Salesforceが接続アプリの利用制限を強化 セキュリティモデルに関わる重大変更で管理者が取るべきアクションを詳説:シャドーITに警鐘(1/2 ページ)
Salesforceは2025年9月上旬より、組織のセキュリティ強化のため、未インストールの接続アプリケーションの利用を制限する新施策を段階的に導入することになった。この重大な変更には迅速な対応が必要だ。Salesforce MVP Hall of Fameの鈴木貞弘氏が、管理者に求められるアクションを詳説する。
*本記事はNTTテクノクロスのブログ「情報畑でつかまえて」に掲載された、同社鈴木貞弘氏による「【緊急寄稿】Salesforceの『接続アプリケーションの使用制限変更』に備える」を転載したものです。タイトルを変更し、本文中の表記についてはアイティメディアの表記ルールに準じた修正を行っています。
既にSalesforceの管理者向けに公式サポートから案内があった通り、2025年9月上旬より、Salesforceは組織のセキュリティを大幅に強化するため、未インストールの接続アプリケーションの利用を制限する新施策を、段階的に導入することになった。
これは、管理者による明示的な承認を得ていない限り、エンドユーザーが外部アプリケーションとのAPI接続を自己承認することを原則として禁止するものである。
今回のSalesforceの新施策では、未インストールの接続アプリケーションに対して新規利用をブロックする一方で、混乱を最小限に抑えるべく、既存の自己承認済みの利用については特定の条件下で継続を許可する変更が加えられる。
これに伴い、OAuth 2.0デバイスフローを使用するアプリケーションは、過去の承認の有無にかかわらず、全て無効化されることとなる。
本記事では、この施策の技術的な詳細、そしてSalesforce管理者およびエンドユーザーが直面する課題と、それに対応するための具体的な行動計画を網羅的に解説する。
新規セキュリティ施策「未インストールの接続アプリケーションの使用制限」の全容
今回の新施策は単なる機能変更ではなく、Salesforceプラットフォームにおけるセキュリティモデルの根本的な再構築を促すものであり、この施策の全容を理解するためには、その技術的な詳細と、将来的なセキュリティ戦略における位置付けを把握することが重要である。
施策の概要と影響範囲
2025年9月上旬より、Salesforceは組織に正式にインストールされていない接続アプリケーション(以下「未インストールアプリ」)の新規利用を制限する。
この施策が導入されると、エンドユーザーは、管理者の明示的な承認がない限り、未インストールアプリを自己承認して利用することができなくなる。
しかし、業務への影響を最小限に抑えるため、施策の導入前に既にユーザーが自己承認していた未インストールアプリについては、以下の条件を全て満たす場合に限り、引き続き利用可能となる見込みである。
- ユーザーが以前にそのアプリケーションを認証している
- アプリケーションがOAuth 2.0デバイスフローを使用していない
この例外措置のポイントは、OAuth 2.0デバイスフローを使用する未インストールアプリが、過去に承認済みであっても、全て利用がブロックされるという点である。これは、この特定の認証フローが悪意のある攻撃に悪用されることのないよう、最も脆弱(ぜいじゃく)な経路を完全にふさぐための措置である。
※なお、8月下旬に開催されたSalesforce主催のウェブセミナーの内容によると「外部クライアントアプリケーション(External Client Apps)」は、この変更の影響を受けない見込みである。
新規導入される権限とAPIアクセスコントロールの役割
新施策により未インストールアプリの新規利用が原則ブロックされる一方で、特定の業務上の要件やテストのために例外的な利用が必要なケースも存在する。Salesforceは、このようなニーズに対応するため、2つの新しい権限を導入した。
- 「Approve Uninstalled Connected Apps」:この新しいユーザー権限は、信頼できる特定のユーザー(例:管理者、開発者)が、未インストールアプリの自己承認を継続できるようにするものである。これにより、管理者は、最小権限の原則に基づき、特定のユースケースにのみ例外的な利用を許可することが可能となる。
- 「Use Any API Client」:この権限は、より広範なアクセスを可能にするもので、未インストールアプリを含む全てのAPIクライアントへのアクセスを許可する。この権限は非常に強力であるため、ごく少数の管理者やシステム統合を担当する開発者など、限定的なユーザーにのみ、最大限の注意を払って付与することを強く推奨している。
これらの権限の適用は、組織でAPIアクセスコントロールが有効かどうかに応じて挙動が異なる。APIアクセスコントロールは、管理者が承認した特定の接続アプリケーション経由でのみ、ユーザーがSalesforce APIにアクセスできるように制限する機能であり、この機能が有効な場合、未インストールアプリの利用には「Use Any API Client」権限が必要となる。
レガシーと新世代のセキュリティモデルの収れん
本施策では「外部クライアントアプリケーションは影響を受けない」と先述したが、その理由は、外部クライアントアプリケーションは、レガシーな接続アプリケーションが抱えていたガバナンスやセキュリティ上の課題を解決するために設計された「新世代の接続アプリケーション」と位置付けられているためである。
外部クライアントアプリケーションの最も重要な設計思想は、「正式なインストールなしには利用できない」という点にある。これにより、開発者と管理者の役割が明確に分離され、全てのアプリケーションが管理者の統制下に置かれることが前提となる。今回の施策は、この新世代モデルが持つセキュリティ上の利点を、レガシーな接続アプリケーションにも適用し、ユーザーの自己承認という自由な経路をふさぎ、管理者の「正式なインストールと承認」を必須とすることで、全てのAPI連携におけるセキュリティモデルを統一しようとするSalesforceの長期的な戦略が示唆している。
| 項目 | 施策前(旧モデル) | 施策後(新モデル) |
|---|---|---|
| 新規利用の挙動 | ユーザーによる自己承認が可能 | ユーザーによる新規承認は原則ブロック |
| 既存ユーザーの挙動 | 継続利用可能 | 特定の例外を除き継続利用可能 |
| OAuth 2.0デバイスフロー | ユーザーによる承認が可能 | 新規・既存問わず全てブロック |
| 必要な権限(原則) | なし(API Enabled権限のみ) | なし(新規利用はブロックされるため) |
| 例外的に新規利用を許可する権限 | なし | 「Approve Uninstalled Connected Apps」または「Use Any API Client」権限が必要 |
| 外部クライアントアプリへの影響 | 影響なし | 影響なし |
| 管理者の役割 | 任意(監査推奨) | 必須(正式なインストールとガバナンスの確立) |
| 新旧の接続アプリケーション利用モデルの比較 | ||
ユーザーに求められる詳細な対処とベストプラクティス
今回の施策は、事前に適切な準備を行わなければユーザーの業務中断を引き起こす可能性があるため、組織の管理者、そして利用ユーザーは、この変更を円滑に乗り切るために、以下の段階的な対処を実行することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.