合、認証時にメールまたは SMS によるワンタイムパスワードが要求されます。
- そのため、メールや SMS を受信できないユーザーに対しては MFA を登録するか、正しい電話番号・メールアドレスをユーザーレコードに登録するよう促します。
レポート操作に対するステップアップ認証: 異常な動作
概要
- 目的: 不正なデータ流出のリスクに対する保護を強化します。
- 動作の仕組み:ユーザーがレポートを実行または表示する際に機械学習によって異常な動作が検出された場合、次回のレポートに関するアクションが実行された際に、ステップアップ認証が発生します。
- 対象ユーザー: すべての内部ユーザー
- 注意点:
- 異常が検知された際、ユーザーが Salesforce の MFA を登録しておらず、有効なメールアドレスや電話番号も設定していない場合は、ステップアップ認証を完了できず操作が完全にブロックされます。
- ステップアップ認証は、ユーザーが直近でステップアップ認証を完了していた場合でも要求されます。
準備が必要なユーザーの確認方法
組織内で準備が必要なユーザーを特定するには、以下のようなレポートを使用して、すべての内部ユーザー(特にSSOを利用しているユーザー)が、ステップアップ認証に必要な準備のうち、少なくとも1つが完了していることを確認します。
- レポートタイプ:
- ID 検証方法
- 追加する項目:
- ユーザー名
- 有効
- 組み込み Authenticator
- WebAuthn セキュリティキー
- U2F セキュリティキー
- Salesforce Authenticator
- 時間ベースのワンタイムパスワードアプリケーション
- ユーザーの検証済み携帯番号
- ユーザーの検証済みメール
期日までに実施すること
- SSOユーザーにおける準備
- Salesforce へのログインにSSOを利用しており、Salesforce で MFA を登録していない場合、認証時にメールまたは SMS によるワンタイムパスワードが要求されます。
- そのため、メールや SMS を受信できないユーザーに対しては MFA を登録するか、正しい電話番号・メールアドレスをユーザーレコードに登録するよう促します。
トランザクションセキュリティポリシーの強化
概要
- 目的: 不正なデータ流出のリスクに対する保護を強化します。
- 動作の仕組み:
- Salesforce Shield または Event Monitoring の契約のある本番組織・Sandbox 組織が対象。
- 新たに ReportEvent に関するトランザクションセキュリティポリシー(TSP) が導入・有効化されます。そして、UI 経由で 10,000 件を超えるレポートエクスポートが開始された際に TSP が実行され、ステップアップ認証が要求されます。
- 対象ユーザー: すべての内部ユーザー
- 注意点:
- TSP の管理操作を行うには「アプリケーションのカスタマイズ」と「トランザクションセキュリティポリシーの管理」の両方の権限が必要です。「アプリケーションのカスタマイズ」のみを持つユーザーには読み取り専用アクセスが付与されます。
- 組織内にすでに既存の ReportEvent ポリシーが存在する場合、デフォルトのポリシーは「無効」な状態でリリースされ、自動的に有効化されることはありません(既存の TSP にも影響しません)。
- 自動で有効化されるまでに管理者がデフォルトポリシーを何らかの形で編集・変更していた場合、Salesforce は「管理者がポリシーをレビュー・テスト中」と見なし、自動で有効化は行われません。
期日までに実施すること
1. TSP 管理権限の割り当て
TSP の作成 / 更新 / 削除 / 有効化 / 無効化の操作を実施する管理者ユーザーに対して、既存の「アプリケーションのカスタマイズ」権限に加えて、新しい「トランザクションセキュリティポリシーの管理 (Modify Transaction Security Policy)」権限を割り当てます。
2.ステップアップ認証の構成・周知
TSP を管理するユーザー、および 10,000 件以上のレポートエクスポートを実行するユーザーに対して、ステップアップ認証が実施できるように、MFA を登録するか、正しい電話番号 / メールアドレスをユーザーレコードに登録するよう促します。
3.デフォルトポリシーのテストと評価
デフォルトの TSP は無効な状態で展開されます。Sandbox 環境でこのポリシーをテストし、組織のセキュリティ要件に合致するかをテストします。
4.ポリシーの有効化・調整
デフォルトポリシーは Salesforce によって自動で登録され、期日を迎えると自動で有効化されます。ポリシーを期日より早くご利用いただく場合は手動で有効化してください。管理者にてポリシーを変更していた場合、自動で有効化されないので、手動での有効化をお願いします。
本件に関する参考情報
- Security-Related Product Updates to the Salesforce Platform: User Identity, Data Protection, and Access Controls
- Prepare for Phishing-Resistant MFA Enforcement for Privileged Users, Including Admins
- Prepare for MFA Enforcement for All Employee Users
- Prepare for the upcoming Step-up Authentication requirements on Report Actions
- Prepare for Step-up Authentication in Anomalous Report Export
- Prepare for Transaction Security Policy Enhancements
本記事や参考情報に関してご不明点等ございます場合には、弊社サポートにお問い合わせください。
公開日 :
Share:
この情報は役に立ちましたか?
ご意見お待ちしております。
フィードバックありがとうございます。
より役に立つために
役に立たなかった一番の理由を教えてください。
