Salesforce、特権ユーザーのMFA強制化が7/1本番適用｜パスキー対応の締切と準備

自社のSalesforce管理者は、いまSMSや認証アプリのコードでログインしていないだろうか。それはもうすぐ通用しなくなる。 Salesforceは2026年5月、セキュリティ強化として、特権ユーザーへの「フィッシング耐性MFA」必須化と、全従業員へのMFA強制化を公式に告知した。本番環境での適用は、特権ユーザーが2026年7月1日、全従業員が7月20日だ。重要なのは、SMSや認証アプリのワンタイムコード（TOTP）は「フィッシング耐性MFA」に該当しないため、特権ユーザーはパスキーやセキュリティキー等への移行が必要になる点だ。

本記事では、Salesforceを使う企業の情シス向けに、対象者の線引きと、締切に向けた準備の進め方を整理する。

この記事の要点

• Salesforceは2026年5月5日付の公式情報で、MFAの強制化と、特権ユーザーへの「フィッシング耐性MFA（PRMFA）」必須化を告知（任意ではなく強制）。
• 適用日：特権ユーザーのPRMFA＝Sandbox 6/22・本番 7/1／全従業員のMFA＝Sandbox 6/22・本番 7/20。全従業員は「標準MFA」、特権ユーザーのみ「フィッシング耐性MFA」が必要。
• 特権ユーザーの定義は、システム管理者プロファイル、または「すべてのデータの編集／参照」「アプリケーションのカスタマイズ」「Apexの作成」のいずれかの権限を持つユーザー。
• フィッシング耐性MFAに該当：パスキー、セキュリティキー（WebAuthn/FIDO2・YubiKey等）、内蔵認証（Touch ID／Face ID／Windows Hello）。SMSや認証アプリのTOTPは該当しない。
• 背景には、SaaS利用者を狙うソーシャルエンジニアリング（不正なコネクテッドアプリの認可・OAuthトークンの悪用等）がある。

何が、いつから変わるのか

Salesforceの公式情報（2026年5月5日付）によれば、変更点は2つの軸に分かれる。

ポイントは、全従業員には「標準MFA」、特権ユーザーには一段強い「フィッシング耐性MFA」が求められることだ。そして、これは推奨ではなく強制である。Salesforceは設定を無効化できないようロックし、要件を満たさないユーザーはログイン時にブロックされるとしている。

なお、レポート操作に対するステップアップ認証など関連する変更もあるが、本記事では上記2つのMFA軸に絞る。

「特権ユーザー」とは誰か

自社の誰が7/1の対象になるのか。Salesforceの定義では、特権ユーザーは次のいずれかに該当する。

• システム管理者プロファイルを持つユーザー
• すべてのデータの編集（Modify All Data）権限
• すべてのデータの参照（View All Data）権限
• アプリケーションのカスタマイズ（Customize Application）権限
• Apexの作成（Author Apex）権限

つまり、肩書きの「管理者」だけでなく、強い権限を持つ実務担当者も対象になりうる。まずは自社のSalesforceで、これらの権限を持つユーザーを棚卸しすることが第一歩だ。「誰が特権ユーザーか把握できていない」状態は、それ自体が権限管理上のリスクでもある。

フィッシング耐性MFAとは：SMS・認証アプリでは不十分

「フィッシング耐性MFA（Phishing-Resistant MFA）」とは、偽サイトに認証情報を入力させる中間者（AiTM）型のフィッシングに耐性を持つ認証方式を指す。Salesforceの整理では、次が該当する。

• パスキー
• セキュリティキー（WebAuthn/FIDO2・YubiKey等）
• 内蔵認証（Touch ID／Face ID／Windows Hello）

一方、次は特権ユーザーのフィッシング耐性MFA要件を満たさない。

• SMS（弱い認証に分類）
• 認証アプリのワンタイムコード（TOTP）（Salesforce Authenticatorアプリ等も含め「標準MFA」に分類）

ここが見落とされやすい。「うちはもうMFAを入れているから大丈夫」と思っていても、それがSMSや認証アプリのコードなら、特権ユーザーは7/1までにパスキー等へ移行する必要がある。パスキー・セキュリティキーの配布と運用設計（紛失時の再発行、複数デバイス対応など）には準備期間が要る。認証基盤の考え方はIAM（Okta／Entra ID／Keycloak）とゼロトラスト・ゼロトラスト・セキュリティの実装ガイド（中小企業向け）が参考になる。

なぜ今、強制化なのか

この強制化の背景には、SaaS利用者を狙うソーシャルエンジニアリングの高度化がある。近年、攻撃者はMFAそのものを突破するのではなく、利用者をだまして不正なコネクテッドアプリを認可させ、OAuthトークンを乗っ取って大量のデータを持ち出す手口に移っている。電話を使った音声フィッシング（ビッシング）による標的型の事例も、セキュリティ各社から報告されている（攻撃者の特定や手口の詳細は各社の報告に基づくもので、Salesforce公式の断定ではない）。

つまり、MFAの「強さ」と「正しい運用」が、SaaS時代の侵害対策の要になっている。これはSalesforceに限らず、自社が使う主要SaaS全般に通じる論点だ。複数SaaSの認証を束ねるSSO/IdP統合の考え方はSSO・IdP統合（中堅企業向け）で扱っている。

よくある質問（FAQ）

Q1. 締切はいつですか？

本番環境では、特権ユーザーのフィッシング耐性MFAが2026年7月1日、全従業員のMFAが7月20日に適用されます（Sandboxはいずれも6月22日）。要件を満たさないユーザーはログイン時にブロックされるとされているため、それまでに準備を完了する必要があります。

Q2. 今のSMS認証や認証アプリではダメなのですか？

全従業員向けの「標準MFA」としては有効ですが、特権ユーザーに求められる「フィッシング耐性MFA」には該当しません。特権ユーザーは、パスキー、セキュリティキー（WebAuthn/FIDO2）、内蔵認証（Touch ID／Face ID／Windows Hello）のいずれかへ移行する必要があります。

Q3. 自社の特権ユーザーをどう特定すればよいですか？

システム管理者プロファイル、または「すべてのデータの編集／参照」「アプリケーションのカスタマイズ」「Apexの作成」のいずれかの権限を持つユーザーが対象です。Salesforceの権限設定から該当ユーザーを棚卸ししてください。この機会に過剰な権限付与を見直すと、セキュリティと運用の両面で効果があります。

Q4. パスキー導入で気をつけることは？

デバイス紛失時の再発行手順、複数デバイス対応、入社・退職時の運用などを設計しておく必要があります。場当たり的に配布すると、ログインできない・サポート負荷が増えるといった問題が起きます。SSO/IdPと組み合わせて、他のSaaSも含めた認証基盤として設計するのが望ましいです。

まとめ：MFAは「入れた」より「正しく運用できている」かが問われる

Salesforceの2026年のMFA強制化は、SaaS時代のセキュリティが「MFAを入れたか」から「フィッシングに耐える方式で、正しく運用できているか」へ移っていることを示している。特権ユーザーは7/1、全従業員は7/20が本番適用の締切だ。まずは自社の特権ユーザーを棚卸しし、SMS・認証アプリからパスキー・セキュリティキーへの移行を計画したい。

これはSalesforceに限らず、自社が使う主要SaaS全般に通じる課題でもある。GXOは、特権ユーザーの棚卸しから、パスキー導入設計、SSO/IdP統合まで支援している。詳細はセキュリティ運用伴走・セキュリティ事業をご覧いただきたい。

参考情報

• Salesforce公式「Phishing-Resistant MFA for Privileged Users」（2026年5月5日公開。特権ユーザーのPRMFA必須化：Sandbox 6/22・本番 7/1。特権ユーザー定義／対応する認証方式）：https://help.salesforce.com/s/articleView?id=005321563&type=1
• Salesforce公式「MFA Enforcement for All Employee Users」（全従業員のMFA強制化：Sandbox 6/22・本番 7/20）：https://help.salesforce.com/s/articleView?id=005321561&type=1
• ※ 攻撃者の特定（UNC6040／ShinyHunters等）や音声フィッシング（ビッシング）の手口に関する記述は、セキュリティ各社の報告に基づく二次情報であり、Salesforce公式の断定ではない。最新・正確な適用条件は上記Salesforce公式ページで確認のこと。

関連記事

• IAM（Okta／Entra ID／Keycloak）とゼロトラスト
• SSO・IdP統合（中堅企業向け）
• ゼロトラスト・セキュリティの実装ガイド（中小企業向け）