Salesforce ログイン IP 制限の徹底解説:管理者向けガイド

日付:

背景と適用シナリオ

こんにちは!Salesforce 管理者の皆さん。本日は、Salesforce 組織のセキュリティを強化するための最も基本的かつ強力な機能の一つである Login IP Restrictions (ログイン IP 制限) について詳しく解説します。

Salesforce には、顧客情報、商談データ、財務情報など、企業にとって非常に重要なデータが格納されています。これらの情報資産を不正アクセスから保護することは、Salesforce 管理者の最重要責務の一つです。特に、リモートワークが普及し、様々な場所やデバイスから Salesforce へのアクセスが当たり前となった今日、セキュリティの境界線を定義し、管理することが不可欠です。

Login IP Restrictions は、指定された IP アドレスの範囲からのみ Salesforce へのログインを許可する機能です。これにより、信頼できるネットワーク(例えば、自社のオフィスネットワークや VPN 経由の接続)からのアクセスのみを許可し、それ以外の場所からの不正なログイン試行を未然に防ぐことができます。

具体的な適用シナリオ

  • 社内ネットワークからのアクセス限定: 最も一般的な使用例です。従業員がオフィスのネットワーク内にいる場合にのみ Salesforce へのアクセスを許可し、セキュリティを物理的な場所に紐づけます。
  • VPN 経由でのアクセス強制: リモートワークの従業員に対して、会社の VPN (Virtual Private Network) を経由したアクセスのみを許可します。これにより、暗号化された安全な通信経路上でのみ Salesforce が利用されることを保証します。
  • 特定の部署や役職へのセキュリティ強化: 経理部門や役員など、特に機密性の高い情報にアクセスするユーザーグループが所属するプロファイルに対して、より厳格な IP 制限を適用します。
  • コンプライアンス要件への対応: 金融業界や医療業界など、特定のセキュリティ基準や規制(例:ISO 27001, PCI DSS)への準拠が求められる場合、アクセス元の制御は必須要件となることがあります。

この機能を正しく理解し、適切に設定することで、Salesforce Org (組織) のセキュリティレベルを飛躍的に向上させることができます。次のセクションでは、その仕組みについて詳しく見ていきましょう。

原理説明

Salesforce の IP 制限には、主に二つのレベルが存在します。それぞれの目的と動作が異なるため、その違いを正確に理解することが重要です。

1. プロファイルレベル:ログイン IP アドレスの範囲 (Login IP Ranges)

これが一般的に「ログイン IP 制限」と呼ばれる機能で、Profile (プロファイル) ごとに設定します。ここでの設定は「ホワイトリスト方式」です。つまり、プロファイルに設定された IP アドレスの範囲に含まれていない IP アドレスからログインしようとすると、ユーザーは完全にアクセスを拒否されます。

動作の仕組み:

  1. ユーザーがユーザー名とパスワードを入力してログインを試みます。
  2. Salesforce は、そのユーザーに割り当てられているプロファイルを確認します。
  3. プロファイルの「ログイン IP アドレスの範囲」設定をチェックします。
  4. ユーザーのアクセス元 IP アドレスが、設定された範囲内に含まれているかを検証します。
  5. 含まれている場合: ログインプロセスが続行されます(MFA など)。
  6. 含まれていない場合: ログインは失敗し、「ログインエラー」という主旨のメッセージがユーザーに表示されます。アクセスは完全にブロックされます。

この方法は非常に強力で、許可されていないネットワークからのアクセスをシャットアウトするのに最も効果的です。

2. 組織レベル:信頼できる IP アドレスの範囲 (Trusted IP Ranges)

こちらは組織全体に適用される設定で、「設定 > セキュリティ > ネットワークアクセス」から構成します。プロファイルレベルの制限とは目的が異なります。

Trusted IP Ranges の主な目的は、Identity Verification (ID 検証) のプロセスをスキップさせることです。通常、ユーザーが新しいデバイスやブラウザからログインしようとすると、Salesforce はセキュリティを確保するために Multi-Factor Authentication (MFA) (多要素認証) やメールで送信される確認コードの入力を求めます。しかし、ここで設定された「信頼できる」IP アドレス範囲からのアクセスの場合は、この追加の検証ステップが不要になります。

重要な違い:

  • Login IP Ranges (プロファイル): アクセスを「許可」または「拒否」します。範囲外からのログインはできません。
  • Trusted IP Ranges (組織全体): ID 検証を「要求」または「スキップ」します。範囲外からでもログイン自体は可能ですが、追加の本人確認が求められます。

管理者としては、この二つの機能を組み合わせて利用することが推奨されます。例えば、オフィスの IP アドレスを両方に設定することで、「オフィスからのアクセスは ID 検証なしでログインを許可し、それ以外の場所からのアクセスは一切許可しない」といった、利便性とセキュリティを両立したポリシーを実現できます。

設定手順(UIでの設定)

この機能はコーディングを必要とせず、Salesforce の標準設定画面から構成できます。ここでは、最も重要な「プロファイルレベルのログイン IP 制限」の設定手順を解説します。

ステップ 1: 設定画面へのアクセス

まず、Salesforce の右上の歯車アイコンから「設定」をクリックします。

ステップ 2: プロファイルの選択

「クイック検索」ボックスに「プロファイル」と入力し、「プロファイル」を選択します。IP 制限を適用したいプロファイル(例:「標準ユーザー」やカスタムプロファイル)の名前をクリックします。

ステップ 3: ログイン IP アドレスの範囲の設定

プロファイルの詳細ページを下にスクロールし、「システム」セクションの中にある「ログイン IP アドレスの範囲」を見つけます。

「新規」ボタンをクリックして、新しい IP 範囲を追加します。

ステップ 4: IP アドレスの入力

以下の情報を入力します。

  • 開始 IP アドレス: 許可する IP アドレス範囲の開始点を入力します。(例:203.0.113.1
  • 終了 IP アドレス: 許可する IP アドレス範囲の終了点を入力します。単一の IP アドレスを許可したい場合は、開始と終了に同じアドレスを入力します。(例:203.0.113.255
  • 説明(任意): この IP 範囲が何であるかを後から識別しやすくするために、説明を追加することを強く推奨します。(例:「東京本社オフィスネットワーク」)

入力が完了したら「保存」をクリックします。複数の範囲を追加したい場合は、この手順を繰り返します。

ステップ 5: 動作の確認

設定が完了したら、必ずテストユーザーなどを使って動作確認を行ってください。

  1. 許可された IP 範囲内からログインできること。
  2. 許可されていない IP 範囲(例えば、個人のスマートフォン回線など)からログインしようとすると、エラーメッセージが表示されてブロックされること。

この手順を踏むことで、意図した通りにセキュリティが機能していることを確認できます。

注意事項

Login IP Restrictions は強力な機能ですが、導入には慎重な計画が必要です。以下の点に注意してください。

権限

この設定を変更するには、「ユーザの管理」および「アプリケーションのカスタマイズ」権限が必要です。通常、システム管理者のプロファイルにこれらの権限が付与されています。

ユーザーへの影響と事前告知

この設定を有効にすると、範囲外の IP アドレスからアクセスしているユーザーは即座にロックアウトされます。突然アクセスできなくなると業務に支障をきたし、問い合わせが殺到する原因となります。導入前には、必ず対象となるユーザーに事前告知を行い、新しいアクセスポリシー(VPN の利用方法など)を周知徹底してください。

動的 IP アドレスの問題

在宅勤務の従業員などが利用する家庭用インターネットサービスプロバイダは、動的 IP アドレス(接続のたびに IP アドレスが変わる可能性がある)を割り当てることが一般的です。特定の IP アドレスを固定で設定するこの機能は、動的 IP 環境とは相性が悪いです。このような場合は、固定 IP を提供する VPN サービスの利用を必須とする運用を検討する必要があります。

API 連携への影響

外部システムとの API (Application Programming Interface) 連携にも影響が及びます。連携に使用されるユーザーアカウントのプロファイルに IP 制限を設定している場合、連携元システムのサーバーの IP アドレスを許可リストに追加しない限り、API コールはすべて失敗します。連携システムの IP アドレスを事前に確認し、忘れずに追加してください。

自身のロックアウトに注意

最も注意すべきは、管理者自身が自分をロックアウトしてしまうことです。例えば、リモートで作業している管理者が、オフィスの IP アドレスのみを許可する設定を自分のプロファイルに適用し、保存してしまった場合、その瞬間に Salesforce から締め出されてしまいます。これを防ぐため、管理者プロファイルには IP 制限をかけない、もしくは作業中の自分の IP アドレスを必ず含めるなどの対策が必要です。万が一ロックアウトされた場合は、別のシステム管理者に解除を依頼するか、Salesforce サポートに連絡する必要があります。

メンテナンス

オフィスの移転やネットワーク構成の変更により、IP アドレスは変更される可能性があります。IP 制限のリストは一度設定して終わりではなく、定期的に見直し、最新の状態に保つ必要があります。

まとめとベストプラクティス

Login IP Restrictions は、Salesforce のセキュリティを強化するための第一歩となる重要な機能です。正しく実装することで、不正アクセスのリスクを大幅に低減させることができます。

最後に、導入を成功させるためのベストプラクティスをまとめます。

  • 段階的な導入: 全社に一斉導入する前に、まずは情報システム部門や特定の小規模チームなど、パイロットグループを対象に導入し、影響範囲や問題点を洗い出します。
  • 明確なコミュニケーション: ユーザーに対して、「なぜ」この変更を行うのか(セキュリティ強化のため)、「いつから」適用されるのか、「どのように」対応すればよいのか(VPN の利用など)を明確に伝えます。
  • ドキュメントの整備: 許可されている IP アドレスのリスト、その理由、管理担当者を記載したドキュメントを整備し、いつでも参照できるようにしておきます。
  • 階層的なセキュリティアプローチ: IP 制限だけに頼るのではなく、MFA、パスワードポリシー、プロファイル・権限セットによる最小権限の原則など、他のセキュリティ機能と組み合わせて多層防御を構築します。
  • 定期的なレビュー: 四半期に一度など、定期的に設定内容を見直し、不要になった IP アドレスの削除や、新しい拠点の IP アドレスの追加など、メンテナンスを行います。

Salesforce 管理者の皆さん、本記事で解説した内容を参考に、ぜひ自社の Salesforce 組織のセキュリティポリシーを見直し、より堅牢な運用体制を構築してください。適切な計画と実行が、企業の重要なデータを守る鍵となります。

コメント

コメントを投稿