Salesforce ログイン IP 制限:管理者向け完全ガイド

日付:

執筆者:Salesforce 管理者

Salesforce 組織のセキュリティを維持することは、私たち Salesforce 管理者の最も重要な責務の一つです。数あるセキュリティ機能の中でも、Login IP Restrictions (ログイン IP 制限) は、不正アクセスを防止するための強力な第一防衛線となります。本日は、この機能の基本から応用、そして導入時の注意点まで、管理者としての視点から徹底的に解説していきます。

背景と応用シナリオ

なぜ、ユーザーがどこからログインするかを制御する必要があるのでしょうか?その答えは、今日の多様な働き方と、それに伴うセキュリティリスクにあります。従業員がオフィス、自宅、カフェ、海外出張先など、さまざまな場所から Salesforce にアクセスする時代において、認証情報(IDとパスワード)の漏洩は常に大きな脅威です。たとえ強力なパスワードポリシーと多要素認証 (MFA) を導入していても、さらなるセキュリティレイヤーを追加することは組織のデータを守る上で極めて重要です。

Login IP Restrictions は、まさにこの課題に対する直接的な解決策を提供します。具体的な応用シナリオは以下の通りです。

ケース1:社内ネットワークからのアクセス限定

最も一般的な利用例です。企業の機密情報へのアクセスを、物理的に安全なオフィス内のネットワークに限定したい場合に利用します。これにより、従業員がセキュリティの確保されていない公共の Wi-Fi などからログインすることを防ぎ、情報漏洩のリスクを大幅に低減できます。

ケース2:VPN 経由でのリモートアクセスの強制

リモートワークを許可している企業では、全従業員に会社の VPN (Virtual Private Network) を経由して Salesforce にアクセスさせるポリシーを適用したい場合があります。VPN サーバーのグローバル IP アドレスを許可リストに登録することで、従業員が自宅からアクセスする際にも、必ず暗号化された安全な通信経路を通ることを強制できます。

ケース3:コンプライアンス要件への対応

特定の国や地域外からのデータアクセスを禁止する、といった地理的な制限がコンプライアンス要件(例:GDPR, データ主権規制)で求められることがあります。Login IP Restrictions を活用することで、指定した国の IP アドレス範囲からのアクセスのみを許可し、規制に準拠した運用を実現できます。

原理の説明

Salesforce の Login IP Restrictions は、主に2つのレベルで設定されます。それぞれの役割と動作を正しく理解することが、適切なセキュリティ設計の鍵となります。

1. 組織全体の信頼済み IP アドレス (Organization-Wide Trusted IP Ranges)

これは、Salesforce 組織全体に適用される、いわば「緩やかな」制限です。

場所: [設定] > [セキュリティ] > [ネットワークアクセス]

ここで設定された IP アドレスの範囲は、「信頼できる場所」として組織全体で認識されます。この範囲内からログインしたユーザーは、通常通り ID とパスワード(および MFA が有効な場合はその認証)のみでアクセスできます。

重要なポイント: 信頼済み IP アドレスの範囲からログインしようとした場合、アクセスが完全にブロックされるわけではありません。代わりに、Salesforce はそのログインが通常とは異なる場所からのアクセスであると判断し、追加の本人確認(Identity Verification)を要求します。これは、登録されたメールアドレスに送信される確認コードの入力などが該当します。MFA が有効な組織では、このステップは MFA のプロセスに統合されます。つまり、この設定はアクセスの利便性を高めつつ、不審なアクセスに対しては追加の検証を課す、というバランスの取れた機能です。

2. プロファイルレベルのログイン IP アドレス (Profile-Level Login IP Ranges)

こちらは、特定のユーザーグループに対して適用される「厳格な」制限です。

場所: [設定] > [ユーザー] > [プロファイル] > (対象のプロファイルを選択) > [ログイン IP アドレスの制限]

Profile (プロファイル) に対して、ログインを許可する IP アドレスの範囲を設定します。このプロファイルが割り当てられたユーザーが、設定された IP アドレス範囲からログインしようとすると、アクセスは完全に拒否されます。「Invalid IP Address」というエラーメッセージが表示され、それ以上進むことはできません。

この方法は非常に強力ですが、設定を誤ると正規のユーザーが必要な時にアクセスできなくなるリスクも伴います。近年では、プロファイルを直接編集する代わりに、Permission Set (権限セット) を使用して IP 制限を適用することがベストプラクティスとされています。権限セットを使えば、同じプロファイルを持つユーザーの中でも、特定のユーザーにだけ IP 制限を適用するなど、より柔軟で管理しやすい運用が可能になります。

注意事項

Login IP Restrictions は強力な機能である一方、導入と運用には細心の注意が必要です。管理者として絶対に押さえておくべきポイントを以下にまとめます。

1. 管理者のロックアウト

これが最も重要な注意点です。システム管理者のプロファイルに誤った IP 範囲を設定してしまうと、自分自身が Salesforce にログインできなくなり、組織の管理が不可能になる「管理者ロックアウト」の状態に陥る可能性があります。

  • 対策1: 自身のプロファイルを変更する前に、必ずテスト用のユーザーとプロファイルを作成し、意図通りに動作するかを検証してください。
  • 対策2: IP 制限が設定されていない、緊急時用のシステム管理者アカウントを別途用意しておくことを強く推奨します。このアカウントは、普段は使用せず、厳重なパスワードと MFA で保護しておきます。

2. 動的 IP アドレスと VPN

多くの家庭用インターネットサービスプロバイダ (ISP) は、固定 IP アドレスではなく動的 IP アドレスを提供します。これは、接続するたびに IP アドレスが変わる可能性があることを意味します。自宅からアクセスするユーザーに対して安易に現在の IP アドレスを登録すると、後日 IP アドレスが変更された際にログインできなくなります。
また、企業で VPN を利用している場合、VPN サーバーの出口 IP アドレスが複数存在したり、変更されたりすることがあります。必ず情報システム部門と連携し、利用される可能性のある全ての IP アドレス範囲を正確に把握してから設定を行ってください。

3. API 連携への影響

Login IP Restrictions は、ユーザーの UI ログインだけでなく、API を介したアクセスにも適用されます。例えば、外部の ERP システムやマーケティングオートメーションツールが Salesforce と連携している場合、その連携用ユーザーのプロファイルに IP 制限が設定されていると、連携元システムのサーバーの IP アドレスが許可リストに含まれていなければ API コールは失敗します。
連携用ユーザーには、専用のプロファイルを用意し、連携元システムの IP アドレスを正確に設定するか、OAuth 2.0 フローを利用するConnected App (接続アプリケーション) の設定で IP 制限を緩和するなどの対応が必要です。

4. プロファイルと権限セットのルールの結合

一人のユーザーに、プロファイルと複数の権限セットでそれぞれ異なるログイン IP 範囲が設定されている場合、それらのルールはどのように適用されるのでしょうか?答えは、「すべての範囲の和集合 (Union)」です。ユーザーは、プロファイルに設定された範囲、または割り当てられたいずれかの権限セットに設定された範囲の、どれか一つにでも一致する IP アドレスからであればログインできます。この動作を理解しておくことは、複雑な権限設計を行う上で不可欠です。

5. ログイン履歴の監視

設定を適用した後は、[設定] > [ID] > [ログイン履歴] を定期的に確認する習慣をつけましょう。ここでは、成功したログインだけでなく、失敗したログインの理由も確認できます。「Invalid IP Address」という理由で失敗しているログが多数ある場合、設定ミスや、ユーザーが許可されていない場所からアクセスしようとしている兆候かもしれません。これは、セキュリティ監査の観点からも非常に重要な情報源です。

まとめとベストプラクティス

Login IP Restrictions は、Salesforce 組織のセキュリティを強化するための基本的かつ非常に効果的なツールです。しかし、その強力さゆえに、計画的かつ慎重な導入が求められます。最後に、管理者としてのベストプラクティスをまとめます。

  1. 段階的な導入: まずは組織全体の「信頼済み IP アドレス」を設定することから始め、影響範囲の少ないユーザーグループから「プロファイル/権限セットレベルの IP 制限」を試験的に導入するなど、段階的に適用範囲を広げていきましょう。
  2. 権限セットの活用: プロファイルのクローンを乱立させるのは避けましょう。IP 制限のような特定のアクセス制御は、権限セットで管理することで、柔軟性が高く、メンテナンスしやすい構成を維持できます。
  3. IT 部門との連携: 正確な IP アドレス範囲の情報を得るために、必ず社内のネットワーク管理者や IT 部門と密に連携してください。
  4. 緊急用管理者アカウントの確保: 何があっても組織にアクセスできるよう、IP 制限のかかっていない緊急用の管理者アカウントを必ず用意し、その認証情報を安全に保管してください。
  5. 定期的なレビュー: オフィスの移転やネットワーク構成の変更に伴い、IP アドレスは変化する可能性があります。設定した IP 範囲が現状と合っているか、定期的に見直しを行いましょう。

これらのプラクティスを遵守することで、Login IP Restrictions のメリットを最大限に活用し、安全で堅牢な Salesforce 環境を構築・維持することができるでしょう。

コメント

コメントを投稿