top of page
レザーノート

BLOG

検索

Salesforce管理者必見!フィッシング耐性MFAへの対応で確認すべきポイントとは

  • 執筆者の写真: 福谷 凌
    福谷 凌
  • 1 日前
  • 読了時間: 4分



こんにちは。ネクスト・アイです。


今回は、Salesforceで適用される**「フィッシング耐性MFA(Phishing-Resistant MFA)」**についてご紹介します。


「MFAはすでに導入しているから問題ない」


そう考えている企業も多いかもしれません。


しかし今回の変更では、単にMFAを利用しているだけでは要件を満たせないケースがあります。


特にシステム管理者や特権を持つユーザーは影響を受ける可能性があるため、事前確認が重要です。


本記事では、対象ユーザーや影響範囲、Salesforce管理者が確認すべきポイントについて解説します。

目次

  1. フィッシング耐性MFAとは

  2. どのユーザーが対象になるのか

  3. MFAを使っていても要件を満たさないケース

  4. Salesforce管理者が今確認すべきこと

  5. まとめ



フィッシング耐性MFAとは


フィッシング耐性MFAとは、フィッシングサイトや中間者攻撃による認証情報の窃取を防ぐことを目的とした認証方式です。


近年では、ID・パスワードだけでなく、ワンタイムパスワードまで盗み取る巧妙なフィッシング攻撃が増加しています。そのためSalesforceでは、より安全性の高い認証方式であるフィッシング耐性MFAへの対応を進めています。


適用スケジュールは以下のとおりです。


Sandbox環境:2026年6月22日から適用開始

本番環境:2026年7月1日から順次適用


本番環境は組織ごとに順次適用されるため、直前ではなく早めの確認・準備をおすすめします。


どのユーザーが対象になるのか


今回の要件は、すべてのSalesforceユーザーが対象ではありません。

対象となるのは、Salesforceの設定変更やデータ管理などを行える強い権限を持つユーザーです。


例えば、


  • システム管理者

  • 組織全体のデータを閲覧できるユーザー

  • 組織全体のデータを更新・削除できるユーザー

  • Salesforceの設定変更を行えるユーザー

  • Apex開発を行うユーザー


などが対象となります。

権限セットでこれらの権限が付与されている場合も対象です。


「管理者は数名しかいない」と思っていても、実際には営業責任者や開発担当者などが対象に含まれているケースもあります。


まずは、自社でどのユーザーが該当するのか確認することが重要です。


MFAを使っていても要件を満たさないケース


今回、多くの企業が注意すべきポイントがここです。


現在利用している認証方式によっては、MFAを導入済みでも要件を満たさない可能性があります。


例えば、対象となる特権を持つユーザーが以下の認証方式を利用している場合、フィッシング耐性MFA要件を満たさないため、対応が必要となります。


  • Salesforce Authenticator

  • Google Authenticator

  • Microsoft Authenticator


一方で、以下のような認証方式はフィッシング耐性MFAとして利用できます。


  • パスキー(Passkey)

  • セキュリティキー(FIDO2)

  • Windows Hello

  • Touch ID / Face ID


また、Microsoft Entra IDやOktaなどのSSO(シングルサインオン)を利用している場合でも、設定状況によっては対応が必要になるケースがあります。


つまり、「MFAを利用しているか」ではなく、「どの認証方式を利用しているか」が重要です。


Salesforce管理者が今確認すべきこと


2026年6月22日の適用に向けて、まずは以下の内容を確認することをおすすめします。


  • 対象ユーザーの洗い出し

    システム管理者だけでなく、特権権限を持つユーザーも確認しましょう。

  • 現在の認証方式の確認

    対象ユーザーがどの認証方式を利用しているかを把握します。

  • SSO環境の確認

    Microsoft Entra IDやOktaなどのSSOを利用している場合は、現在の設定でフィッシング耐性MFA要件を満たすか確認しましょう。

  • Sandbox環境での検証

    Sandbox環境で対象ユーザーが問題なくログインできることを事前に確認し、本番環境への適用に備えましょう。


まとめ


今回は、2026年6月22日からSandbox環境、7月1日から本番環境へ順次適用されるSalesforceのフィッシング耐性MFAについてご紹介しました。


今回の変更で重要なのは、


「MFAを利用しているか」


ではなく、


「利用している認証方式がフィッシング耐性MFAの要件を満たしているか」


という点です。


特にシステム管理者や特権を持つユーザーは影響を受ける可能性があるため、早めの確認をおすすめします。


このブログでは、Salesforceをもっと便利に使うためのお役立ち情報を発信しています。

記事に対する質問・相談に関しては、トップページの「お問い合わせ」よりご連絡ください。




コメント

bottom of page