みなさん、こんにちは。アクセンチュアの北海道オフィス(AIH)で働いている高橋です。
Salesforceを勉強していると、似ているようで違う用語に戸惑うことはありませんか?今回は、私が特につまずいたポイントを共有したいと思います。
その代表格が、アクセス権の管理で使われる用語です。特にプロファイルと権限セット。どちらも権限を設定するものですが、この二つの違いと使い分けをすぐに説明できますか?
この記事では、これらの用語の違いと使い分けについて詳しく解説します。
はじめに
Salesforceを導入する際、管理者が最初に直面するテーマの一つが「アクセス権管理」です。誰に、どこまでの操作を許可するのか。この設定は、企業の重要情報を守り、従業員がスムーズに業務を行うための基盤となります。
今回は、その中核をなす「プロファイル」と「権限セット」を中心に、安全で効率的なアクセス権管理を実現するための6つの要点を解説します。
- アクセス権管理の全体像:アクセス権管理は、セキュリティと業務効率の基盤である。
- プロファイルとは何か:ユーザーの基本権限を定める「型」。1ユーザーに1つだけ割り当てる。
- 権限セットとは何か:特定の権限を柔軟に「追加」する部品。複数割り当て可能。
- プロファイルと権限セットの使い分け:プロファイルは最小限に、具体的な権限は権限セットで付与するのが基本。
- 権限セットグループでまとめる:複数の権限セットを束ね、割り当て作業を効率化する。
- 最小権限の原則を守る:業務に不要な権限は与えない。これがセキュリティの鉄則。
これらのポイントを押さえることで、安全で使いやすいSalesforce環境を構築するための第一歩となります。
1.アクセス権管理の全体像:なぜ「誰が何をできるか」が重要なのか
Salesforceには、顧客情報、売上、商談など、企業の機密情報が詰まっています。アクセス権管理とは、この重要なデータを守るためのセキュリティの要です。その目的は、「誰が(Who)」「どの情報に(What)」「どこまでアクセスできるか(Can do)」を正確にコントロールすることにあります。
もし設定が甘ければ、誤操作によるデータ削除や、悪意ある情報漏洩といった重大なインシデントに繋がりかねません。逆に、設定が厳しすぎると、業務に必要な情報にアクセスできず、生産性を著しく下げてしまいます。
適切なアクセス権管理は、単なるセキュリティ対策に留まらず、ユーザーが迷わず使えるシンプルな画面を提供し、業務効率を高める効果もあるのです。
2.プロファイルとは何か:ユーザーに付与する基本権限の“型”
プロファイルは、ユーザーのアクセス権の基本となる権限を定義する型やテンプレートです。ユーザーは必ず一つのプロファイルに所属し、そのプロファイルで定められた権限が、そのユーザーの基本操作範囲となります。
【プロファイルで設定できる主な権限】
- ログインできる時間帯やIPアドレスの制限
- オブジェクト権限
- 各オブジェクトに対する参照(Read)、作成(Create)、編集(Edit)、削除(Delete)の基本操作
- View All(全レコード参照)/Modify All(全レコード編集・削除)権限
- システム権限
- APIアクセス、Apex実行、バルクAPI、データエクスポート、レポート/ダッシュボード管理など
- 項目レベルセキュリティ
- 各オブジェクトのフィールドごとに「参照可/編集可」を制御
- 利用できるアプリケーションやタブの制限
例えば、「営業部プロファイル」「サポート部プロファイル」のように、部署や役職といった大きな括りで基本権限のテンプレートを作成するのが一般的です。
3.権限セットとは何か:必要な権限だけを後から追加する仕組み
権限セットは、プロファイルで設定された基本権限に、特定の権限を追加で付与するための追加オプションです。プロファイルだけでは対応しきれない、個別の権限ニーズに柔軟に応えるために使用します。
【権限セットで設定できる主な権限】
- オブジェクト権限
- プロファイル同様の参照(Read)、作成(Create)、編集(Edit)、削除(Delete)、View All/Modify All を個別付与可能
- システム権限
- プロファイル以上に細かい API/Apex/環境設定権限(流し込み用APIアクセス、パッケージインストール権限など)
- 項目レベルセキュリティ
- 特定のユーザだけに必要なフィールドの参照・更新権限を追加的に付与可能
- 利用できるアプリケーションやタブの制限
- ApexクラスやVisualforceページの実行権限など、より詳細なシステム権限
例えば、「営業部のAさんは基本権限だけで良いが、リーダーのBさんには部下のレポートを閲覧する特別な権限が必要」といったケース。この場合、「レポート閲覧権限セット」を作成し、Bさんにだけ割り当てることで柔軟に対応できます。
4.プロファイルと権限セットの使い分け:設計時に迷わない判断基準
Salesforceのアクセス権管理を設計する上で、最も重要なのがこの「使い分け」です。この違いを分かりやすく表にまとめると、以下のようになります。
| 項目 | プロファイル | 権限セット |
|---|---|---|
| 役割 | 基本権限の「型」 | 追加権限の「部品」 |
| 割り当て | ユーザーに必ず1つ | ユーザーに複数割り当て可能 |
| 主な用途 | ログイン制限など全社共通の最低限の権限 | 役職やタスクに応じた特定の権限を追加 |
| 柔軟性 | 低い(変更の影響範囲が大きい) | 高い(必要な権限だけを柔軟に追加・削除) |
現在のベストプラクティスは、この表の考え方に基づいています。
- プロファイル:全社共通の最低限の権限(ログインIP制限など)のみを設定するか、各部署の最小公約数となる本当に基本的な権限に絞って設定します。
- 権限セット:プロファイルの基本権限に、業務で必要となる権限を「追加」していく形で利用します。「レポート管理者」「データインポート担当」のように、役割やタスク単位で権限セットを作成し、必要なユーザーに割り当てます。
この「プロファイルは最小限、権限追加は権限セットで」という考え方が、管理しやすく柔軟性の高いアクセス権モデルの基本となります。
5.権限セットグループでまとめる:大規模組織でも管理コストを抑える方法
組織が大きくなり、権限セットの種類が増えてくると、「この役職の人には、どの権限セットを割り当てればいいんだっけ?」という新たな管理課題が生まれます。そこで役立つのが権限セットグループです。
これは、複数の権限セットを束ねて一つの「パッケージ」にする機能です。例えば、「営業リーダー」という権限セットグループを作成し、その中に「部下データ参照権限セット」「承認プロセス実行権限セット」「ダッシュボード管理権限セット」をまとめておきます。
これにより、ユーザーへの権限付与は、このグループを一つ割り当てるだけで完了します。役職や職務に応じた権限の割り当てが劇的にシンプルになり、管理コストを大幅に削減できます。
6.最小権限の原則を守る:セキュリティと業務効率を両立する考え方
アクセス権管理を設計する上で、常に意識すべきなのが「最小権限の原則」です。これは、ユーザーには、業務遂行に本当に必要な最低限の権限のみを与えるべきというセキュリティの基本思想です。
必要以上の権限を与えると、万が一アカウントが乗っ取られた際の被害が拡大したり、意図しない誤操作を誘発したりするリスクが高まります。プロファイルと権限セットを適切に使い分けることで、この最小権限の原則を効率的に実現できます。
まとめ:初心者が押さえるべきアクセス権管理の6つの要点
最後に、本記事で解説した6つの要点を振り返りましょう。
- アクセス権管理の全体像:アクセス権管理は、セキュリティと業務効率の土台である。
- プロファイルとは何か:ユーザーの基本権限を定める「型」。1ユーザーに1つだけ割り当てる。
- 権限セットとは何か:特定の権限を柔軟に「追加」する部品。複数割り当て可能。
- プロファイルと権限セットの使い分け:プロファイルは最小限に、具体的な権限は権限セットで付与するのが基本。
- 権限セットグループでまとめる:複数の権限セットを束ね、割り当て作業を効率化する。
- 最小権限の原則を守る:業務に不要な権限は与えない。これがセキュリティの鉄則。
これらの基本を押さえることが、安全で使いやすいSalesforce環境を構築するための、確かな第一歩となるはずです。
アクセンチュア株式会社に所属する社員有志による運営です。アクセンチュアの社員による様々な発信をまとめています。なお、投稿内容は社員個人の見解であり、所属する組織を代表するものではありません。
Discussion