Salesforce Marketing Cloud Engagement によるセキュリティ強化とシームレスな管理を実現するための DNS 更新

DNS 設定の更新 

2026 年 6 月 1 日より前に、影響を受けるドメインの DNS 設定を更新していただく必要があります。以下の手順を完了して、ドメインの DNS 設定を更新してください。

1. この変更について説明されている Salesforce からのメールを確認します。メールには影響を受けるドメインの一覧と、各 DSE に対応する CNAME レコードが記載されています。

2. ご利用の DNS プロバイダの管理コンソールにログインします。詳細な手順については、ご利用の DNS プロバイダのドキュメントを参照してください。

3. 影響を受ける各ドメインの DNS レコードを編集します。 

   1. 既存の CNAME レコードを、Salesforce からのメールに記載されている DSE の値に置き換えます。特定の IP アドレスを指す A レコードを使用する設定の場合は、DSE を指す CNAME レコードに置き換えてください。次の表は、両種別の設定例を示しています。

2. 影響を受けるドメインに適用される Certificate Authority Authorization (CAA) レコードを検索します。Salesforce が提供する SSL 証明書を使用している場合は、影響を受けるドメインのレベル、またはそれより上のレベルで、CAA レコードに DigiCert を追加してください。次の表は、この変更の例を示しています。

4. 更新した DNS レコードを保存します。更新したレコードがインターネット全体に反映されるまでに通常は数時間、最大で 48 時間かかります。

DSE を参照するように DNS を更新すると、設定の安全が確保されます。この変更に伴うダウンタイムはありません。 

オンラインの DNS または SSL チェックツールを使用して、設定を確認します。このようなツールはオンラインで入手可能です。ツールにドメインを入力し、CNAME レコードが新しい DSE と最終的な解決済みターゲットを指していることを確認してください。CAA レコードを更新した場合は、その内容が正しく反映されているかどうかも確認してください。

独自の SSL 証明書を使用する

デフォルトでは、Salesforce は DigiCert の SSL 証明書を使用してドメインを保護しますが、別の認証局 (CA) の SSL 証明書を使用して SAP ドメインや CloudPages ドメインを保護することもできます。

独自の SSL 証明書を使用するには、まず DNS を更新して DSE を指すように設定します。その後、次の 2 つの選択肢があります。

• 2026 年 6 月 1 日より前に、ご使用の証明書を使用してドメインをただちに保護する。

• Salesforce にドメインへの証明書の適用を自動的に実行させる。後日、お客様が用意した証明書に置き換えることができます。

よくある質問

ドメイン固有のエンドポイントとは何ですか?

ドメイン固有のエンドポイント (DSE) とは、お客様の特定のドメインで Salesforce がホストする一意のエンドポイントです。DNS の CNAME レコードを、一般的な Salesforce インスタンスではなく一意の DSE を指すように設定します。このように設定することで、そのドメインの基盤インフラストラクチャ、セキュリティ、将来のアップデートを Salesforce がダウンタイムなしで管理しながら、お客様は DNS ゾーンの管理権限を維持できます。

2026 年 6 月 1 日より前に DNS を更新しなかった場合、どうなりますか?

2026 年 6 月 1 日より前に DNS を更新しなかった場合、Salesforce がお客様に代わって既存のドメインを保護することはできなくなります。保護されていないドメインではセキュリティ上の脆弱性が生じるおそれがあるほか、メール内のリンクや画像が正しく表示されなくなる可能性があります。こうしたドメインのセキュリティ確保はお客様の責任となります。

この DNS 更新中にダウンタイムは発生しますか?

いいえ。DNS の変更が完全に反映されるまでには時間がかかりますが、この変更によって Marketing Cloud のアクティビティが中断されることはありません。

DNS の更新が成功したかどうかを確認するにはどうすればよいですか?

DNS レコードを更新した後、オンラインの DNS チェッカーまたは SSL チェッカーを使用して、ドメインの CNAME レコードを確認できます。CNAME レコードが、Salesforce から提供された新しい DSE を指していることを確認してください。

複数のドメインが記載されています。すべて更新が必要ですか?

はい。Salesforce から受け取ったメールに記載されている、影響を受けるドメインごとに CNAME レコードを更新してください。各ドメインには固有の DSE があります。

これらの変更を行う場合、組織内の誰に問い合わせればよいですか?

IT 部門、Web 責任者、組織内でドメインの DNS レコードに管理アクセス権を持つ担当者のいずれかに問い合わせてください。

届いたメールには、契約更新まで Salesforce が追加費用なしで既存のドメインを保護すると書かれています。これはどういう意味ですか?

2026 年 6 月 1 日から、すべての新しい SAP ドメインおよび CloudPages ドメインはデフォルトで自動的に保護され、既存の保護されていないドメインもお客様に代わって自動的に保護されます。  

2026 年 6 月 1 日以降の新規のお客様は、SAP ドメインおよび CloudPages ドメインごとに SSL 証明書ライセンスが必要になります。

既存のお客様には、Salesforce が追加費用なしで SSL 証明書ライセンスを提供します。Salesforce は、お客様の既存のドメインと、新規の SAP ドメインおよび CloudPages ドメインを保護します。この保護は、次回の契約更新時まで、または追加の SAP ライセンスの見積を依頼するまでのいずれか早い方まで継続されます。その時点からは、ドメインごとに SSL 証明書ライセンスを購入していただく必要があります。1 つの SAP ライセンスにつき 4 つの SSL ライセンスが必要となり、追加の CloudPages ドメインごとに 1 つの SSL ライセンスが必要です。