Salesforceのアクセス制御が重要な理由
Salesforceはクラウド型サービスであり、インターネット環境さえあれば場所や時間を問わず利用できる柔軟さが魅力です。
しかしその反面、社内のオンプレミスシステムとは異なるセキュリティ対策が必要となります。
実際、Salesforceには企業や事業に関わる重要データが大量に保存されているため、セキュリティ強化は運用上欠かせない要素です。
こうした背景から、アクセス制御の一環として「IPアドレス制限」機能が非常に重要になります。
本記事では、このIPアドレス制限の基本と設定手順をわかりやすく解説し、固定IPを活用した高度なアクセスコントロール方法についても紹介します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
IPアドレス制限とは?基本的な仕組み
IPアドレスとは、デバイスがインターネット接続時に割り当てられる識別番号で、ネットワーク上ではこの番号によってアクセス元を識別します。
SalesforceのIP制限機能では、あらかじめ許可したIPアドレスからのみログインを認めることで、不特定多数の場所からのアクセスを制御できます。
万一ユーザーのアカウント情報やパスワードが漏えいした場合でも、アクセス可能なIPアドレスを限定しておけば、許可されたネットワーク以外からの不正ログインを防止可能です。
実際にSalesforceでIP制限を設定すると、指定外のIPアドレスからのログイン試行はシステムによって疑わしいアクセスと見なされます。
結果として、許可範囲外のIPからログインがあった場合、Salesforceは追加の本人確認コード入力を要求したり、ログイン自体をブロックしたりして不正アクセスを防ぎます。
このようにIP制限は、アクセス元を限定することでアカウント情報流出時の被害を最小限に抑える基本的なセキュリティ対策となります。
SalesforceにおけるIPアドレス制限の設定方法(管理者メニューの操作手順)
Salesforceでは、IPアドレス制限を設定する方法として大きく2つのレベルがあります。
組織全体で信頼できるIPアドレスの範囲(信頼済みIP範囲)を指定する方法と、プロファイルごとにログインを許可するIPアドレス範囲を設定する方法です。
それぞれの設定手順を順番に見ていきましょう。
信頼済みIP範囲の設定手順(組織全体のIP制限)
- 「ネットワークアクセス」のページを開 Salesforceの設定メニュー(Setup)で、画面上部の検索ボックスに「ネットワークアクセス」と入力し、表示された「ネットワークアクセス」を選択します。
- 許可するIPアドレス範囲を追加する [新規] ボタンをクリックし、アクセスを許可するIPアドレスの範囲を入力します(開始IPアドレスに範囲の開始アドレス、終了IPアドレスにその範囲の終わりのアドレスを指定します)。 ※1つのIPアドレスのみ許可したい場合は、開始と終了の両方の欄に同じIPアドレスを入力してください。
- 設定を保存する 必要に応じて説明欄にメモを加えたら[保存]をクリックします。 以上で指定したIPアドレス範囲が信頼済みIP範囲として組織に登録されます。 この設定により、ユーザの現在のIPアドレスが指定範囲内であればログイン時に追加認証なしでアクセス可能となります。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
プロファイル単位のログインIP制限の設定手順
- 制限を設定したいプロファイルを開く 設定メニューの検索ボックスに「プロファイル」と入力し、「プロファイル」設定画面を開きます。 一覧から対象ユーザのプロファイルを選択してください。
- ログインIP制限セクションへ移動 選択したプロファイルの詳細画面で、「ログインIPアドレスの制限」というセクションを探します。 利用中の画面UIによって操作が少し異なりますが、拡張プロファイルUIを使用している場合は「ログインIPアドレスの制限」というリンクをクリックしてから[IP範囲の追加]を押します。旧来のプロファイル画面の場合は該当セクションまでスクロールし、[新規] をクリックしてください。
- 許可するIP範囲を入力して保存 ダイアログあるいは入力欄にアクセスを許可するIPアドレス(開始~終了)を入力し、必要に応じて説明を追加します。 すべての入力が終わったら[保存]をクリックします。これでそのプロファイルに属するユーザーは、設定したIPアドレス範囲内からのみログイン可能となります。
※補足 さらにセキュリティを高める設定として、「すべての要求でログインIPアドレスの制限を適用」というオプションがあります。 これは、ログイン時だけでなくログイン後の各ページリクエストにおいてもIP制限を継続して適用するものです。 Salesforceの「セッション設定 (Session Settings)」画面で当該オプションを有効にすることで、クライアントアプリからのアクセスも含めセッション全体で常にIP制限が働き、より強固なセキュリティを実現できます。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ログインIP制限・信頼済みIP範囲の違い
Salesforceにおける組織全体の「信頼済みIP範囲」とプロファイル単位の「ログインIP制限」には、以下のような違いがあります。
- 信頼済みIP範囲(組織単位) 組織全体でログインを許可するIPアドレスのリストです。 指定した範囲内のIPアドレスからのログインは通常通り許可されますが、その範囲外からユーザーがログインを試みた場合、Salesforceは本人確認のための確認コード入力(例えばモバイル端末へのコード送信)を要求します。 つまり、信頼済みIPに登録されていない場所からのアクセスは許可はされるものの追加の認証プロセスが必要となります。
- ログインIP制限(プロファイル単位) 各ユーザのプロファイルごとにログインを許可するIPアドレス範囲を設定する機能です。 プロファイルにIP制限が設定されている場合、その範囲内のIPアドレスからでなければ当該ユーザは一切ログインできません。範囲外のIPアドレスからのログイン試行は、確認コードによる認証もできず拒否されます(ログイン自体が不可能になります)。
- 併用するメリット 信頼済みIP範囲とログインIP制限は組み合わせて使用可能であり、併用することで二重のチェックによるより強固なセキュリティを実現できます。 たとえば組織全体では広めのIP範囲を信頼済みとして許可しつつ、機密性の高いデータにアクセスする管理職ユーザのプロファイルには社内LANの固定IPだけを許可するといった運用が可能です。 なおこの場合、たとえ組織で許可されたIPであっても、プロファイル側で許可されていないIPからのアクセスはブロックされる点に注意してください。このように二段構えでIP制限をかけることで、より細かなセキュリティポリシーを実践できます。
固定IPを活用するメリットと必要性
SalesforceのIP制限機能を効果的に運用するには、固定IPアドレスの活用が鍵となります。固定IPを利用すると、次のようなメリットや必要性が生まれます。
- IPアドレスの変動によるトラブル防止 インターネット接続元の環境や時間帯によっては、プロバイダから割り当てられるIPアドレスが頻繁に変わる(動的IPアドレス)ことがあります。 固定IPであればこうした変動に左右されず、Salesforce側の許可リストを頻繁に更新する手間や、IP変動による突然のアクセス拒否を避けることができます。
- リモートワーク時の安全性向上 オフィス以外の場所(自宅やカフェ、出張先など)からSalesforceにアクセスする場合でも、固定IP経由で接続すれば常に信頼済みのIPアドレスからアクセスしている状態を作れます。 例えば公共Wi-Fi利用時でも通信をVPNで暗号化しつつ固定IPでアクセスすれば、第三者に業務データを盗み見られるリスクを低減でき、安全に作業を進められます。
- アクセス管理の効率化 許可する接続元を固定IPに集約することで、管理者はアクセス制御のルールを簡素化できます。 例えば、各従業員が自宅などからログインする際に、それぞれ異なるIPアドレスを許可リストに追加・管理する代わりに、全員に共通の固定IP経由でアクセスさせれば一つのIPアドレスだけをホワイトリスト管理すれば済みます。 このように固定IPの活用は、セキュリティ向上だけでなく運用管理面でも有用です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスを使って安全な接続を実現
では、固定IPアドレスを手軽に利用するにはどうすれば良いでしょうか。
その解決策の一つが「ロリポップ!固定IPアクセス」というサービスの活用です。
これはレンタルサーバー大手のGMOペパボが提供するVPNサービスで、どこにいても即日で固定IPアドレスを利用開始できることが特徴です。以下に本サービスの主な特徴を紹介します。
- どこからでも固定IP オフィスだけではなく、自宅や外出先など場所に限らず同じIPアドレスを使用することができます。
- 複数ユーザーで共有利用 固定IPアドレスに対して追加ライセンスを購入することで、同じ固定IPを複数人・複数端末から同時利用することもできます。 チームメンバー全員で共通の固定IPを使ってSalesforceにアクセスするといった運用も容易です。
- リーズナブルな価格 月額料金は1ライセンスあたり539円(税込)と手頃で、コスト負担が少ないのも魅力です。 しかも1つ目の固定IPアドレスについては最大2か月間の無料お試し期間が用意されており、実際の業務環境で効果を確認してから本契約することもできます。
- 簡単な導入手順 最新のVPNプロトコルであるWireGuardに対応しており、利用端末にWireGuardアプリをインストールして提供されたライセンス設定ファイルを追加するだけで、すぐに固定IPでの接続が可能になります。 専門知識がなくてもシンプルな手順でセットアップできるため、導入ハードルが低いです。
このように「ロリポップ!固定IPアクセス」を活用すれば、自社オフィス以外のネットワークからでも常に同一のIPアドレスを用いてSalesforceにアクセスできるため、先述のIP制限機能と組み合わせてセキュアな運用環境を簡単に構築できます。
まとめ:Salesforce活用におけるセキュリティ強化の第一歩
SalesforceにおけるIPアドレス制限の設定は、手軽に始められるセキュリティ強化の第一歩です。
許可するIPを絞り込むことで、不特定多数からの不正ログインリスクを大幅に低減できます。
ただし当然ながら、IP制限を設定しただけでセキュリティが万全になるわけではありません。
例えば営業担当者が出張先からアクセスする際にIP制限を厳格に適用しすぎると、セキュリティは向上しても業務上の利便性が損なわれてしまいます。
そのため、アクセスIP制限に加えて多要素認証(MFA)の有効化やVPNの活用など複数の対策を組み合わせ、セキュリティと利便性のバランスを取ることが大切です。
まずは自社環境でIPアドレス制限を導入し、必要に応じて固定IPサービスも活用することで、安全なSalesforce利用環境を整備してみましょう。
とくに「ロリポップ!固定IPアクセス」のようなサービスを利用すれば、手軽に固定IPを入手して社外からのアクセス制御を実現できます。セールスフォースの安全な運用のために、ぜひ固定IPの活用を検討してみてください。
これらの取り組みが、Salesforce活用におけるセキュリティ強化の確実な一歩となるでしょう。
