1.　はじめに

すでにSalesforceの管理者向けに公式サポートから案内があったとおり、2025年9月上旬より、Salesforceは組織のセキュリティを大幅に強化するため、未インストールの接続アプリケーションの利用を制限する新施策を、段階的に導入することになった。

（参考）Salesforce公式ヘルプページ：https://help.salesforce.com/s/articleView?id=005132365&type=1

これは、管理者による明示的な承認を得ていない限り、エンドユーザーが外部アプリケーションとのAPI接続を自己承認することを原則として禁止するものである。

今回のSalesforceの新施策では、未インストールの接続アプリケーションに対して新規利用をブロックする一方で、混乱を最小限に抑えるべく、既存の自己承認済みの利用については特定の条件下で継続を許可する変更が加えられる。

これにともない、OAuth 2.0デバイスフローを使用するアプリケーションは、過去の承認の有無にかかわらず、すべて無効化されることとなる。

本記事では、この施策の技術的な詳細、そしてSalesforce管理者およびエンドユーザーが直面する課題と、それに対応するための具体的な行動計画を網羅的に解説する。

2.　新規セキュリティ施策「未インストールの接続アプリケーションの使用制限」の全容

今回の新施策は、単なる機能変更ではなく、Salesforceプラットフォームにおけるセキュリティモデルの根本的な再構築を促すものであり、この施策の全容を理解するためには、その技術的な詳細と、将来的なセキュリティ戦略における位置づけを把握することが重要である。

2.1. 　施策の概要と影響範囲

2025年9月上旬より、Salesforceは、組織に正式にインストールされていない接続アプリケーション（以下「未インストールアプリ」）の新規利用を制限する。
この施策が導入されると、エンドユーザーは、管理者の明示的な承認がない限り、未インストールアプリを自己承認して利用することができなくなる。

しかし、業務への影響を最小限に抑えるため、施策の導入前にすでにユーザーが自己承認していた未インストールアプリについては、以下の条件をすべて満たす場合に限り、引き続き利用可能となる見込みである。

１．ユーザーが以前にそのアプリケーションを認証している。

２．アプリケーションがOAuth 2.0デバイスフローを使用していない。

この例外措置のポイントは、OAuth 2.0デバイスフローを使用する未インストールアプリが、過去に承認済みであっても、すべて利用がブロックされるという点である。これは、この特定の認証フローが悪意のある攻撃に悪用されることの無いよう、最も脆弱な経路を完全に塞ぐための措置である。
※なお、8月下旬に開催されたSalesforce社主催のウェブセミナーの内容によると「外部クライアントアプリケーション（External Client Apps）」は、この変更の影響を受けない見込みである。

2.2. 　新規導入される権限とAPIアクセスコントロールの役割

新施策により未インストールアプリの新規利用が原則ブロックされる一方で、特定の業務上の要件やテストのために例外的な利用が必要なケースも存在する。Salesforceは、このようなニーズに対応するため、2つの新しい権限を導入した。

・「Approve Uninstalled Connected Apps」：この新しいユーザー権限は、信頼できる特定のユーザー（例：管理者、開発者）が、未インストールアプリの自己承認を継続できるようにするものである。これにより、管理者は、最小権限の原則に基づき、特定のユースケースにのみ例外的な利用を許可することが可能となる。

・「Use Any API Client」：この権限は、より広範なアクセスを可能にするもので、未インストールアプリを含むすべてのAPIクライアントへのアクセスを許可する。この権限は非常に強力であるため、ごく少数の管理者やシステム統合を担当する開発者など、限定的なユーザーにのみ、最大限の注意を払って付与することを強く推奨している。

これらの権限の適用は、組織でAPIアクセスコントロールが有効かどうかに応じて挙動が異なる。APIアクセスコントロールは、管理者が承認した特定の接続アプリケーション経由でのみ、ユーザーがSalesforce APIにアクセスできるように制限する機能であり、この機能が有効な場合、未インストールアプリの利用には「Use Any API Client」権限が必要となる。

2.3. 　レガシーと新世代のセキュリティモデルの収斂

本施策では「外部クライアントアプリケーションは影響を受けない」と先述したが、その理由は、外部クライアントアプリケーションは、レガシーな接続アプリケーションが抱えていたガバナンスやセキュリティ上の課題を解決するために設計された、「新世代の接続アプリケーション」と位置付けられているためである。

外部クライアントアプリケーションの最も重要な設計思想は、「正式なインストールなしには利用できない」という点にある。これにより、開発者と管理者の役割が明確に分離され、すべてのアプリケーションが管理者の統制下に置かれることが前提となる。今回の施策は、この新世代モデルが持つセキュリティ上の利点を、レガシーな接続アプリケーションにも適用し、ユーザーの自己承認という自由な経路を塞ぎ、管理者の「正式なインストールと承認」を必須とすることで、すべてのAPI連携におけるセキュリティモデルを統一しようとするSalesforceの長期的な戦略が示唆している。

2.4.　 新旧の接続アプリケーション利用モデルの比較

以下の表は、今回の施策が導入されることによって、接続アプリケーションの利用モデルがどのように変化するかを、旧来のモデルと比較して視覚的に整理したものである。

表１：新旧の接続アプリケーション利用モデルの比較

3.　ユーザーが求められる詳細な対処とベストプラクティス

今回の施策は、事前に適切な準備を行わなければ、ユーザーの業務中断を引き起こす可能性があるため、組織の管理者、そして利用ユーザーは、この変更を円滑に乗り切るために、以下の段階的な対処を実行することが求められる。

3.1. 　Salesforce管理者（Admin）向けの対応策

Salesforceの管理者は、組織のセキュリティゲートキーパーとして、積極的な対応計画を策定・実行する必要がある。

サードパーティ製AppExchange製品への影響と対応

今回の新施策は、AppExchangeからインストールされた「パッケージ化された（Managed Package）アプリケーション」には、直接的な影響を与えない見込みである。AppExchangeを通じて提供される製品は、通常、組織に正式に「インストール済み」の接続アプリケーションとして扱われるため、引き続き中断なく機能すると考えられる。

しかし、サードパーティ製のツールやアプリケーションの中には、ユーザーがAppExchangeを経由せず、直接API認証を通じて利用を開始しているケースが存在する。これらは、組織にとっては「未インストール」の接続アプリケーションと見なされるため、このようなアプリケーションは、Data Loaderと同様に、今回の変更によって新規ユーザーの利用がブロックされる可能性がある。

したがって、管理者は、以下の手順を通じて、すべてのサードパーティ製アプリケーションが適切に管理されていることを確認する必要がある。

ステップ1：現状の監査と評価

まず、Salesforceの[設定]メニューから「接続アプリケーションのOAuth利用状況」ページにアクセスし、組織内の未インストールアプリケーションを特定する。この監査により、どの未インストールアプリが、どのユーザーによって、どの程度の頻度で利用されているかを把握できる。

ステップ2：信頼できるアプリケーションの特定と対処

監査で特定した未インストールアプリのうち、業務に不可欠であると判断された信頼できるアプリケーションは、正式に組織にインストールする。この際、アプリのOAuthポリシーにある「許可されるユーザー」の設定を「管理者承認済みのユーザーは事前承認済み」に変更することが、ガバナンス強化のベストプラクティスである。これにより、アクセス権限をプロファイルや権限セットを通じて管理でき、特定のユーザーグループにのみアクセスを許可できる。

ステップ3：不要・不明なアプリケーションのブロック

現状の監査で不要となったアプリ、または出所不明で信頼性が確立できないアプリが発見された場合、それらを「ブロック」する必要がある。この操作は、そのアプリへのアクティブなセッションをすべて即座に終了し、以降の新規接続も完全にブロックされる。これにより、組織のセキュリティリスクを迅速に低減させることができる。

ステップ4：Data Loader利用ユーザーへの対応

今回の変更で特に影響が大きいのが、OAuth 2.0デバイスフローを利用している「Data Loader」ユーザーである。Salesforce管理者は、これらのユーザーを特定し、2025年9月上旬の施策実施日までに、認証方法をパスワード認証またはOAuth Web Serverフローに切り替えるよう促す必要がある。Salesforceは、デバイスフローのサポートを削除した新しいバージョンのData Loaderを施策実施日までにリリースする予定であるため、最新版の利用を推奨することが望ましい。

3.2.　一般ユーザー向けの対応と留意点

一般的なSalesforceのユーザーは、今回の変更によって予期せぬエラーメッセージに遭遇する可能性がある。Salesforce管理者は、この変更の背景にあるセキュリティの重要性を説明し、アプリが突然利用できなくなった場合の連絡フローを事前に周知する必要がある。

ユーザーは、管理者から指示された情報伝達の経路を理解しておくことが求められるだろう。アプリへのアクセスがブロックされた場合、ユーザーは、そのアプリ名と業務上アクセスが必要な理由を添えて、管理者やIT部門に連絡する必要がある。また、不審なアプリの接続要求に対しては、安易に自己承認せず、警戒を強めることが、組織のセキュリティを守る上で不可欠である。

3.3.　Salesforce Admin向け推奨アクション一覧

以下の表は、Salesforce管理者が施策に備えて実行すべき具体的なアクションを、フェーズ別にまとめたものである。

表２：Salesforce Admin向け推奨アクション一覧

4.　最後に

今回のSalesforce新施策は、単なる技術的なアップデートに留まらず、より大きな意味合いを持つ。この変更は、ユーザーの利便性と組織のセキュリティガバナンスの間のギャップを埋めるための、プラットフォームレベルでの対応である。

これまで、接続アプリケーションは、ユーザーの自己承認によって組織の管理外に拡大する可能性を秘めていたが、今回の変更によりすべてのAPI連携が、管理者の明示的な統制下に置かれることになる。これは、Salesforceが提供する「強固なプラットフォームセキュリティ」と、顧客が担うべき「厳格な運用とガバナンス」という、セキュリティの共有責任モデルを強化するものだろう。

この施策は、組織内の「シャドーIT」に警鐘を鳴らし、すべてのAPI連携を管理者が統制することの重要性を改めて促すものであり、今後Salesforceは、ユーザー主導の利便性よりも、管理者主導の統制と透明性を重視する方向へさらに進んでいくことが示唆される。
今回の変更を契機に、継続的なセキュリティ監査とユーザー教育体制を構築することが、組織の安全を維持するための不可欠な要素となる。

参考

・Salesforce公式HP

・Salesforce公式ウェビナー