MENU
資料ダウンロード
お問い合わせ

MAIL
  1. ホーム
  2. 全て
  3. コラム
  4. 【期日直前】 2026年7月必須化!Salesforce管理者のための「フィッシング耐性MFA」設定完全ガイド

【期日直前】 2026年7月必須化!Salesforce管理者のための「フィッシング耐性MFA」設定完全ガイド

コラム

Salesforceをご利用中の皆様、システム管理者様宛てにSalesforce社から「ご利用のSalesforce環境のセキュリティ強化について」という重要なご案内メールが届いていませんか?

実は、2026年7月1日(テスト環境のSandboxは6月22日)より順次、システム管理者などの強い権限を持つユーザーのログインにおいて、「フィッシング耐性のあるMFA(多要素認証)」が必須となります。もしこの対応が漏れてしまうと、期限日を境に対象ユーザーがSalesforceへ一切アクセスできなくなるリスクがあります。

そこで今回は、この厳格なセキュリティ強化が求められる背景を押さえつつ、「自社の誰が対象になるのか?」「実務上、どのような手順で設定を進めればよいのか?」という実践的なステップを詳しく解説していきます。

1. なぜ「フィッシング耐性」が必要なのか?

これまでもSalesforceでは「Salesforce Authenticator」などのスマホアプリを使った多要素認証(MFA)が必須でした。これまで主流だった「認証アプリで発行されるワンタイムパスワード」は安全とされてきましたが、最近ではその裏をかく手口が増加しています。具体的には、正規の画面を精巧に偽造したフィッシングサイトへユーザーを誘導し、入力されたID・パスワードだけでなく、MFAの認証コードまでもリアルタイムに窃取して不正ログインを行う、極めて巧妙なサイバー犯罪が問題となっているのです。

これに対抗するため、Salesforce社は最も権限の強い特権ユーザーに対して、より強力な認証を義務付けました。それが以下のいずれかを利用した「フィッシング耐性MFA」です。

  • 組み込み Authenticator:PC本体の顔認証(Windows Hello)や指紋認証(MacのTouch ID) 
  • 物理的なセキュリティキー:YubiKeyなどのUSB型専用デバイスや、iPhoneのパスキーなど

2. まずは対象となるユーザーを確認しよう

今回の必須化の対象となるのは、以下のいずれかの権限を持つ特権ユーザーです。

  • 「システム管理者」プロファイルを持つユーザー
  • 「すべてのデータの編集」「すべてのデータの参照」「アプリケーションのカスタマイズ」「Apex 開発」いずれかの権限を持つユーザー

対象者が漏れてログイン不可になるのを防ぐため、まずはSalesforceのリストビューで対象者を洗い出しましょう。

💡 対象者の確認手順

  1. [設定]>[ユーザー]>[プロファイル]を開いて「システム管理者」を選ぶ
  2. [このプロファイルに関するユーザーの詳細]を選び、該当するユーザーを確認する

🔗公式参考:2026 年 6 月から開始されるセキュリティ強化に備える(Salesforce サクセスナビ)

3. 具体的にどう対応すればいいの?(3つのステップ)

専用の機器を購入しなくても、今お使いのPCやスマホの機能を活用することで、無料で対応が可能です。ここでは一番手軽な「PCの生体認証(Windows Hello / Touch ID)」や「iPhoneのパスキー」を使った設定手順をご紹介します。

ステップ1:組織全体で設定を有効化する(管理者が1回のみ実施)

まずは組織として新しい認証方法を許可する設定を行います。

  • [設定]からクイック検索で「ID検証」を検索し、[ID]>[ID 検証]を開きます。
  • 以下の2つの項目にチェックを入れて[保存]します。
  • ☑️ ユーザーが Touch ID や Windows Hello などの組み込み Authenticator を使用して ID を検証できるようにする
  • ☑️ ユーザーが物理的なセキュリティキー (U2F または WebAuthn) を使用して ID を検証できるようにする

🔗公式ヘルプ:Salesforce 組織での ID 検証のための組み込み Authenticator の有効化

ステップ2:ユーザーごとにデバイスを登録する

対象ユーザー全員が、ご自身のアカウントに端末を紐づけます。

  1. 画面右上のアイコンから[設定]>[私の個人情報]>[高度なユーザーの詳細]を開きます。
  1. 「組み込み Authenticator」の横の [追加]、または「セキュリティキー」の横の[登録]をクリックします。
  1. 初回のみ従来のMFAアプリでの承認が求められます。その後、PCのカメラや指紋センサーで認証を完了させます。

ステップ3:iPhoneをパスキーとして使う場合

PCに生体認証がない場合は、ステップ2で「セキュリティキー」の[登録]を選択してください。画面上にQRコードが表示されるので、それをiPhoneの標準カメラで読み取ることで、iPhoneのFace IDやTouch IDをパスキー(セキュリティキーの代わり)として無料で登録することが可能です。

🔗公式ヘルプ:Salesforce 組織の ID 検証手段としての組み込み Authenticator の登録

4. ⚠️【要注意】複数端末(会社PC・自宅PC)を使う場合

ここで、Salesforce管理者様が最も陥りやすい落とし穴があります。Salesforceの仕様上、「組み込み Authenticator(PCの顔・指紋認証)」や「セキュリティキー」は、1人のIDにつき原則それぞれ1つまでしか登録できません。つまり、会社のPCで顔認証を登録してしまうと、自宅のPCからは同じ設定でログインできなくなります

複数端末からSalesforceにアクセスする管理者の皆様は、以下のいずれかの回避策をご検討ください。

  • 前述のiPhoneのパスキーを登録し、どのPCからログインする際もスマホと連動させて認証する。
  • 持ち運び可能なUSB型のセキュリティキー(YubiKeyなど)を購入し、自宅と会社の両方で挿して使う。
  • 1Passwordなどの有償パスワード管理ツールを利用する。

最後に

自社の環境に合わせた最適な設定や、運用ルールの策定でお困りではありませんか? 「PCやスマホの設定手順に不安がある」「どのようにアカウントとデバイスを管理すべきか方針が定まらない」といったお悩みを抱える管理者様は、ぜひ合同会社ゲンバゴまでお気軽にお声がけください。

弊社では、建設業界を中心としたお客様へ向けたSalesforceの導入・DX推進の伴走支援をしております。

お問い合わせ

コラム

関連記事

目次