【ITニュース解説】Salesforceが接続アプリの利用制限を強化　セキュリティモデルに関わる重大変更で管理者が取るべきアクションを詳説

Salesforceは、顧客管理や営業支援など、ビジネス活動をクラウド上で効率化するための強力なサービスだ。多くの企業がSalesforceを活用しており、その利用範囲は多岐にわたる。今回のニュースは、このSalesforceの「接続アプリケーション」に関する重要なセキュリティ変更について報じている。システムエンジニアを目指す人にとって、クラウドサービスの運用におけるセキュリティがいかに重要か、そして具体的な対応がどのように求められるかを理解する良い機会となるだろう。

まず、今回の変更点の核となる「接続アプリケーション」とは何かを理解しよう。Salesforceは、それ単体でも非常に高機能なシステムだが、他のさまざまな外部システムと連携することで、その価値をさらに高めることができる。例えば、メールシステム、会計システム、データ分析ツールなど、企業の業務で使われる多様なアプリケーションとSalesforceを連携させることが頻繁に行われる。この外部システムとの連携を実現するのが「接続アプリケーション」と呼ばれる機能だ。これは、Salesforceと外部システムの間で安全にデータのやり取りを行うための「つなぎ役」だと考えると分かりやすい。例えば、GmailやOutlookとSalesforceを連携させてメールの内容を顧客情報に紐付けたり、会計システムとSalesforceを連携させて売上データを自動的に反映させたりする際に、この接続アプリケーションが利用される。

これまでSalesforceでは、この接続アプリケーションについて、特定の条件を満たせば「組織にインストールされていなくても」利用できるケースがあった。具体的には、ユーザーが所属するプロファイルや権限セットによって、特定の接続アプリケーションへのアクセスが許可されていれば、明示的にSalesforce組織にそのアプリケーションがインストールされていなくても利用できてしまう場合があったのだ。しかし、2025年9月上旬から、この運用が大きく変更される。今後は、接続アプリケーションが「Salesforce組織に明示的にインストールされている」場合にのみ利用が許可されるようになる。つまり、プロファイルや権限セットでアクセスが許可されていても、組織にインストールされていない接続アプリケーションは利用できなくなる、という変更だ。

この変更の最大の目的は、Salesforce組織のセキュリティを大幅に強化することにある。なぜこのような変更が必要なのだろうか。組織にインストールされていない接続アプリケーションが利用できてしまう状態は、セキュリティ上の潜在的なリスクを抱えていた。例えば、悪意のあるアプリケーションが組織のデータにアクセスする可能性や、利用実態が不明なアプリケーションが無許可で使われ続ける状況が生まれる可能性があった。システム管理者が組織内でどのような接続アプリケーションが使われているかを正確に把握しきれない状況は、セキュリティ管理の観点から非常に危険だ。今回の変更は、このような「見えないリスク」を排除し、組織内で利用されるすべての接続アプリケーションを管理者の厳格なコントロール下に置くことを目的としている。これにより、セキュリティリスクを軽減し、より堅牢な情報セキュリティ体制を築くことが可能になる。また、企業が従うべきデータ保護規制やコンプライアンス要件への対応という側面も大きい。

この重大な変更は、Salesforceを利用しているすべての企業、特にそのシステム管理者やシステムエンジニアに対して迅速な対応を求めている。変更が適用される2025年9月上旬までに適切な対応を取らなければ、これまで問題なく利用できていた外部連携が突然機能しなくなり、業務に大きな支障をきたす可能性があるからだ。例えば、Salesforceと連携していた基幹システムとのデータ同期が止まってしまったり、営業担当者が利用していた連携ツールが使えなくなったりすれば、日々の業務効率が著しく低下する事態につながる。

では、システム管理者やシステムエンジニアには具体的にどのようなアクションが求められるのだろうか。まず最も重要なのは、現在のSalesforce組織における接続アプリケーションの利用状況を正確に「棚卸し」することだ。具体的には、現在どの接続アプリケーションが利用されているのか、特に組織にインストールされていないにもかかわらずプロファイルや権限セットによってアクセスが許可されているアプリケーションがないかを確認する必要がある。これには、Salesforceの管理機能を使って設定を確認したり、場合によっては利用中の外部システムとの連携状況を一つ一つ確認したりする作業が含まれるだろう。

次に、棚卸しによって特定された、今後も利用が必要な接続アプリケーションについては、忘れずにSalesforce組織に「インストール」する作業を行う。Salesforce AppExchangeなどのプラットフォームを通じて提供されている接続アプリケーションであれば、そこから簡単にインストールできる場合が多いが、自社で開発したものや特定のベンダーから提供されているものは、個別の手順が必要になることもあるため注意が必要だ。インストール後には、プロファイルや権限セットを通じて、適切なユーザーにその接続アプリケーションへのアクセス権を付与する設定も必要になる。

最後に、変更が適用される前に、これらの対応が正しく行われたかどうかを「テスト」することが不可欠だ。特に、重要な業務連携に関わる接続アプリケーションについては、本番環境に影響が出る前に、開発環境やサンドボックス環境などで十分に動作確認を行い、問題がないことを確認しておくべきだ。また、今回の変更によって影響を受ける可能性があるユーザーに対して、事前に情報を提供し、必要であれば新しい利用手順を周知することも、システム管理者の重要な役割となる。

今回のSalesforceのセキュリティ強化策は、クラウドサービスの運用においてセキュリティ管理がいかに継続的な努力を必要とするかを示している。システムエンジニアを目指す皆さんにとって、このような変更に適切に対応できる能力は、これからのキャリアにおいて非常に重要なスキルとなる。単にシステムを構築するだけでなく、運用中のシステムが常に安全であるように監視し、必要に応じて設定を更新し、セキュリティリスクを未然に防ぐことの重要性を、今回のニュースは強く教えてくれるだろう。クラウドサービスは便利だが、そのセキュリティは利用側も責任を持って管理する必要があるという認識が、現代のシステムエンジニアには不可欠だ。