👨🏫
Salesforceセキュリティ設定完全ガイド:データ保護とアクセス制御のベストプラクティス
公開
2025-03-12
文章量
約2462字
Salesforceプラットフォームは、企業のコアデータを扱う重要なシステムです。
セキュリティ設定を適切に行うかどうかで、組織のデータが安全かどうかが大きく変わります。
この記事では、SalesforceエンジニアやSalesforceを学びたい方に向けて、データ保護とアクセス制御のポイントを具体的に紹介していきます。
1. Salesforceセキュリティの重要性
Salesforceには、組織内外からさまざまな方法でアクセスされる可能性があります。たとえば、Lightning Web Componentsを使ったフロントエンドアプリケーション、Apexクラスによるビジネスロジック、他システムとのAPI連携など、多岐にわたる技術スタックが関わります。だからこそ、リリース前の設計段階からセキュリティ要件を明確化し、十分なテストを行うことが重要です。
メンテナンス性とセキュリティの両立
- 細かい権限設定やロール階層管理を行うことで、データ流出リスクを最小限に抑えられます。
- 一方で、設定が複雑化すると管理コストが高くなりがちです。運用チームとも連携しながら、プロファイルと権限の維持管理を最適化する必要があります。
2. データ保護の基本
Salesforceには標準機能として、暗号化やフィールドレベルセキュリティ(FLS)、**組織全体のデフォルト(OWD)**などが提供されています。これらを理解し、実装することでデータをしっかりと守れます。
Salesforce Shieldによる暗号化
- 重要な機密情報(顧客の個人情報、支払い情報など)はSalesforce Shieldの機能を活用し、暗号化対象のフィールドを適切に設定します。
- たとえば、クレジットカード情報や個人識別番号など、取り扱いに制限があるデータは必ず暗号化し、不要なユーザが閲覧できないようにします。
バックアップとリストア戦略
- データ保護には暗号化だけでなくバックアップも欠かせません。万が一の障害やデータ破損に備え、定期的にバックアップを取得します。
- Salesforceの標準バックアップ機能のほかに、外部ツールを使ったバックアップ戦略を検討してみるのもおすすめです。
3. アクセス制御の設計
正しいアクセス制御を実現するためには、プロファイルや権限セット、ロール階層などの設計が欠かせません。無制限にアクセスを与えると、事故や不正が起こりやすくなります。
プロファイルと権限セット
- プロファイルはユーザが最低限必要とする権限のセットを定義します。
- 権限セットは特定のユーザや業務ロール向けに追加権限を付与するための仕組みです。
- 基本方針として、プロファイルはできるだけシンプルにし、細かい制御は権限セットで行うのがおすすめです。
ロール階層とレコード共有
- ロール階層は組織構造に基づいてデータの可視性を管理します。上位ロールは下位ロールのデータを閲覧できますが、必要以上に可視性を広げないように注意しましょう。
- 共有ルールや手動共有を使って、特定の状況(プロジェクト単位など)だけでデータを共有する仕組みを作ると、柔軟性を保ちながら安全を確保できます。
4. ネットワークアクセスと認証
Salesforceへのアクセス経路と認証方式を管理することで、外部からの不正アクセスを防ぎます。
IP制限とログイン時間制限
- ネットワークアクセス制限を使って、組織で許可されたIPアドレス以外からのログインをブロックできます。
- シフト制や在宅勤務など、業務形態に合わせたログイン時間制限を設定すると、不正使用のリスクをさらに下げられます。
マルチファクター認証(MFA)
- Salesforce AuthenticatorアプリやOne-Time Password(OTP)を導入することで、二要素認証を簡単に実装できます。
- 重要度の高いユーザ(システム管理者、開発者など)は必須でMFAを利用するべきです。
シングルサインオン(SSO)
- 大規模な組織では、SAMLやOAuth 2.0を利用したシングルサインオンの導入が効果的です。
- OktaやAzure Active DirectoryなどのIdP(Identity Provider)との連携を検討し、管理を一元化すれば、ユーザエクスペリエンス向上とセキュリティ強化を同時に実現できます。
5. モニタリングと監査
どれだけセキュリティ設定を頑張っても、実際に監視しないと問題に気づかないことがあります。定期的な監査とモニタリングが重要です。
監査証跡とイベントログ
- Salesforceは監査証跡やイベントモニタリング機能を提供しており、ログイン履歴やAPIアクセス状況を把握できます。
- 重要イベント(たとえば、管理者がプロファイルを変更したなど)をアラートで通知する仕組みを作れば、問題発生時にすばやく対処できます。
Visualforce・Apex・LWCのセキュリティレビュー
- 開発したApexクラスやVisualforceページ、Lightning Web Componentsにセキュリティ脆弱性がないかチェックすることも大切です。
- Salesforce Security Scannerなどの自動ツールを活用し、コードレビューのプロセスに組み込むと効率的です。
6. まとめ
Salesforceプラットフォームのセキュリティ設定は、データ保護とアクセス制御を軸として多くの要素が絡み合っています。
- プロファイル・権限セットの整理
- ロール階層と共有ルールの適切な設計
- MFAやSSOを含む認証強化
- Salesforce Shieldなどの暗号化機能
- ログや監査証跡の活用
これらを相互に組み合わせることで、堅牢かつ運用しやすい環境が整います。セキュリティ対策はやり過ぎると運用コストやユーザビリティが下がる一方で、甘くすると重大なインシデントにつながります。常にバランスを考えながら、システム全体を継続的に見直すことが、Salesforceエンジニアとしての腕の見せ所です。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
