SalesforceのIP制限の種類と設定方法|セキュリティを高める

Salesforceのセキュリティを高めるための機能である、「IP制限」にはいくつかの種類があります。

それぞれの特徴や使い分けのポイント、そして具体的な設定方法を解説します。

IP制限とは

「IP制限」とは、特定のIPアドレスやIPアドレス範囲からのアクセスを制御するセキュリティのための手法です。IPアドレスとは、インターネット上でデバイスを識別する一意の番号です。

例えば、あるオフィスで社員が同一のWi-Fiを使っている場合、そのオフィス内の全員のPCは、そのWi-Fiルーターに割り当てられたIPアドレスが共有されています。

もし上記のWi-FiのIPアドレス以外のアクセスをブロックするように設定したとすると、オフィス外部からの不正アクセスを防ぐことができます。これがIP制限の概要になります。

SalesforceでもIP制限を設定することができ、機器の設定などは不要でSalesforce内の操作のみで可能です。

SalesforceのIP制限とは。種類と違いも解説

大前提として、IP制限はユーザーの利便性よりもセキュリティを優先する設定なので、ログイン時のパスワードやセッション時間、MFA等で要件を満たせないか、十分に検討したうえで設定しましょう。

必ずしも全ての組織でIP制限をしなくてはならないわけではありません。

SalesforceのIP制限には、「ネットワークアクセス制限」・「プロファイルベースのIP制限」・「セッションベースのIP制限」の3種類があります。

以下の表にそれぞれの違いを纏めました。

IP制限の種類説明主な目的
ネットワークアクセス制限特定のIPアドレス範囲からのみSalesforceにログインできるように制限する機能。管理者が設定したIPアドレス範囲外からのログインを防ぐ。
プロファイルベースのIP制限特定のプロファイルに対してログイン可能なIPアドレス範囲を設定する機能。各プロファイルごとに異なるIPアドレス範囲を指定し、プロファイルごとのセキュリティを強化する。
セッションベースのIP制限ユーザーのセッションが特定のIPアドレス範囲内でのみ有効になるように設定する機能。セッションが異なるIPアドレスからアクセスされると無効化し、不正なセッションの利用を防ぐ。

まず、ネットワークアクセス制限とプロファイルベースのIP制限は、ログイン時のみIPを評価します。ログイン後はIPが変わってもアクセス可能です。セッションベースのIP制限は、セッション(ページ遷移)のたびにIPが評価されます。したがって、セッションベースのIP制限の方がより厳格です。

ただし、そこまで厳格に制御してしまうと、会社のネットワークが遅いときにテザリングで繋ぐなどの代替策が取れなくなってしまいますので、ネットワークアクセス制限かプロファイルベースのIP制限にすることが多いです。(セッションベースのIP制限は金融機関などで使われます。)

ネットワークアクセス制限とプロファイルベースのIP制限の違いは、全社のIPを一括して制御するのがネットワークアクセス制限、プロファイルごとに切り分けてIP制限するのがプロファイルベースのIP制限です。

目的に応じて使い分けられるとよいですね。

SalesforceのIP制限の設定方法

ネットワークアクセス制限

設定画面の左側のサイドメニュー上部、検索窓にネットワークと打ち込みます。サイドメニューにネットワークアクセスが表示されますので、クリックすると下図が開きます。「新規」ボタンを押します。

ネットワークアクセス制限の行き方

 

開始IPアドレスと終了IPアドレスを入力します。IPアドレスに範囲がある場合は範囲で指定できます。一つのIPアドレスで決め打ちにする場合は開始IPと終了IPに同じ値を入れればよいです。

IPアドレスは増えがちなので、説明も毎回しっかりと書いておいた方がベターです。

ネットワークアクセス制限の設定方法

プロファイルベースのIP制限

設定画面サイドメニューの検索窓にプロファイルと打ち込みます。サイドメニューにプロファイルが出てきますので、クリックすると下図の画面になります。IP制限したいプロファイルを選択します。

プロファイルベースのIP制限の行き方

 

プロファイルのページが開かれたら、上部左側に「ログインIPアドレスの制限」がありますのでクリックします。

プロファイルベースのIP制限の行き方2

こちらのセクションにページ内で遷移します。新規を押します。

プロファイルベースのIP制限の行き方3

あとは「ネットワークアクセス制限」で解説した内容と同様になります。

プロファイルベースのIP制限の設定画面

セッションベースのIP制限

設定画面サイドメニューの検索窓にセッションと打ち込みます。サイドメニューに「セッションの設定」が出てきますので、クリックすると下図の画面になります。

セッションベースのIP制限の行き方

セッションベースのIP制限を制御するのは主に下図の2点です。

セッションベースのIP制限の具体設定方法

「すべての要求でログイン IP アドレスの制限を適用 」をtrueにすると、セッションのたびにIP制限が評価されます。

「ログイン時の IP アドレスとセッションをロックする」をtrueにすると、ログインした際のIPとセッション時のIPが違った場合にアクセスがブロックされます。

両方にチェックした場合には、セッションのたびにIP制限が評価され、かつログインした際のIPとセッション時のIPが違った場合にアクセスがブロックされるというガチガチの設定になります。

まとめ

IP制限は、社外からのアクセスを防止するための簡単かつ有効に実現できるセキュリティ手法です。Salesforceでは、クリックベースの設定で、様々なセキュリティニーズに対応できます。ただし、本当にIP制限が必要かどうかは企業規模によっても異なってきますので、十分にご検討された方が良いでしょう。