Salesforceのセキュリティを向上させる アクセスIP制限の設定手順

はじめに

セラクCCCのSalesforce推進部のAです。Salesforceはクラウド型サービスのため、インターネット環境さえあれば時と場所を選ばずアクセスできます。テレワークで在宅から、営業担当者が外出中に、といったフレキシブルなアクセスが魅力です。しかし安全に利用するためには、社内管理するオンプレ型のシステムとは異なるセキュリティ対策が必要です。
本記事では、遠隔地でも安全にSalesforceを使用するためのIP制限設定についてご紹介します。

そのほか、セキュリティに関して解説しているこちらの資料「Salesforceアクセス制御　権限設定のポイント」と併せてご活用ください。

クラウドサービスに必要なセキュリティ対策

多くのユーザがさまざまな場所、さまざまな端末からアクセスできることがクラウドサービスのメリットです。この利便性を保ちつつ安全性を確保するためには、正規ユーザのアクセスかどうかをしっかりと確認する必要があります。

セキュリティ対策の役割分担

より安全にクラウドサービスを利用するためには、企業全体で行う対策やルール化と、アプリやソフト単位のセキュリティ設定を組み合わせる事が効果的です。

• ・企業全体で行うセキュリティ対策
  社内の体制を整えて責任者や担当部署を設置し、「クラウドサービス提供側とユーザ側のセキュリティ責任境界の確認」や「情報の重要度分けとクラウドで保管する情報の制限」などを行う

• ・アプリやソフト単位で行うセキュリティ対策
  すべてをセキュリティ担当者に任せるのではなく、IPによるアクセス制限や多要素認証の導入などアプリケーションやソフトウェア単位で「認証情報の管理と認証手法の強化」を行う

Salesforceは多要素認証（MFA）を使用したアクセスが義務付けられています。
多要素認証（MFA）についてはこちらの記事「どうして必要？多要素認証（MFA）に関する疑問と導入方法を解説！」でも導入方法を解説していますのでぜひご覧ください。

アクセスIP制限のメリット

IPアドレスとは機器がインターネットに接続する際に割り当てられる番号であり、ネットワーク上ではこの番号を使ってアクセスを識別しています。
万一アカウントやパスワードといった情報を詐取されるといった事態になっても、アクセス可能なIPを制限しておくことで、悪意ある第三者による不正なアクセスを防げます。

Salesforce全体の信頼できるIPアドレスリスト設定方法

Salesforceでは、認証されていない不正なアクセスを防ぐために、ログインできるIPアドレスのリストを指定できます。指定IP範囲外からアクセスするユーザは、モバイルデバイスまたはメールアドレスに送信されたコードを入力して認証することでログインが可能です。
それでは設定手順をご説明します。

［設定］から［クイック検索］を使って［ネットワークアクセス］を選択。
［新規］をクリックして設定を開始します。

＜信頼済みIP範囲の設定画面＞

［開始IPアドレス］項目と［終了IPアドレス］項目を設定して、［保存］をクリックするだけで設定完了です。
ユーザのIPアドレスが、設定した開始アドレスと終了アドレスの範囲内であればログインできます。1つのIPアドレスからのログインのみを許可する場合は、両方の項目に同じアドレスを入力します。
［説明］項目には、誰のアクセスに関する設定かを入力しておくと管理しやすいでしょう。

プロファイルごとのIPアドレス制限方法

IPアドレス制限はプロファイルごとに設定することも可能です。
たとえば、主に社内で機密情報を多く扱う管理部門の社員と、外出先から機密度の低い情報にアクセスしたい営業部門の社員では、制限を掛けたいIP範囲が異なります。
業務内容や部署によってアクセス制限を変えたい場合は、「プロファイル」ごとにアクセスIP制限を設定するのが便利です。設定したIPアドレス範囲外からアクセスしようとした場合、Salesforce自体へログインできなくなります。

画面右上にある［設定］から［管理］、［ユーザの管理］、［プロファイル］と進み、一覧からプロファイルを選択して設定を開始します。

＜プロファイル画面のシステム［ログインIPアドレスの制限］から設定開始＞

プロファイル画面のシステムには「ログインIPアドレスの制限」があります。
IPアドレスは上述の「Salesforce全体」と同じ方法で設定できます。
組織全体で許可していても、プロファイルで許可していないIPアドレスからは
アクセスできないことに注意しましょう。

セキュリティをより高めるSalesforceの機能

Salesforceのセキュリティを高める機能は、本記事でご紹介したIP制限に関するものだけではありません。ここでは代表的な機能をご紹介します。これらの機能を組み合わせ、安全性を高めることが重要です。

・パスワードポリシー

＜パスワードポリシー設定画面＞

パスワードの有効期限やパスワード文字列の設定（英数字含める、記号も含める、大文字小文字も含める）、ログイン失敗によりロックするまでの回数などを設定できます。

・セッションセキュリティの設定

＜セッションの設定画面＞

悪意のある攻撃から保護するために、セッション接続種別やタイムアウト制限、IPアドレス範囲などを設定できます。

・セキュリティ状態チェック

＜セキュリティ状態チェック画面＞

現状のセキュリティが、Salesforceの推奨するセキュリティレベルをどの程度満たしているかを％で表示可能です。また、セキュリティ設定の潜在的な脆弱性を特定できます。

まとめ

クラウドサービスは顧客情報や営業成果を管理するうえで大変便利ですが、安全に使うためにはセキュリティ対策が欠かせません。本記事ではSalesforceのアクセスIP制限についてご紹介しましたが、もちろん、アクセスIP制限だけでセキュリティ万全とは言えません。また、営業担当者が出張や移動中にアクセスする場合にアクセスIPを制限すると、安全性は高まりますがフレキシブルなアクセスが阻害されてしまいます。そこで、アクセスIP制限だけでなく、多要素認証やVPN（Virtual Private Network：仮想プライベートネットワーク）を活用するなど、複数の対策を組み合わせて利便性と安全性を両立させることが大事です。
「Salesforceのセキュリティを向上させる各種設定を依頼したい」「セキュリティ対策に関する社内教育を実施したい」という場合はセラクCCCの無料相談からお問い合わせください。セラクCCCには300名（23年5月時点）を超えるSalesforce専門コンサルタントだけでなく、セキュリティ技術者も在籍しています。