レポートアクションにおけるステップアップ認証への適用準備

Salesforceは、不正なデータ漏洩に対するデータ保護を強化するため、時間ベースのステップアップ方式の多要素認証（MFA）フレームワークを新たに導入し、「デフォルトで安全」なアーキテクチャをさらに強化します。この制御により、前回のステップアップ認証から設定された時間が経過している場合、ユーザーはレポートやダッシュボードへのアクセスなどの機密性の高い操作を行う際に、追加のステップアップ認証を完了する必要があります。

Salesforce Platform の今後のセキュリティ変更に関するロードマップの詳細については、 2026年6月から開始される新しいセキュリティコントロール要件への準備を参照してください。

変更内容

Salesforceは、時間ベースのステップアップ認証フレームワークを新たに導入します。以下に主な変更点を記載します。

レポートとダッシュボードのセキュリティ： Salesforce は、アクセス/表示、実行、エクスポートなど、すべてのレポートとダッシュボードの操作に制御を適用します。前回の認証から設定可能な時間 (例えば 2 時間) が経過すると、ユーザーはステップアップ認証を実行するように求められます。レポートとダッシュボードには、「定期的なステップアップ認証を要求」という新しい時間ベースのセッションレベルポリシーが追加されます。
設定可能なステップアップ認証期間： ID検証ページで、管理者は「ステップアップ認証期間（分）」項目を2分から120分の間で設定し、再認証の頻度を調整できます。
トリガーアクション：ステップアップ認証は、ユーザーが「ダウンロード」ボタンや「エクスポート」ボタンをクリックするのを待つのではなく、レポートやダッシュボードにアクセス、実行、または表示した時点でトリガーされます。このより広範な検証基準により、UIベースのスクリーン・スクレイピングやブラウザベースのデータキャプチャによるデータ盗難を軽減できます。

ログイン時のMFAとステップアップ認証： MFAを使用して直近でログインしたユーザーでも、ステップアップ認証を実施する必要があります。
デフォルト設定による強制適用：このフレームワークはデフォルトで強制適用されます。
SSOユーザーの取り扱い：このフレームワークは、フェデレーションシングルサインオン（SSO）を使用しているユーザーを含め、すべてのユーザーに必須です。Salesforce MFAに登録されていないSSOユーザーは、メールまたはSMSによるワンタイムパスワード（OTP）認証を求められます。
ネットワーク例外なし：ユーザーが信頼できるIPアドレスまたは企業ネットワークでSalesforceにログインしている場合でも、レポートおよびダッシュボードの操作にはステップアップ認証が必要です。

変更理由

Salesforce は進化し続けるサイバーセキュリティの脅威に対応するため、セキュリティとデータ保護を強化しています。レポートやダッシュボードの操作は、データ漏洩のリスクが高い経路とみなされています。ステップアップ認証フレームワークは、これらの利点を提供します。

データ漏洩を防止：ステップアップ認証は、潜在的に悪意のあるデータ漏洩を事前に遅延または阻止するように設計されています。
高保証の確立：ステップアップ認証は、高信頼性の新しいモデルをサポートします。レポートの表示およびレポートのエクスポート操作には、ユーザーが多要素認証（MFA）でログインした後でも、常に追加またはより強力な認証が必要となります。

この変更はいつから適用になりますか？

提供開始
- Sandbox組織： 2026年5月27日より開始、約7日間かけて段階的に適用
- 本番組織： 2026年5月27日より開始、約15日間かけて段階的に適用
適用
- Sandbox組織： 2026年6月17日より開始、約7日間かけて段階的に適用
- 本番組織： 2026年7月1日より開始、約30日間かけて段階的に適用

影響を受けるユーザーは誰ですか？

すべてのSalesforceユーザー：このコントロールは、直接 UI ログインまたはフェデレーションシングルサインオン（SSO）のどちらを使用しているかに関わらず、Salesforce レポートにアクセスするすべてのユーザーに対して必須です。
Salesforce管理者：この設定は、レポートにアクセスする Salesforce 管理者に適用されます。また、管理者は再認証の有効期間を設定することも可能です。

想定される動作

ステップアップ認証プロンプト：前回認証から設定可能なステップアップ認証期間が経過している場合、ユーザーはレポートを実行または表示しようとした際に、追加のステップアップ認証を求められます。
サポートされている検証方法：チャレンジを完了するには、ユーザーはパスキー、セキュリティキー、Salesforce Authenticator、または時間ベースワンタイムパスワード（TOTP）アプリケーションなど、Salesforce がサポートする任意の MFA 検証方法を使用できます。
Platform ユーザー：登録済みの多要素認証（MFA）方法をお持ちでないユーザーは、SMSワンタイムパスワード（OTP）またはメールによる認証を求められます。連絡可能なメールアドレスをお持ちでないユーザーは、Salesforceの検証方法を登録するか、電話番号を更新するか、確認可能なメールアドレスを設定する必要があります。
レポートのブロック： MFAサービスが利用できない場合、または認証が失敗した場合、機密データを保護するためにレポートの実行はブロックされます。

レポート処理を続行するには、ユーザーは提示される多要素認証（MFA）のステップアップ認証を正常に完了する必要があります。

適用前：準備方法

ユーザー設定の確認： 6月に利用可能になる新しいステップアップ認証ポリシーを確認してください。ID検証ページの「セッションセキュリティレベルポリシー」で、「レポートおよびダッシュボード」を探します。新しいポリシーを使用するには、「定期的なステップアップ認証を要求」を選択します。必要に応じて、ステップアップ認証期間（分）項目の値をSalesforceで定義されたしきい値内で調整してください。
検証方法の確認：スムーズな移行を実現するため、すべてのユーザー、特にSSOを使用しているユーザーが、Salesforceに登録されているサポートされているMFA検証方法、ユーザーに登録されている最新のメールアドレス、または携帯電話番号のいずれか、少なくとも1つの検証方法を設定していることを確認してください。メールまたはSMSを受信できないユーザーは、Salesforceの検証方法を登録するか、電話番号を更新するか、確認可能なメールアドレスを設定する必要があります。検証方法が設定されていないユーザー向けのアプリケーション内通知は、2026年5月から順次利用可能になります。

適用後：エラーの解決

ユーザーがレポートの表示または実行をブロックされている場合は、以下の対処手順を実行してください。

ステップアップ認証チャレンジに失敗した場合：登録済みでサポートされているMFAまたはID 検証方法を使用して、再度チャレンジを試みるようユーザーに指示してください。
MFAサービスが利用できない場合：本フレームワークは「フェイルクローズ」セキュリティ体制で動作し、MFAサービスが利用できない場合はレポートの実行をブロックします。この場合は、Salesforceカスタマーサポートにお問い合わせください。

よくある質問

MFAでログインすると、ステップアップタイマーはリセットされますか？

いいえ。ログイン時の多要素認証（MFA）は、機密性の高いレポート操作などにおけるステップアップ認証のタイマーをリセットしません。ユーザーは、直近でMFAでログインした場合でも、再度認証を求められます。

ステップアップチャレンジでは、どの検証方法がサポートされていますか？

Salesforceの標準的なMFA検証方法はすべてサポートされており、パスキー（生体認証およびセキュリティキー）、Salesforce Authenticator、TOTPアプリなどが含まれます。Salesforce MFA検証方法が登録されていないSSOユーザーは、メールまたはSMSによるワンタイムパスワード（OTP）認証を求められます。

信頼できるIPアドレス範囲や企業ネットワークは、例外を認めるのでしょうか？

いいえ。レポートのエクスポートに関しては、ユーザーが「信頼できるIPアドレス」または「社内ネットワーク」でSalesforceにログインしている場合でも、ステップアップ認証が必要です。

管理者はチャレンジの頻度を調整できますか？

はい。管理者は再認証の頻度を調整できます。ただし、Salesforceで定義されている有効範囲外の値を設定することはできません。

ユーザーがMFAを登録していない状態でレポートをエクスポートしようとするとどうなりますか？

ユーザーがID検証方法を登録していない場合、Salesforceはユーザーに設定された電話番号またはメールアドレスにワンタイムパスコード（OTP）を送信します。すべてのSalesforceユーザーは登録メールアドレスが必須であるため、これが代替検証方法として機能します。

スムーズな操作を確保するために：

ユーザーの電話番号やメールアドレスが有効でアクセス可能であることを確認してください。
OTPメールが届かない場合は、プロファイル内の電話番号やメールアドレスを確認するようユーザーに依頼してください。
今後のより確実な操作のために、ユーザーはSalesforceにMFA検証方法（認証アプリ、セキュリティキー、組み込みAuthenticatorなど）を登録する必要があります。 SSOユーザーへの注意：SSO認証ユーザーはSalesforceに直接MFA検証方法を登録していない可能性があるため、このグループにはメールOTPのフォールバックが特に深く関係します。

ステップアップ認証はSSO IdP（IDプロバイダー）で対応できますか？それとも常にSalesforceネイティブの方法である必要がありますか？

ステップアップ認証はSalesforceネイティブの検証方法を使用して完了する必要があり、外部のSSO IDプロバイダー（IdP）に委ねることはできません。ユーザーがSSO経由でSalesforceに認証している場合でも、以下のいずれかを使用してステップアップ認証を実施する必要があります：

Salesforceに登録されたMFA方法（Salesforce Authenticator、TOTP認証アプリ、セキュリティキー、またはFace IDやTouch IDなどの組み込み Authenticator）
ユーザーに設定された連絡先情報に送信されるメールまたはSMS経由のワンタイムパスコード（OTP）

これは、Salesforceネイティブの検証方法を登録していないSSOユーザーは、ステップアップチャレンジを完了するためにメールまたはSMSのOTPにフォールバックすることを意味します。

スケジュールされたレポートや登録されたレポートはステップアップ認証の影響を受けますか？

スケジュール送信や登録送信などの自動レポート配信は、ステップアップ認証の影響を受けません。これらはアクティブなユーザーセッションのないバックグラウンドコンテキストで実行されるため、ステップアップ認証は完全にバイパスされます。ただし、ユーザーが登録通知メール内のリンクをクリックしてSalesforceで直接レポートを開く場合は、ユーザーがアクティブセッション内でレポートを操作することになるため、その時点でステップアップ認証がトリガーされます。

埋め込まれたレポートやダッシュボードはステップアップ認証の影響を受けますか？

Lightningアプリケーションビルダーページなどに配置された埋め込みレポートおよびダッシュボードは、ステップアップ認証の対象外です。これらのコンポーネントはステップアップのセッションレベルポリシーチェックから免除されているため、ユーザーがLightningページで埋め込みコンテンツを表示するときにステップアップ認証を求められることはありません。

ステップアップ認証はExperience CloudやPartner Communityユーザーに適用されますか？

Experience Cloudの外部ユーザー（Experience Cloudサイト経由でSalesforceにアクセスする顧客、パートナー、コミュニティメンバー）は、ステップアップ認証の対象外です。これらのセッションでは、ステップアップ認証は実行されません。
Experience CloudサイトにログインするSalesforce社内ユーザー（従業員）は対象外ではありません。社内ユーザーがExperience Cloudサイト経由でレポートにアクセスしようとすると、アクセスがブロックされます。レポートへのアクセスが必要な社内ユーザーは、所属するSalesforce社内組織からアクセスし、通常どおりステップアップチャレンジを完了してください。

管理者が『他のユーザーとしてログイン』機能を使用してユーザーのアカウントにアクセスする場合、ステップアップ認証は適用されますか？

いいえ。管理者が『他のユーザーとしてログイン』機能を使用して別のユーザーとしてSalesforceにアクセスする場合、ステップアップ認証はトリガーされません。『他のユーザーとしてログイン』セッションは、ステップアップ要件から完全に免除されます。

レポートやダッシュボードへのAPIアクセスにも、ステップアップ認証は適用されますか？

いいえ。ステップアップ認証は、非対話型APIセッションには適用されません。レポートやダッシュボードへのAPIベースのアクセス（インテグレーション、接続アプリケーション、プログラムによるデータ取得を含む）はすべて、ステップアップ認証の対象外です。ステップアップ認証が必要となるのは、対話型UIセッションのみです。

開発者コンソールまたはワークベンチでSOQLクエリを実行する場合、ステップアップは適用されますか？*

いいえ。開発者コンソールおよびワークベンチで実行されるSOQLクエリは、ステップアップ認証の対象外です。

Salesforceモバイルアプリのユーザーがレポートやダッシュボードにアクセスする場合にも、ステップアップ認証は適用されますか？*

いいえ。Salesforceモバイルアプリ経由でレポートやダッシュボードにアクセスするユーザーは、ステップアップ認証の対象外です。モバイルセッションでは、ステップアップ認証は実行されません。

ステップアップ認証は、開発者組織、トライアル組織、スクラッチ組織、またはその他の非有償組織にも適用されますか？*

いいえ。ステップアップ認証の適用範囲は、有償の本番組織とSandbox組織のみです。開発者組織、トライアル組織、スクラッチ組織、およびその他の無償組織タイプは適用対象外です。

*注意：この動作に関する不具合が報告されており、Summer '26のパッチリリースでの修正が予定されています。

変更履歴

※本ナレッジ記事は英語版ナレッジ記事の翻訳版となります。最新情報は英語版ナレッジ記事をご参照ください。

日付	内容
2026年6月4日	Experience Cloudの適用除外に関する明確化：外部ユーザーは適用除外となります。Experience Cloudサイト経由でレポートにアクセスする内部ユーザー／従業員は適用除外の対象外となり、アクセスがブロックされます。新しい FAQ を追加しました: API アクセス (非対話型)、有償組織のみのスコープ設定、開発者コンソール/ワークベンチでの SOQL、および Salesforce モバイルアプリはすべて、ステップアップ認証の対象外です。
2026 年 6 月 2 日	Sandboxおよび本番組織の適用日を更新ステップアップ認証は、レポートエクスポート操作だけでなく、レポートとダッシュボードのアプリ内アクセスにも適用されることを明確化セッションレベルポリシー設定の名称変更：『クールダウン（cool-down）』の用語を削除。新しい設定は『定期的なステップアップ認証を要求』および『ステップアップ認証期間（分）』新しいFAQを追加
2026 年 5 月 5 日	初版