Salesforce ログイン IP 制限の徹底解説:管理者向けガイド

日付:

背景と応用シーン

Salesforce は、企業の最も重要な資産である顧客データを管理するための強力なプラットフォームです。このデータを保護することは、あらゆる組織にとって最優先事項であり、そのセキュリティ対策の第一歩がアクセス制御です。Salesforce 管理員 (Salesforce Administrator) として、私たちは組織のセキュリティポリシーを実装し、維持する責任を負っています。その中でも、Login IP Restrictions (ログインIP制限) は、不正アクセスを防止するための最も基本的かつ効果的な機能の一つです。

この機能の主な目的は、信頼できる IP アドレスの範囲からのみ Salesforce 組織へのログインを許可することです。これにより、企業のセキュリティポリシーを強化し、潜在的な脅威からデータを保護します。

具体的な応用シーン:

  • オフィスからのアクセス限定: 従業員が物理的に会社のオフィスにいる場合にのみ Salesforce へのアクセスを許可し、外部からの不正ログインのリスクを大幅に低減します。
  • VPN経由のアクセス強制: リモートワークが普及する中で、従業員が会社のセキュアな Virtual Private Network (VPN、仮想プライベートネットワーク) に接続している場合にのみアクセスを許可する、というポリシーを強制できます。これにより、自宅や公共の Wi-Fi からの直接的なアクセスを防ぎ、通信経路を暗号化します。
  • 特権ユーザーのアクセス制御: システム管理者など、高い権限を持つユーザーに対して、より厳格な IP 制限を適用することで、万が一アカウントが侵害された場合の影響を最小限に抑えます。
  • コンプライアンス要件の遵守: 金融業界の PCI DSS や医療業界の HIPAA など、特定の業界ではデータアクセスに関する厳格なコンプライアンス要件が定められています。ログイン IP 制限は、これらの規制要件を満たすための重要な手段となります。

このように、Login IP Restrictions は、Salesforce 組織のセキュリティ基盤を固める上で不可欠なツールです。本記事では、Salesforce 管理員の視点から、この機能の原理、設定方法、注意点、そしてベストプラクティスについて詳しく解説していきます。

原理説明

Login IP Restrictions の仕組みを理解することは、適切に設定し、トラブルシューティングを行う上で非常に重要です。Salesforce の IP 制限は、主に2つのレベルで機能します:Profile (プロファイル) レベルと、組織全体の信頼済み IP 範囲 (Trusted IP Ranges) です。

1. Profile レベルのログイン IP 制限

これが最も一般的で強力な IP 制限の方法です。各 Profile に対して、ログインが許可される IP アドレスの範囲を指定します。ユーザーがログインを試みると、Salesforce は以下のプロセスで検証を行います。

  1. ユーザーがユーザー名とパスワードを入力してログインを試みます。
  2. Salesforce は、そのユーザーに割り当てられている Profile を特定します。
  3. Profile の設定内で「ログイン IP アドレスの範囲」が定義されているかを確認します。
  4. 定義されている場合、ユーザーの接続元 IP アドレスが、指定された範囲内に含まれているかを検証します。
  5. IP アドレスが範囲内にある場合: ログインが許可されます。
  6. IP アドレスが範囲外にある場合: ログインは即座にブロックされ、ユーザーはアクセス拒否のエラーメッセージを受け取ります。

この方法は非常に厳格です。範囲外からのアクセスは、たとえ正しい認証情報を持っていても、Multi-Factor Authentication (MFA、多要素認証) を満たしていても、完全にブロックされます。これにより、特定のユーザーグループ(例:営業チーム、サポートチーム、管理者)ごとに異なるアクセス ポリシーを柔軟に適用できます。

2. 組織全体の信頼済み IP 範囲 (Network Access)

[設定] メニューの [セキュリティ] > [ネットワークアクセス] で設定されるこのリストは、Profile レベルの制限とは異なる目的を持ちます。ここに登録された IP アドレスは「信頼済み」と見なされ、この範囲からアクセスしたユーザーは、通常求められるID検証(例:新しいデバイスやブラウザからのログイン時に送信される確認コードの入力)をスキップできます。

重要なのは、この「信頼済み IP 範囲」は、Profile レベルの IP 制限をバイパスするものではないという点です。両者の関係は以下の通りです。

  • ユーザーの接続元 IP が Profile の範囲外である場合、たとえ組織の「信頼済み IP 範囲」に含まれていても、ログインはブロックされます。Profile レベルの制限が常に優先されます。
  • ユーザーの接続元 IP が Profile の範囲内(または Profile に範囲が設定されていない)であり、かつ組織の「信頼済み IP 範囲」にも含まれている場合、ログインは許可され、ID検証もスキップされます。
  • ユーザーの接続元 IP が Profile の範囲内(または Profile に範囲が設定されていない)であるが、組織の「信頼済み IP 範囲」には含まれていない場合、ログインは許可されますが、ID検証が要求されます。

Salesforce 管理員としては、これらの違いを明確に理解し、目的に応じて使い分ける必要があります。厳格なアクセス制御には Profile レベルの制限を、ユーザーの利便性向上(ID検証のスキップ)には組織全体の信頼済み IP 範囲を使用します。

監査のためのサンプルコード

Login IP Restrictions の設定自体は、Salesforce の設定画面から行う宣言的な作業ですが、設定後の監査やトラブルシューティングには、SOQL (Salesforce Object Query Language) を用いたデータの確認が非常に有効です。特に、ログイン履歴を記録する LoginIp オブジェクトは、管理者が監視すべき重要な情報源です。

以下は、開発者コンソールや任意の API ツールで実行できる SOQL クエリの例です。過去7日間に失敗したログイン試行をユーザー名、IP アドレス、ステータスとともに取得します。 

/*
 * LoginIp オブジェクトからログイン履歴を照会する SOQL クエリ
 * このクエリは、過去7日間のログイン試行のうち、
 * ステータスが 'Invalid Password' (パスワード間違い) または 'IP Address Mismatch' (IPアドレスの不一致) 
 * といったログイン失敗の記録を抽出します。
 * これにより、管理者は不審なログイン試行や、IP 制限による正当なユーザーのブロックを迅速に特定できます。
 */
SELECT
    Users.Name,      // ログインを試みたユーザーの名前
    SourceIp,        // 接続元の IP アドレス
    LoginTime,       // ログインが試行された日時
    Status,          // ログイン試行の結果 (例: Success, Invalid Password, IP Address Mismatch)
    LoginType        // ログインの種類 (例: Application, API)
FROM
    LoginIp
WHERE
    LoginTime = LAST_N_DAYS:7   // 過去7日間のデータに絞り込む
    AND Status != 'Success'     // 成功したログインは除外する
ORDER BY
    LoginTime DESC              // 最新の試行が先頭に来るように降順でソート

このクエリを実行することで、「特定のユーザーがなぜログインできないのか?」といった問い合わせに対して、「IP Address Mismatch」が原因であることを迅速に特定したり、特定の IP アドレスから繰り返し不正なパスワードでのログインが試行されていることを検知したりできます。これは、セキュリティポリシーが正しく機能しているかを確認し、インシデントに迅速に対応するための強力なツールとなります。

注意事項

Login IP Restrictions は強力な機能ですが、設定を誤ると意図せずユーザー(あるいは管理者自身)をシステムから締め出してしまう可能性があります。導入・運用にあたっては、以下の点に十分注意してください。

  • 管理者のロックアウト: 最も注意すべきリスクです。システム管理者プロファイルに厳格な IP 制限を設定し、その IP アドレスが利用できなくなった場合(例:オフィスのネットワーク障害、IP アドレスの変更)、管理者自身が Salesforce にログインできなくなります。このような事態に備え、必ず緊急時の対応プラン(例:Salesforce サポートへの連絡手順の確立)を準備しておきましょう。
  • 動的 IP アドレス: 一般的な家庭用インターネット接続では、IP アドレスが定期的に変わる(動的 IP)ことがあります。リモートワークの従業員に対して IP 制限を適用する場合、彼らの自宅の IP アドレスが固定でない限り、この機能は適していません。このような場合は、固定 IP を提供する VPN の利用を必須とするのが一般的な解決策です。
  • Permission Set (権限セット) では設定不可: 2023年現在、Login IP Restrictions は Profile でのみ設定可能です。Permission Set (権限セット) にはこの機能が含まれていません。Salesforce が Profile から Permission Set への移行を推奨している中で、これは重要な制約事項です。IP 制限が必要なユーザーは、その要件に基づいて Profile を設計・割り当てる必要があります。
  • API 連携への影響: ログイン IP 制限は、ブラウザ経由の UI ログインだけでなく、API (Application Programming Interface) を利用した外部システムからの連携にも適用されます。連携システムのサーバーの IP アドレスが許可リストに含まれていない場合、API コールは失敗します。新しいシステム連携を実装する際は、必ず連携元サーバーの IP アドレスを確認し、対応する連携ユーザーの Profile に追加するのを忘れないようにしてください。
  • IP 範囲の書式: IP アドレスは正確な書式で入力する必要があります。単一の IP アドレス(例:203.0.113.1)も、範囲(例:開始 IP 203.0.113.1、終了 IP 203.0.113.255)も設定できますが、CIDR 表記 (/24 など) は直接サポートされていません。CIDR から開始・終了 IP を正確に計算して入力する必要があります。

まとめとベストプラクティス

Login IP Restrictions は、Salesforce 組織のセキュリティを強化するための第一防衛線です。Salesforce 管理員としてこの機能を正しく理解し、戦略的に活用することは、企業の貴重なデータを保護する上で極めて重要です。

最後に、この機能を最大限に活用するためのベストプラクティスをまとめます。

ベストプラクティス:

  1. 段階的な導入: 全社的に一斉に導入するのではなく、まずは影響範囲の少ない特定の Profile やテストユーザーから導入を開始し、問題がないことを確認しながら段階的に展開します。
  2. VPN の活用: リモートワーカーや外出先からアクセスするユーザーには、固定 IP を持つ VPN の利用を必須とすることで、セキュリティと柔軟性を両立させます。
  3. 定期的な監査: 先述の SOQL クエリや Salesforce の標準レポート「ログイン履歴」を活用し、ログイン試行の状況を定期的に監査します。特にログイン失敗の記録に注意を払い、不審なアクティビティを早期に検知します。
  4. 緊急時対応計画の策定: 管理者がロックアウトされた場合に備え、Salesforce サポートへのエスカレーション手順を文書化し、関係者間で共有しておきます。
  5. MFAとの併用: IP 制限は強力ですが、万能ではありません。MFA (多要素認証) と組み合わせることで、たとえ信頼された IP 範囲内からのアクセスであっても、本人であることをさらに確実に検証でき、多層的な防御を実現できます。これは現在のセキュリティ標準では必須の組み合わせです。
  6. ドキュメントの整備: どの Profile にどのような IP 範囲が設定されているのか、その理由は何なのかを常に文書化しておきましょう。これにより、将来の担当者への引き継ぎがスムーズになり、設定ミスを防ぐことができます。

これらのベストプラクティスを実践することで、Salesforce 管理員は Login IP Restrictions を安全かつ効果的に運用し、組織のセキュリティ体制を大幅に向上させることができるでしょう。

コメント

コメントを投稿