多要素認証(MFA) 導入後に発生する可能性がある事象と事前にご理解頂きたいポイント

この記事で学べること多要素認証 (MFA) 導入後に発生する可能性のある事象日々のオペレーションやビジネスを止め無いために事前にご理解頂きたい MFA 利用のポイント背景Salesforce の 2022年2月より MFA の利用を必須化に伴い、非常に多くのお客様に MFA を利用して安全に Salesforce をお使い頂けております。利用の増加に伴い MFA 導入後のトラブルに関するお問い合わせも増えております。この記事では MFA 導入後に発生する可能性がある事象と日々のオペレーションやビジネスを止め無いために理解しておいて頂きたい点を紹介させて頂きます。MFA の運用を検討する一助となれば幸いです。多要素認証 (MFA) 導入後に発生する可能性のある事象Salesforce の MFA 導入後に発生する可能性のある事象として下記のような点が挙げられます。​何らかの障害(例：Salesforce の障害、お使いのスマートフォンの機器/通信障害)の影響で Salesforce の MFA を認証できない認証に必要なデバイスが紛失した・壊れた​いずれの場合でも複数の認証要素(例: スマートフォンで Salesforce Authenticator + セキュリティキー)をあらかじめ登録する事でリスクを低減頂けます。特にシステム管理者様については少なくとも 2 つ以上の検証方法を登録頂く事をビジネスを止めないためのベストプラクティスとして推奨させて頂いております。​MFA を有効化した後でシステム管理者がロックアウトされないようにするには?アクセス回復計画を準備して、通常の検証手段にアクセスできなくなった場合にシステム管理者が実行できる手順を用意しておいてください。次のベストプラクティスを検討してください。・各システム管理者は、少なくとも 2 つの検証手段を登録する必要があります。・バックアップセキュリティキーは、金庫など、職場の安全な場所に保管します。・ユーザと MFA 設定を管理する権限を持つアカウントを少なくとも 2 つ用意します。こうすることで、一方のアカウントがロックアウトされても、他方のアカウントを使用してアクセスを回復できます。通信障害等で Salesforce Authenticator の プッシュ通知が来ない場合通信障害や Salesforce の障害等が発生した際によく頂くお問い合わせとして Salesforce Authenticator の プッシュ通知が来ず認証ができないというご相談を頂きます。このような場合、下記のヘルプサイトに記載のように  Salesforce Authenticator に表示されている 6 桁のコードでも Salesforce にログイン頂く事が可能な場合がございますので、まずこちらを一度お試し下さい。​​Salesforce Authenticator のトラブルシューティングブラウザ上に表示される Salesforce のモバイルデバイスの確認ページで、「お困りですか？」をタップしてから、「別の検証方法を使用してください」をタップします。SalesforceAuthenticator からの 6 桁のコードを入力します。これは、電話がオフラインの場合でも機能します。​下記操作手順のステップとなりますので、ご参照下さい。(*Summer’22 リリース時点の画面キャプチャとなります。)​​お困りですか？をクリックします​​「別の検証方法を使用して下さい」をクリックします​「認証アプリケーションからのコードを使用」をクリックします​表示される画面の「確認コード」に Salesforce Authenticator に表示されている 6 桁のコードを入力し、「検証」をクリックします​補足:SSO (Single Sign On) を利用されているお客様最後に蛇足とはなりますが Salesforce の MFA 必須化に伴い複数のアプリケーションをご利用のお客様では SSO を導入され SSO の ID プロバイダーでの MFA を利用されるお客様も増加いたしました。直接 MFA とは関連いたしませんが Salesforce のベストプラクティスでは SSO を利用されているお客様におかれましても管理者の方については ID プロバイダーでの障害発生時に備えて直接ログインの経路を残す事が推奨されております点、ご認識置き頂き、一部のユーザーについては並行して Salesforce への直接ログイン頂く経路と MFA の設定をして頂きますとトラブル時の対応がスムーズになるかと存じます。ご参照いただければ幸いです。 ​シングルサインオンの FAQhttps://help.salesforce.com/s/articleView?id=sf.sso_tips.htm&type=5&language=ja​メモ：Salesforce システム管理者のログイン認証情報は無効にしないことをお勧めします。システム管理者は、ユーザ名とパスワードを指定して直接 Salesforce にログインできる必要があります。これは、SSO 停止などの問題に対応できるようにするためです。​学習ツール今から始める Salesforce MFA対策セミナー（MFA導入事例）https://play.vidyard.com/pNUeSkRji6hjjpwiRk2Xdq.html​実際に導入後にトラブルが発生したお客様にて、どのように対応されたかという点が事例が公開されております。ご参照下さい。MFA サポートプランの設定https://help.salesforce.com/s/articleView?id=sf.mfa_establish_support_plan.htm&type=5&language=jaMFA の運用計画を検討頂く際にご参照下さい。まとめこの記事では MFA の導入後に発生する可能性があるトラブルに対して、(特に管理者について) 2 つ以上の検証要素をあらかじめ準備頂く事が継続的なビジネスの運営に有効である旨を説明させて頂きました。また、通信障害や Salesforce で障害が発生した際に Salesforce Authenticator をお使いのお客様からよく頂戴するご質問としてプッシュ通知が来ず認証できないという点がありますが、そのような場合は Salesforce Authenticator の画面上に表示されます 6 桁のコードを入力することでログインいただける可能性がある旨、説明させて頂きました。上記の情報等を踏まえて、MFA 導入後の運用を円滑に進めて頂ければ幸いです。

(2024年2月) Salesforceの運用に関する重要なお知らせ

この記事で学べることSalesforce コア製品に関する重要な技術情報バージョンアップ情報やメンテナンス情報(バージョンアップ以外)、IP アドレスフィルタリングをしている場合に必要なIPアドレス範囲に関する情報、製品廃止情報、リリース更新などの重要情報セキュリティに関する重要なアップデート​動画で更新内容を学ぶhttps://play.vidyard.com/qJJatinQTvnMpK2a6b2ZWk​全ての資料をダウンロードして学ぶダウンロードはこちら​記事で更新内容を学ぶ本記事は「Salesforceの運用に関するお知らせ」の2月号となります。こちらの記事では、メンテナンス情報や技術情報、セキュリティ関連情報の構成で、特に重要な更新情報をピックアップしてご紹介いたします。必要なアクションをお客様にいち早く気づいていただくことを目的としていますので、毎月必ずご確認いただけますと幸いです。​2024年2月のトピックはこちらになります。本記事では、前月との差分である赤字の部分についてと、特に重要な情報をピックアップしてご紹介します。​まずは、製品イノベーションに関する情報です。​日本のお客様向けのインスタンス（APx、JPNx）が2月11日にSpring ‘24になりました。サクセスナビに「Spring '24リリース 注目の新機能」ページが公開されています。既に、注目機能のななめ読みを参照いただけますが、来月には各製品のエキスパートが注目機能を紹介する動画が追加される予定なので、ぜひブックマークをして楽しみにお待ちください。​関連リンクSalesforce Admins：Admin Release Countdown: Get Ready for Spring ’24サクセスナビ : バージョンアップに備えましょうサクセスナビ：Spring '24リリース注目の新機能オンラインコミュニティ：Release Readiness TrailblazersSpring '24 Release noteSalesforce Sandbox プレビュー手順Trustサイト（リリーススケジュール）Spring'24 Release SiteSpring '24 Release HighlightsRelease Overview DeckRelease in a BoxRelease Feature Matrix​続いて、リリースノートの更新情報です。Spring ‘24のリリースノートの更新情報のうち、現行動作に影響を与える可能性があるものと注目の機能を抜粋してご紹介します。今月は、1月9日以降の更新の抜粋になります。​No.4 Create From Lookup Changes参照項目の動作に関する内容です。参照項目からレコードを作成する際に「保存 & 新規」ボタンが表示されなくなります。参照項目以外からのレコード作成画面では引き続き「保存 & 新規」ボタンは表示されます。​No.5 Control Your Data Prep Concurrency AllocationCRM Analyticsに関する情報です。Spring '24からAnalyticsの設定画面に、[データフローとレシピ間での同時実行制限の共有を有効にします]オプションが追加されました。今回のリリースノートの更新では、それを設定するためにはCRM Analytics Plusのライセンスが必要である旨が追加されました。​No.6 Address Your Users’ Connection Issues Quickly by Seeing Org ID and Username in NotificationsEinstein 活動キャプチャに関する情報です。Einstein活動キャプチャの[接続状況通知]をONにしている場合、状況通知メールの本文に、組織IDとユーザー名が表示されるようになりました（以前のメール本文に含まれていたのは組織名のみでした）。なお、この変更はアプリケーション内通知には適用されません。​No.7 Unify Your Organizational Knowledge Across Sources in Salesforce (Beta)ナレッジに関する情報です。Spring '24から、SharePoint等のサードパーティシステムのナレッジをSalesforceに統合するUnified Knowledgeのベータ版がリリースされる予定でしたが、2024年2月23日から本番およびプレビュー対象のインスタンスのSandboxで有効にできる旨がリリースノートに追加されました。​No.8 Encrypt Fields Used to Train Generative AI Models生成AI関連の情報です。プラットフォーム暗号化の機能について、自然処理言語トレーニング モデルに入力されたデータを暗号化できる旨がリリースノートに追加されました。​No.9 Return to the Record Page with Record Create on Custom Quick Actionsクイックアクションにおける保存後のナビゲーションの変更に関する情報です。以前は、カスタムクイックアクションからスタックモーダル経由でレコードを作成すると、新しく作成されたレコードページにリダイレクトされていましたが、Spring'24では、保存後のナビゲーションが発生しなくなりました。レコードを保存すると、クイックアクションのトリガーとなったレコードページにリダイレクトされます。​No.10 Removed: Help Partners Streamline Communication with Personalized Sales Emails生成AIに関する情報です。Spring ‘24より、Einstein Sales Emails（取引先責任者とリード向けのパーソナライズされたメールをAIが生成してくれる機能） をExperience Cloudサイトでの利用可能になる予定でしたが、削除されました。​No.11 The Cloud Security Website Is Being Retired弊社のセキュリティに関するサイトの情報です。Cloud Securityサイト（https://security.my.salesforce-sites.com/）を公開してましたが、当社のコンテンツライブラリの質を向上させる取り組みの一環として、2024年2月初旬に閉鎖されました。上記サイトに掲載されていた情報の代替リソースはリリースノートに纏められておりますので、ご確認ください。​No.12 Resolve and Deflect Issues with Einstein Search Answers (Generally Available)生成AIに関する情報です。リリースノートに、Search Answerは英語の記事のみをサポートすることが明記されました。また、Search Answerは2024年2月末から順次利用可能になる予定です。​No.13 Use Work Summaries in More Languagesこちらも、生成AIに関する情報です。複数言語で作業要約を利用できるチャネルはチャットのみであることが明記されました。​No.14 Update Sharing Settings for the Operating Hours Object営業時間オブジェクトの共有設定に関する情報です。Spring '24で、営業時間オブジェクトの共有設定ができるようになりました。認証されていない (ゲスト) ユーザーが営業時間オブジェクトのデータにアクセスをする要件がある場合には、共有ルールを手動で作成する必要があります。また、 Salesforce Scheduler 経由で 営業時間オブジェクト にアクセスする場合、enableDepriveSoqlAccessGuestUserOrgPrefというメタデータAPIのフィールドをTrueに設定する必要があります。​No.15 Unlock the Power of AI with Einstein Studio生成AIに関する情報です。Einstein Studioの使い方を明確にしました。Einstein Studio タブでは、予測および生成 AI を強化する AI モデルを管理することができます。​No.16 Salesforce Ant Migration Tool End of Life開発者様向けの情報です。SalesforceのAnt移行ツールは、Spring '24で廃止される予定です。廃止後も、Ant移行ツールを利用することはできますが、新しい機能は更新されず、サポートされません。メタデータの変更を管理するには、Salesforce CLIに切り替えてください。​No.17 Record Access Is Secure by Default after Enabling Digital Experiencesロールを利用可能なコミュニティユーザライセンスをご利用中のお客様向けの情報です。2024年2月8日以降に作成された Salesforce 組織でデジタルエクスペリエンスを有効にした後のロールの変更に関するリリースノートを追加しました。2024年2月8日以降に作成されたSalesforce組織では、デジタルエクスペリエンスを有効にした後も、共有ルールやその他の機能によってロールおよび内部下位グループと共有されたレコードは、その内部ユーザのみがアクセスできます。2024年2月8日以前に作成された組織では、内部ユーザーと共有されたレコードは外部サイトユーザーにも自動的に公開されるため、外部ユーザーアクセスの変換ウィザードを使用してアクセスを確保する必要があります。​（No.18~20は、Salesforce Back Upに関する情報です）No.18  Back Up New Data On DemandSalesforce Backupアプリケーションのバージョン2.13では、自動バックアップだけでなく、任意のタイミングで増分バックアップを取得できるようになります。​No.19 Control Formula Field Data Backups at the Object Levelオブジェクト毎に数式項目のバックアップを取得することができるようになりました。​No.20 Back Up Files and Attachmentsファイルと添付ファイルをバックアップに含めることができるようになりました。​No.21 Allow the New Setup Domain to Ensure Access to Salesforce Setup Pages設定画面用の新しいドメインが追加される予定です。後述の[その他の更新]セクションで詳細を解説します。​No.22 Use Dynamic Forms on Pinned Region Pagesアプリケーションビルダーに関する情報です。ヘッダー等が固定されたテンプレートを使用するLightningレコードページで動的フォームが使用できる旨のリリースノートが追加されました。​No.23 Use Einstein Conversation Insights with Microsoft Teams and Google MeetEinstein会話インサイトに関する情報です。Spring ’24から、ビデオプロバイダーとしてMicrosoft TeamsとGoogle Meetを使用可能になる予定でしたが、Google Meetとのインテグレーションは2024年2月下旬に可能になることが明記されました。​No.24 Enforce Rollbacks for Apex Action Exceptions in REST API (Release Update)リリース更新に関する情報です。「REST API で Apex アクションの例外が発生した場合のロールバックの適用」というリリース更新の強制適用時期が、Spring ’24 から Spring '25に修正されました。​以上が、リリースノート更新情報からの一部抜粋ですが、関連機能をご利用のお客様はスライドにございますリンクより詳細をご確認ください。またすべての更新情報をご覧頂く場合は、更新情報一覧よりリリースノートをご覧ください。​続いて、多要素認証（MFA）に関する情報です。​Spring’24が適用されたことにより、これまで MFA の自動有効化が実施されていなかった組織に対して、MFA が自動有効化されました。この自動有効化は30日の猶予期間があり、MFAの準備ができていない場合、管理者様は組織のMFAを無効化することができます。しかしMFA適用は利用規約上必須なので、早めの対応をお願い致します。​関連リンク残りのすべての組織での MFA 自動有効化の完了 (リリース更新)2024 年 4 月から MFA がデフォルトでオンにSummer ’24 より Salesforce 製品への MFA の適用がアプリケーション内通知に移行​続いて、インフラ強化です。​インスタンスリフレッシュですが、今回は多くの更新がございます。まず、2月18日に計画されていたインスタンスリフレッシュは実施されましたが、EU16インスタンスについてはキャンセルとなり、別日程で実施される予定です。​次に、新たにインスタンスリフレッシュの計画が追加されているのでご案内します。上記スライドに記載されている日程にて本番組織、Sandbox組織ともにインスタンスリフレッシュが計画されており、日本のお客様にご利用いただいている「AP」で始まるインスタンスも計画の対象に含まれています。​お手元にTrustサイトから通知が届いているお客様もいらっしゃると思います。メンテナンス情報はTrust通知にて把握することができますので、Trust通知の登録をされていない管理者様はサクセスナビをご覧いただき、事前登録をお願いします。​また、インスタンスリフレッシュに関する準備につきましては、解説動画をサクセスナビよりご視聴いただけますので、該当するお客様は内容をご確認いただけますようお願いします。​関連リンクインスタンスリフレッシュメンテナンスインスタンスリフレッシュ、組織移行、継続的サイト切り替えって？インスタンスリフレッシュの概要と準備​続いて、許可すべきIPアドレスとドメインに関する情報です。「SalesforceのIPアドレスとドメインで許可する」のナレッジが1月15日と2月6日に更新されています。ARINとRIPEのそれぞれのリージョンでIPアドレス範囲が追加されていますのでご確認ください。​Hyperforceに関するナレッジ「Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持する」も1月16日と2月9日に更新され、ストリーミングAPIの要件が削除、また、W3School の HTML URL エンコーディングリファレンスへのリンクが追加されています。​そして、「Salesforce アプリケーションからのメールを受信できるようにする」のナレッジも1月24日に更新され、一部IPアドレスが除外されています。詳細は、対象ナレッジの英語版の改版履歴をご確認ください。​次にシステムメンテナンスについてです。​Hyperforce以外の優先システムメンテナンススケジュールについてです。こちらは英語版の公開ナレッジを基に、対象インスタンスを最新に更新しております。日本のお客様がご利用のインスタンスについても古いインスタンスを削除し、新しいインスタンスが追加されていますので、ご確認をお願い致します。​関連リンク優先システムメンテナンスのスケジュールSalesforce のメンテナンス中、組織にどのような影響がありますか？Trustサイト​続いて、リリース更新に関する情報です。​こちらのスライドは2月にリリースされた Spring’24 において適用されたリリース更新と、Spring'24以降に段階的に適用されるリリース更新の一覧です。リリース更新の適用によって以前と動作が変わっている機能もございますので、今回適用されたリリース更新の内容を改めてご確認ください。​関連リンクSpring '24 リリースノートの更新情報商談の暗黙的な子共有を保存しないことによる取引先共有の再適用の迅速化の実現 (リリース更新)ICU ロケール形式の有効化 (リリース更新)サクセスナビ : ICUロケール形式の有効化Visualforce JavaScript Remoting API の JsonAccess アノテーション検証の有効化 (リリース更新)Apex RestResponse ヘッダーの RFC 7230 に基づく検証の適用 (リリース更新)MFA Auto-Enablement Concludes for All Remaining Orgs (リリース更新)​こちらのスライドは次期バージョンである Summer’24 で適用予定のリリース更新です。リリース更新の中には重要な更新が含まれています。一部ご紹介させていただきますと、例えば、別のSalesforce組織へのリダイレクトを制御するものや、組織のメールアドレスで許可されたプロファイルを設定しないとメールが送信できなくなるもの、複数のSAMLフレームワークを適用するための更新など、Summer’24 リリースの前に管理者様にご確認いただきたい更新がございます。Summer’24 は6月にリリースされますので、それぞれの更新に関するヘルプ記事をご確認いただき、適用のご準備をお願い致します。​関連リンクSpring '24 リリースノートの更新情報信頼済みの組織間リダイレクトのみを許可 (リリース更新)組織のプロファイル設定を優先するために EmailSimple 呼び出し可能なアクションを有効化 (リリース更新)複数設定 SAML フレームワークへの移行 (リリース更新)フローへの入力として会話インテリジェンスルール名を引き渡し (リリース更新)ボットユーザーコンテキストでフローの実行 (リリース更新)メール-to-ケースのメールコンポーザー向けの Lightning エディターへの移行 (正式リリース) (リリース更新)​続きまして、その他の更新です。​こちらでは、Salesforce組織で使用されているURLの一部が更新されることをご案内いたします。URLが更新されるのは、Salesforceの画面の右上からアクセスする「設定」ページのURLで、「設定」ページのURLが「*.salesforce-setup.com」のURLに更新されます。この更新はすべての組織に一括で適用されるのではなく、段階的に適用を進めていく予定となっております。お客様のネットワーク環境において、アクセスできるサイトをドメインで制御している場合、「設定」ページにアクセスできるようにするため、該当ドメインを許可するように設定をお願い致します。​関連リンク新しい設定ドメインの許可必要なドメインを許可Understand How Google's Privacy Sandbox Initiative Impacts Salesforce​続いて、機能の廃止についてです。​機能廃止についての更新情報はないのですが、廃止時期が近づいている機能がございますのでご紹介します。Salesfore for Outlook の機能廃止が 2024年6月で予定されています。該当機能をご利用のお客様は、Outlook インテグレーションやEinstein 活動キャプチャへの移行をご検討ください。​関連リンクSalesforce 製品 & 機能の廃止​最後にその他の情報のお知らせです。​こちらでは、サクセスナビにAI特設ページが開設されたことをご紹介しております。こちらの特設ページでは、AI は Salesforce でどのように実現されるのか、AI を導入していくためにはどのようなステップを踏めばいいのかといった、AI に関する解説情報をご案内していますので是非ご一読いただければと思います。​本動画や資料に関するアンケートがございます。ぜひみなさまの率直なご意見をお聞かせください。いただいたご意見をできるだけ反映し、より良いものにしていきたいと考えておりますので、ご協力いただけますと幸いです。​2月度のアップデートは以上となります。最後までご覧いただき、ありがとうございました。

SalesforceによるセキュアなWebアプリケーション開発と開発における責任共有モデル

この記事で学べること・SalesforceがどのようにセキュアなWebアプリケーション開発をしているか、脆弱性対策を実施しているかが理解できる・Webアプリケーション開発におけるSalesforceとお客様の責任分界点が理解できる1. はじめにSalesforceが提供するSaaS とPaaSにおいてプラットフォーム部分はSalesforceの責任範囲であり、一方、利用者のアカウント管理、認証、、パスワードポリシーの設定、お客様のデータへのアクセス管理と監視等はお客様の責任範囲になりますが、このブログではWebアプリケーションの開発、特に脆弱性におけるお客様とSalesforceの責任分界点について説明します。​Salesforceが提供するSaaS とPaaSでは以下の2つの部分に分割されます。・プラットフォームの標準部分・プラットフォームの標準部分上にお客様が追加した部分「プラットフォームの標準部分」におけるセキュアなWebアプリケーション開発と脆弱性診断と対応はSalesforceが責任を負います。一方、「プラットフォームの標準部分上にお客様が追加した部分」におけるセキュアなWebアプリケーション開発と脆弱性診断と対応はお客様が責任を負います。2. Salesforceが責任を負う範囲「プラットフォームの標準部分」におけるセキュアなWebアプリケーション開発と脆弱性診断と対応はSalesforceが責任を負います。​「プラットフォームの標準部分」におけるセキュアなWebアプリケーション開発については、Salesforceは昨今のセキュリティ・バイ・デザイン、シフトレフトの考え方を採用し、セキュア開発ライフサイクル(SSDL)に従い、脅威モデリング、セキュアコーディング、静的コードスキャン(SAST)、DAST、ファジングテストを実施し、計画・設計、開発、テストのすべてのフェーズにおいて脆弱性等のセキュリティを考慮したWebアプリケーションの開発をしています。​そのため、SalesforceはWebアプリケーションの開発段階で、以下のようなOWASP Top 10脆弱性をはじめとする様々な脆弱性の対策を実施しています。・SOQLインジェクション・クロスサイトスクリプティング(XSS)・クロスサイトリクエストフォージェリ(CSRF)・コマンドインジェクション・HTTP/メールヘッダーインジェクション・ディレクトリトラバーサル・セッションハイジャック・クリックジャッキング等​​Salesforceのセキュア開発ライフサイクル(SSDL)の概要につきましては下記ホワイトペーパーをご確認ください。https://compliance.salesforce.com/en/faqs-and-white-papers「Salesforce Secure Development Lifecycle Overview」​しかし、日々あらたな脅威、脆弱性が発見されているため、Webアプリケーションの開発段階での脆弱性対策だけでは十分ではありません。​そのため、製品のリリース後、SalesforceはWebアプリケーションの「プラットフォームの標準部分」における第三者機関による脆弱性診断／ペネトレーションテストを定期的に実施しております(実施頻度は製品によって異なりますが、Salesforce Servicesの場合、年3回です)。​お客様はこの第三者機関による脆弱性診断/ペネトレーションテストの直近のサマリーレポートをSalesforceのコンプライアンスサイトからダウンロードいただき、診断結果をご確認頂くことが可能です。また、発見された脆弱性につきましてはSalesforceの基準に従って、迅速に対応しています。​また、Webアプリケーション自体の脆弱性対策だけではなく、システムが利用しているコンポーネントについても、SalesforceのTrustチームがベンダーやその他のソースからの脆弱性に関する警告とパッチリリースに関する通知を常にモニターし、脆弱性情報を一元管理し、対応の要否を検討しています。具体的には、システムに対する脆弱性の重大度とリスクに依存しますが、セキュリティパッチは直ちに展開するようにスケジュールされる場合や、適切な計画メンテナンス間隔まで実施延期される場合があります。また、適用せずに代替の方法でセキュリティコントロールを行う場合もあります。​​以上がSalesforceが責任を負う「プラットフォームの標準部分」におけるセキュアなWebアプリケーション開発と脆弱性対策になります。続いて、お客様が責任を負う範囲についてご説明します。​3. お客様が責任を負う範囲「プラットフォームの標準部分上にお客様が追加した部分」におけるセキュアなWebアプリケーション開発と脆弱性診断と対応はお客様が責任を負います。 ​お客様がノーコードまたはローコードを含むカスタム開発部分においてセキュアなWebアプリケーション開発を行っていただくために、Salesforceは以下の様々なガイドライン、ツールをご提供しております。お客様は、これらのガイドライン、ツールを使用し、お客様自身でセキュアな開発、定期的なセキュリティチェックを実施していただく責任があります。​Apex および Visualforce 開発のセキュリティガイドラインSecure Coding Guidelines (英語)Security Tips for Apex and Visualforce Development (英語)ソースコードスキャナ(Checkmarx)※Apex、Visualforceのソースコードスキャン。 SOQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ等を検出可能。12ヶ月ごとに360000行は無償でご利用可能セキュリテ状態チェック※クロスサイトスクリプティング等の脆弱性の簡易チェック機能があります。Salesforce Optimizer※過剰なアクセス権限を付与していないか等を検出する機能があります。​しかし、日々あらたな脅威、脆弱性が発見されているため、Webアプリケーションの開発段階での脆弱性対策だけでは十分ではありません。​そのため、お客様によるカスタム開発部分につきましては、お客様自身で脆弱性診断を実施していただくことを推奨しております。お客様が脆弱性診断を実施していただく手順はこちらのリンクに記載しておりますが、その中のSecurity Assessment Agreement(SAA)に診断の際の禁止事項、診断実施可能タイミング等の注意事項を記載しておりますので、こちらの内容を十分ご理解いただいた上で、診断の実施をお願い致します(診断の事前申請は不要です)。​また、お客様によるカスタム開発の責任はお客様に帰属するため、お客様の脆弱性診断で発見されたお客様によるカスタム開発部分の脆弱性につきましては、お客様にて修正等の対応を実施していただく必要があります。一方、お客様の脆弱性診断で「Saelsforce提供のプラットフォームの標準部分」の脆弱性を発見された場合は、Salesforce(security@salesforce.com)にご報告をお願い致します。その際にSalesforceへ連携していただく情報につきましてはこちらのリンクをご参照下さい。​また、CookieへのHttpOnly属性の付加、セッションハイジャック対策のためのセッションタイムアウトの設定等、お客様が設定可能な項目もございますので、こちらにつきましては以下のリンクをご参照下さい。https://help.salesforce.com/s/articleView?id=000318378&type=1https://help.salesforce.com/s/articleView?id=sf.admin_sessions.htm&type=5

バージョンアップに備えましょう

https://play.vidyard.com/2ws17oUCrGYkdTDs4vJfRv動画で紹介した各リンクは以下よりご確認いただけますSandbox プレビュー（ナレッジ）はこちらCSG公式XアカウントはこちらSalesforceの運用に関する重要なお知らせ（サクセスナビ記事）はこちら新機能Trailblazers分科会「リリースノートと仲良くなろう！読み方のコツ」はこちらオンラインコミュニティ「新機能Trailblazers分科会」へ遷移します。ご利用のSalesforceユーザーID・パスワードによるログインが必要です。「新機能Trailblazers分科会」にご参加いただいていない方は、ログイン後こちらから参加申請をお願いします。この記事で学べること次期バージョンアップに備える方法について知ることができますリリースノートの読み方のポイントを知ることができますSalesforceのバージョンアップって何？みなさまは、Salesforceのバージョンアップ（メジャーリリースと呼ばれる事もあります）について、ご存知ですか？普段の生活で、おそらく頻繁に利用しているインターネットの検索画面やカレンダーの画面などが突然変わる事に気づいた経験はあると思います。それと同じように、Salesforceも定期的に（年3回）バージョンアップ（進化）しています。例えば、2023年6月6日時点のバージョンは、Spring’23 でした。次のバージョンアップ（2023年6月11日）で、Summer'23になります。Salesforceを昔からご利用のお客様は、Classicの画面をご存知だと思います。Classicの時は、画面左上にロゴが表示されていたので、「あ。ロゴが変わった。バージョンが変わったのかな」と気付くこともあったかもしれません。Classicはこんな感じでした。懐かしいですね！Lightning Experienceでは、ログイン後、ホーム画面が表示される前にロゴが表示されるように変わりました。​「知らないうちにバージョンアップが行われているなんて、何事だ！！」と怒らないでください。バージョンアップの日程は、バージョンアップの約1年前からTrust サイトのシステム状況ページ に公開されています。（詳細は、Salesforceのメンテナンスを知ろうをご確認ください）Sandboxプレビューって何？Salesforceには、年3回バージョンアップがあることをご紹介しましたが、じゃあ「どんな新機能が出てくるのか？」「便利になるのか？」「自分たちが使っている機能に影響はあるか？」など、色々事前に知りたいことがあると思います。​システム管理者の方であれば、ユーザから「なんか画面変わりました・・・？」と聞かれて、慌てて調べる・・・という状況は避けたいですよね？​Sandboxプレビューは、本番環境がバージョンアップをする前に、事前にプレビューができるサービスのことです。Sandboxプレビューの詳細については、Sandbox プレビューによる早期アクセス（Trailhead）をご確認くださいプレビューで何するの？じゃあ、プレビューでは、具体的に何ができる/何をすればいいのでしょうか。プレビューに参加する目的バージョンアップでは、新しい機能が追加されたり、既存機能が拡張されたりします。契約している製品に関する情報をリリースノートで確認して、実際の業務で使えそうな便利機能があれば事前に動作確認ができます。使い方の説明動画や資料を作成し、事前にユーザに共有することもできますね！​また、開発をしている組織のシステム管理者の方は、バージョンアップ後に自分たちが開発した機能がきちんと動くか気になると思います。そんな時は、プレビュー対象のインスタンスにSandboxを作成しておく（※）ことで、本番のバージョンアップ前に、お客様が開発した機能の動作の事前検証を行っていただくことができるのです！​（※）Sandboxプレビューの詳細については、システム管理者宛の製品コミュニケーションメールでお知らせします。製品コミュニケーションについては、製品およびサービスに関するお知らせ（ナレッジ）をご確認ください。 Salesforceでは事前検証していないの？Salesforceでは、本番環境のバージョンアップ前に各種テストに加えて、 Apex ハンマーというプロセスによってすべての Apex テストを自動的に実行します。（ハンマープロセスは組織を選択して実行するため、すべての組織で実行されるわけではありません）Salesforceでは、バージョンアップ前に、検出されたすべての問題を修正するよう努めています。詳細は、Apex 単体テストの開始（Trailhead）をご確認ください。お客様によるテストが必要な理由お客様固有の開発がバージョンアップの影響を受けていないか/想定どおりの動作をしているかを確認できるのは、お客様しかいません！テストをする際は、業務をする上で特に重要な機能を優先して確認をすることを推奨します。​テストが必要な開発の例：Apexクラス、トリガ、Visualforceページ、Lightningコンポーネント、外部システムとの連携機能などテストで問題が見つかった場合は、同様の問題が既に報告されていないかをKnown Issuesサイトで確認します。同様の問題が無い場合は、早めに弊社テクニカルサポートへお問い合わせをいただくことで、本番環境がバージョンアップする前に対応ができる可能性が高くなります。​※お問い合わせを頂く際は、事前に、その問題がSalesforceのバージョンアップによるものか、お客様のカスタムコードによるものかの切り分けをしていただけますよう、お願いします。詳細は、お問い合わせをする時のポイント （サクセスナビ）をご確認ください。​さて、開発をしている組織にとって、Sandboxプレビュー期間を活用した事前テストが重要である点について、ご理解いただけましたでしょうか。​ここからは、事前テストをする上で欠かせないリリースノートの読み方についてご紹介します。開発をしていない組織のシステム管理者の方も、リリースノートを参照して、便利な機能がないか確認しましょう！リリースノートの読み方Salesforceのバージョンアップ毎に公開されるリリースノートでは、製品の機能強化や新機能について簡潔に説明しています。リリースノートの種類リリースノートには、HTML 版とPDF 版があります。HTML版：検索や絞り込みで、必要な情報に最短でたどり着くことができます。また、使用される言語はブラウザの設定によって決まります。言語を変更するには、下部にスクロールして [言語を変更] をクリックし、言語を選択します。​PDF版：全体を俯瞰して確認することができます。iPadなどのタブレットにダウンロードして、読書のような感覚でページをめくりながら新しい機能を探したいときにいいですね。​HTML版の場合、以下で絞り込みができます環境Salesforce ClassicLightning ExperienceモバイルエディションEnterprise EditionUnlimited Edition など機能の影響有効（ユーザ）有効（システム管理者/開発者）システム管理者が有効化する必要ありSalesforceに連絡して有効化製品エリアセールスサービス などリリースノートに記載されている機能はすべて自動で使えるようになりますか？いいえ。機能毎に異なります。バージョンアップ直後に自動で（すべてのユーザ、もしくはシステム管理者や開発者のみに対して）有効化されて使えるようになるものもあれば、（ユーザが使えるようにするために）システム管理者が手動で有効化しなければならないもの、機能を有効化するためにサポートへご連絡を頂く必要があるものなどがあります。これらの情報はリリースノートの機能が使用可能になる方法と状況に纏められています。​なお、機能によっては、バージョンアップ（直後ではなく）徐々に機能が有効化されて使えるようになるものもあります。その場合、対象機能のリリースノート詳細画面にその旨記載されます。リリースノートの日本語版リリースノートは、ほぼ毎週のように更新されており、更新内容はリリースノートの変更に追記されます。中にはリリース予定の機能の延期や（リリースノート公開時点では記載がなかった）新機能が追加されたり、機能に関する説明が追加されたりすることがあります。順次翻訳されますが、最新情報は英語のリリースノートを確認するようにしてください。※リリースノートの更新情報は、「Salesforce の運用に関する重要なお知らせ」（サクセスナビ）の中で、重要なものを抜粋してお知らせしていますので、ぜひご覧ください。リリースノートの内容リリースノートは、以下のような構成になっています。Salesforceをご利用中のすべてのお客様に関係する内容（みなさまにご覧頂きたい内容です）サポートされるブラウザSalesforce 全体 など製品/機能毎の内容（ご契約/ご利用中の製品/機能をご確認ください）Analyticsコマースカスタマイズ などリリース更新（みなさまにご覧頂きたい内容です）セキュリティに関する情報を含んでおり、期限が来ると強制的に有効化されるものがあります。リリースノートの使い方リリースノートのボリュームは年々増加しており、そのすべてを確認することは、日々の業務で多忙なシステム管理者のみなさまにとっては難しいと思います。​まずは、上記太字にある（みなさまにご覧頂きたい内容）と（ご契約/ご利用中の製品/機能）について確認をしてください。その際、不明点が出てきたら、弊社テクニカルサポートへお問い合わせいただくことで理解の促進にお役立ていただくことができます。​また、「知らないだけで、何か活用出来る機能は無いか確認したい」という場合は、機能が使用可能になる方法と状況から探して頂くのがお薦めです。機能が使用可能になる方法と状況には、提供予定の機能がリリースノートの構成に沿って纏まっています。そのため、自分でリリースノートを検索しようにも、「どのようなキーワードで検索すればよいかわからない」という方に最適です。一覧から興味のある機能や聞いたことがある機能を見つけたら、リンクをクリックして詳細説明を確認します。そして、「実際に試してみたい！」という時には、プレビュー中のSandboxでテストをすることができます！リリースノートの確認ポイントサポートされるブラウザSalesforceを利用するためにはブラウザが必要です。自社で利用しているブラウザが記載されているか（引き続きサポート対象であるかを）確認します。Salesforce全体すべてのユーザが毎日使っているであろう「検索」や（契約製品関わらず）使うと便利な「Salesforceアンケート」や「Your Accountアプリケーション」といったSalesforceのオススメ機能の更新情報が含まれます。未使用の便利機能が見つかる可能性がありますので、ぜひチェックしてみてください。AnalyticsAnalyticsには、「CRM Analytics」に関する情報だけでなく、みなさまお使いの「レポートとダッシュボード」の情報も含まれます。こちらも必見の内容です。カスタマイズ（コーディング不要な）ポイント＆クリックでカスタマイズできる設定（「Lightningアプリケーションビルダー」など）が含まれます。こちらも多くのお客様にてご利用いただいている（Salesforceとしてもご活用いただきたい）機能に関する情報のため、確認することをおすすめします。開発Lightningコンポーネント、Apex、API、Sandboxなど、開発をしている場合は必見です。この情報と[リリース更新]を元に既存の開発機能に影響するものはないか確認し、テストを行います。モバイルモバイルアプリケーションやMobile Publisherをご利用のお客様はご確認ください。リリース更新特定の時期に強制的に適用される変更や設定変更の情報を記載しており、必読です。セキュリティ・性能・操作性に関わるデフォルト動作の変更や設定変更が含まれるため、[テスト実行]に対応している更新については、事前にSandbox環境で有効化し、その変更が自組織に与える影響範囲の確認をなるべく早めに実施することを推奨します。学習ツールSalesforce リリース準備状況戦略（Trailhead）Advanced Salesforce Release Readiness Strategies（Trailhead）メジャーリリースにおけるテストの考え方（Trailblazer Community）まとめ（チェックリスト）開発をしている場合に、本番環境のバージョンアップ前に、Sandboxプレビューを活用し、事前にテストをすることの重要性を理解しました。リリースノートをすべて確認するのは困難なので、すべてのお客様に共通する内容、現在使用している製品や機能に関する内容、リリース更新を中心に確認しましょう​