SalesforceのMFA強制化|特権ユーザーの要件と設定方法を解説
皆様、こんにちは!いつも弊社のブログをご覧いただき、誠にありがとうございます。
さて本日は、Salesforce管理者様に「待ったなしの重要なお知らせ」がございます。 いよいよ2026年6月より、Salesforce環境における「MFA(多要素認証)の技術的強制化および要件強化」が段階的にスタートします!
「MFAならもう設定しているから大丈夫」と思われた方も要注意です。今回のアップデートには特権ユーザーに対する要件の引き上げが含まれており、事前の最終確認が必須となります。
本日のブログでは、来月に迫った変更点の詳しい内容と、マーケティング業務を止めないために今すぐすべき対策について分かりやすく解説いたします。
\詳細はこちらをクリック/
toBeマーケティング株式会社では、Salesforceの導入から活用、運用支援までを幅広くサポートし、お客様のビジネス成長に貢献いたします。
Sales Cloudの初期構築はもちろん、Account Engagement(旧Pardot)をはじめとする他のSalesforce製品との連携を見据えた最適なチューニングも可能です。
⇒ Salesforce定着/活用支援の詳細はこちら
さらに、顧客情報基盤の構築や営業活動の効率化、マーケティングとの連携強化を通じて、データに基づいた意思決定を実現できる体制づくりをサポートします。
⇒ 詳細はこちらよりお気軽にお問い合わせください!
そもそも、なぜ今SalesforceのMFAが強化されるのか?
「これまでもMFA(多要素認証)は義務化されていたのに、なぜわざわざ制限を厳しくするの?」と疑問に思われる方も多いのではないでしょうか。
昨今、ニュースでも「個人情報の漏えい」や「サイバー攻撃」のワードを目にしない日はありません。Salesforceがここまで強硬な姿勢で要件を強化する背景には、「従来のMFAを突破するサイバー攻撃の巧妙化」と「特権アカウントが狙われた際のリスクの巨大さ」があると思います。
背景1. 従来のMFA(アプリやSMS)を破る手口の急増
これまで安全とされていた「スマホアプリへのプッシュ通知」や「SMSによる認証コード」ですが、実はこれらを無効化するフィッシング詐欺が世界中で急増しています。
・ MFA疲弊攻撃(MFA Fatigue): 攻撃者が盗んだパスワードでログインを試み、被害者のスマホに何十回もプッシュ通知を送り続けます。被害者が「うるさいな」「バグかな」と誤って【承認】を押してしまう隙を突く手口です。
・ 中間者攻撃(AiTM): 本物そっくりの偽ログイン画面(フィッシングサイト)を間に挟むことで、ユーザーが入力したパスワードだけでなく、スマホアプリに届いた「一度きりの認証コード」までリアルタイムに盗み取り、攻撃者が先にログインしてしまいます。
つまり、「人間の心理的な隙」や「通信の割り込み」を突く攻撃に対し、従来のMFAでは防ぎきれなくなっているのが現在のセキュリティのリアルです。
背景2. 「特権ユーザー」は企業の命運を握る最重要ターゲット
今回、特に厳しい要件が課される「特権ユーザー(システム管理者など)」は、組織内のすべての顧客データ、売上予測、設定情報にアクセスできる鍵を持っています。
もしこのアカウントが1つでも乗っ取られた場合、以下のような致命的な被害が発生します。
・ 数万人分の顧客個人情報(名刺データや商談履歴)の一括ダウンロード・流出
・ 設定を変更され、他の一般ユーザーのアカウントもすべて乗っ取られる
・ 企業の信頼失墜、および個人情報保護法に基づく巨額のペナルティ
「うちの会社は大丈夫」が通用しない時代だからこそ、Salesforceは「人間のリテラシーに関わらず、技術的に100%フィッシングを防げる仕組み(フィッシング耐性MFA)」への移行を強制したのだと、私たちは考えています。
2026年6月からの「MFA強化」で何が変わる?
2022年より利用規約の要件として義務付けられていたMFAですが、これまでは組織の設定次第でオフにすることも技術的には可能でした。しかし、2026年6月以降のアップデートにより、以下の2点がシステム側で強制的に適用されるようになります。
全ユーザーのMFA完全強制化
システム側で自動的にMFAが適用され、オプトアウト(無効化)ができなくなります。
特権ユーザーへの「フィッシング耐性MFA」必須化(※最重要!)
システム管理者などの強力な権限を持つユーザーは、従来のスマホアプリ(Salesforce Authenticator等)による認証ではなく、より強固な「フィッシング耐性のあるMFA」が求められます。
具体的には、USB型のセキュリティキー(FIDO2等)や、端末内蔵の生体認証(Touch ID、Windows Hello等)を用いたWebAuthnの仕組みを利用する必要があります。
フィッシング耐性MFAの対象は?
今回のアップデートで最も注意が必要なのは、「誰が」この厳しい要件の対象になるのか、そして「現在の運用で何がNGになるのか」という点です。
対象となる特権ユーザーの条件
以下のいずれかに該当するユーザーはすべて「特権ユーザー」とみなされ、フィッシング耐性MFA(Touch ID、Windows Hello、YubiKeyなどの物理セキュリティキー)によるログインが必須となります。
・ プロファイルが「システム管理者」のユーザー
・ 以下のいずれかの強力な権限(権限セット含む)を持つユーザー
○すべてのデータの編集 (Modify All Data)
○すべての参照 (View All Data)
○アプリケーションのカスタマイズ (Customize Application)
○Apex の開発 (Author Apex)
※上記に該当しない一般ユーザー(営業担当者など)は、引き続きSalesforce Authenticator等のスマホアプリを利用可能です。
現場で起きる2つの大きな落とし穴
対象ユーザーが明確になったところで、多くの企業が直面するであろう「2つの落とし穴」について解説します。
① 「管理者アカウントの使い回し」が事実上不可能に!
これまで、ベンダーと社内担当者の間で、Authenticatorアプリのシークレットキーを共有して「1つの特権アカウントを複数名で使い回す」といった運用(※本来は規約違反です)をされていた組織はないでしょうか?
今回の必須化により、認証情報は「特定のMac本体」や「特定のUSBキー」といった物理ハードウェアに強力に紐づくことになります。そのため、リモート環境等での認証情報の共有(使い回し)は技術的にできなくなります。
これを機に、特権ユーザーには個別のライセンスを割り当てるか、本番環境の権限を最小限に絞り、開発作業は個別にアカウントを発行しやすいSandbox環境へ移行するといった、運用ルールの根本的な見直しが必要です。
② 「SSO(Entra ID等)を入れているから大丈夫」の罠
Microsoft Entra ID(旧Azure AD)などでSSO(シングルサインオン)を導入している企業様も要注意です。
「SSOを使っているからSalesforce側のMFA要件も自動的にクリアできる」というわけではありません。
Salesforceは、SSOプロバイダから送られてくる「どんな方法で認証されたか」というシグナルを厳格にチェックします。
もし、管理者がEntra IDにログインする際に「Microsoft Authenticatorアプリ(スマホへの通知やコード入力)」を使用している場合、Salesforce側では要件不足(標準MFA扱い)と判定され、ログインがブロックされてしまいます。
たとえば、Microsoft Entra IDを利用している場合、管理者がどの手段で認証したかによって以下のように判定がハッキリと分かれます。
Entra ID での認証手段 | Salesforce での判定 | ログイン結果 |
Windows Hello for Business ( PC 本体の顔・指紋認証) | 要件クリア (フィッシング耐性) | 🟢 ログイン成功 |
FIDO2 セキュリティキー ( YubiKey など) | 要件クリア (フィッシング耐性) | 🟢 ログイン成功 |
Microsoft Authenticator アプリ (スマホへの通知・コード入力) | 要件不足 (標準 MFA 扱い) | 🔴 ブロックされる |
つまり、SSO経由でこの要件をクリアするには、Entra ID側のログイン設定を見直し、特権ユーザーに対しては「Windows Hello for Business」や「FIDO2 セキュリティキー」などのフィッシング耐性のある手段を必須化(限定)しておく必要があるのです。
💡 高度なセキュリティを求める企業様へのワンポイント
一部の企業様では、「NIST AAL3」などの非常に厳格なセキュリティポリシーが敷かれています。MacのTouch IDを利用する場合、OSの標準設定である「iCloudキーチェーンによるパスキーの端末間同期」がオンになっていると、このポリシーに抵触する可能性があります。業務端末では同期設定をオフにするなど、社内ポリシーとのすり合わせも事前に行っておきましょう。
具体的な設定方法は?
「フィッシング耐性のあるMFAって、設定が難しそう…」と不安に思われるかもしれませんが、実は追加の費用や複雑な開発は一切不要です!
今回は、最も手軽に導入できる「MacのTouch ID(内蔵オーセンティケーター)」を使った設定方法をステップ・バイ・ステップでご紹介します。設定は大きく分けて、「①システム管理者による組織全体の設定」と、「②各ユーザーによる個人の端末登録」の2段階で行います。
ステップ①:組織全体の設定(事前準備)
まずは、組織全体でTouch IDを使えるように設定をオンにします。
- Salesforceの画面右上の歯車マークから [設定] を開きます。
- クイック検索ボックスに「ID検証」と入力し、[ID検証] のメニューを開きます。
- 「ユーザーが組み込み認証システム (Touch ID、Windows Hello など) を使用して本人を検証できるようにする」 のチェックボックスにチェックを入れ、保存します。
(💡おすすめ:同じ画面にある「パスキーを使用したパスワードなしのログインを許可」も有効にしておくと、次回からパスワード入力すら不要になり、劇的に便利になります!)
ステップ②:各ユーザーのTouch ID登録
組織の設定が完了したら、対象となる特権ユーザー各自が、自分のMacでTouch IDを紐づけます。
- Salesforceの画面右上にある自分のプロフィールアイコンをクリックし、[設定] を選択します。
- 左側のメニューから [高度なユーザーの詳細] をクリックします。
- 画面中央のプロファイル詳細画面を下にスクロールし、[組み込み認証システム] という項目を探します。
- 横にある [登録] リンクをクリックします。
- セキュリティ保護のため再度パスワードを入力すると、ブラウザから「SalesforceがTouch IDの使用を求めています」というポップアップが表示されます。
- MacのTouch ID(指紋センサー)に指を触れて認証します。
- 最後に分かりやすい名前(例:「私のMacBook Pro」など)を入力して保存すれば、登録完了です!
これで完了!次回からのログインは…
設定完了後のログインは非常にスムーズです。
ユーザー名とパスワードを入力してログインをクリックすると、Macの画面にTouch IDを求めるポップアップが表示されます。あとは指紋センサーにサッと触れるだけで、一瞬で安全にログインが完了します。
いかがでしたでしょうか?
「フィッシング耐性」と聞くと身構えてしまいますが、Touch IDやWindows Helloといった使い慣れた生体認証を使えば、セキュリティが格段に上がるだけでなく、日々のログインの手間も大きく削減できます。
2026年6月の強制適用(Sandbox環境)に向けて、今のうちにSandbox環境でテスト登録を行い、特権ユーザーの皆様へ新しいログイン方法の周知を進めていきましょう。
まとめ
「来月からの適用に向けて、自社の環境が本当に大丈夫か不安…」
「設定の最終チェックや、Account Engagementへの影響調査をプロに任せたい」
そんなお悩みをお持ちの企業様は、今すぐtoBeマーケティングにご相談ください!MA・CRMの導入から定着化まで数多くの実績を持つ弊社が、貴社の環境に合わせた最適なサポートをご提供します。
セキュリティ要件への対応は、企業の大切な顧客データを守るための重要なアップデートです。皆様が安心して日々のマーケティング活動に専念できるよう、私たちがしっかりと伴走し、サポートさせていただきます!
タイムリミットが迫っております。少しでもご不安な点がございましたら、ぜひお急ぎで下記フォームよりお問い合わせください。
✔MFA強化に伴う影響範囲のアセスメントと設定の最適化について相談したい
✔スムーズな移行のための、従業員様向けマニュアルの作成支援をお願いしたい
✔︎Account Engagement (Pardot) や外部連携システムへの影響調査・対策をしたい
上記のようなお悩みをお持ちの方は、ぜひ!弊社サービスをご活用ください!
\お困り事はお気軽にご相談ください/
Salesforce CRMの活用成功事例 6選のご紹介 〜顧客データ統合とDX推進のポイント〜
本資料は、Salesforce CRMを活用した顧客データの統合および業務プロセスのデジタルトランスフォーメーション(DX )に取り組む企業様の成功事例を多数ご紹介しております。
\詳細はこちらをクリック/
