Salesforceのプロファイルと権限セットとは?違いと正しい使い方・運用方法まとめ
Salesforceでユーザー権限を管理する際、「プロファイル」と「権限セット」の使い分けに迷う場面は意外と多いものです。それぞれの役割と違いを正しく理解することで、セキュリティを保ちながら柔軟な権限管理が実現できます。
本記事では、プロファイルと権限セットの基本から実践的な運用方法まで、わかりやすく解説します。
プロファイルと権限セットの関係
Salesforceの権限管理は「プロファイル」と「権限セット」の2つを組み合わせて構成されています。一見似ているようで、それぞれ異なる役割を担っています。まずは両者の基本的な考え方を整理しておきましょう。
プロファイルとは何か
プロファイルとは、Salesforceを利用するすべてのユーザーに必ず1つ割り当てられる、権限管理の基盤となる設定です。オブジェクトへのアクセス権やページレイアウト、ログイン可能な時間帯やIPアドレスの制限など、ユーザーの操作環境に関わる幅広い設定項目を持っています。
プロファイルの重要な特性として、設定を変更すると「そのプロファイルを持つ全ユーザー」に即座に影響が及ぶという点が挙げられるでしょう。例えば、営業部門全体で使用しているプロファイルの設定を変更すると、営業担当者全員の画面や操作権限が一斉に変わります。そのため、変更の際は影響範囲を事前に確認したうえで慎重に進めることが求められます。
権限セットの役割と特徴
権限セットは、特定のユーザーだけに追加の権限を付与するための補完的な仕組みです。プロファイルが「全員共通の土台」だとすれば、権限セットは「個人ごとに積み上げる追加ブロック」のようなイメージです。
1人のユーザーに複数の権限セットを付与できるため、プロファイルそのものを変更することなく、柔軟な権限拡張が可能になります。例えば、通常は一般的な営業担当プロファイルを持つユーザーに対して、特定プロジェクトの期間中だけ追加データへのアクセス権を与えたい場合、権限セットを一時的に付与するだけで対応できます。
プロファイルを変更して他のメンバーに影響を与えることなく、ピンポイントで権限を調整できる点が大きなメリットです。
プロファイルと権限セットの違い
両者の違いを表で整理すると以下のようになります。
【プロファイルと権限セットの違い】
| 項目 | プロファイル | 権限セット |
|---|---|---|
| 割り当て | 必須(1つのみ) | 任意(複数可) |
| 用途 | 全員共通の基本権限 | 個別に追加する拡張権限 |
| 変更の影響 | 同じプロファイルの全ユーザー | 付与された特定ユーザーのみ |
| Salesforceの推奨 | 役割は縮小傾向 | 積極的な活用を推奨 |
近年Salesforceは権限セットの活用をより強く推奨しており、プロファイルの役割は縮小傾向にあります。新しくシステムを設計する場合や、すでにある権限体系を見直す場合には、権限セットを中心とした管理体制を意識して設計を検討することをおすすめします。
Salesforceにおけるユーザー権限の構造
Salesforceの権限管理には、オブジェクト・フィールド・システムなど複数の階層があります。プロファイルと権限セットをどう組み合わせるかを理解するためにも、まず権限の全体構造を把握しておくことが重要です。
ユーザーごとに設定可能な主な権限種別
Salesforceで設定できる権限は、大きく3種類に分類されます。
- ・システム権限は、データのエクスポートやユーザー管理、APIアクセスなど、組織全体に関わる操作を制御する権限です。影響範囲が広いため、付与するユーザーは必要最小限に絞ることが重要です。
- ・オブジェクト権限は、商談・取引先・ケースなどの各オブジェクトに対して、読み取り・作成・編集・削除のどの操作を許可するかが設定できます。業務役割に応じて適切な範囲に制限することが、情報漏洩防止の基本となります。
- ・フィールド権限は、オブジェクト内の特定フィールドへの参照・編集を細かく制御できる設定です。例えば、顧客の電話番号や契約金額など、閲覧できる担当者を限定したい機密性の高い情報の管理に活用できます。
プロファイルの割り当て時の考え方
プロファイルは、営業・管理者・CSなどの業務役割ごとに「最小権限の原則」に基づいて設計するのが基本です。最小権限の原則とは、ユーザーが業務を遂行するうえで必要な権限だけを与え、それ以上の権限は付与しないという考え方です。
プロファイルの種類は必要最低限に絞ることで、管理の複雑化を防ぎます。プロファイルの数が増えすぎると、どのプロファイルに何の権限があるかが把握しづらくなり、設定ミスや権限の重複・抜け漏れが生じやすくなるでしょう。
将来的な権限追加を見越して、権限セットで拡張しやすい設計にしておくと、組織変更や業務変化が生じた際もスムーズに対応できます。
権限セットで拡張する際のポイント
権限セットは、特定プロジェクトや一時的な作業など、限定的な権限付与に活用するのが最も適した使い方です。「この担当者だけ、この期間だけ」という柔軟な対応が求められる場面で特に力を発揮します。
複数の権限セットをまとめて管理・付与できる「権限セットグループ」を活用すると、さらに効率的な運用が可能です。例えば、プロジェクトメンバー全員に同じ複数の権限セットを付与したい場合、権限セットグループにまとめておけば一括で管理できます。付与した権限セットは定期的に棚卸しを行い、業務上の必要がなくなったものは速やかに削除することで、セキュリティリスクを最小限に抑えられます。
プロファイルによるユーザー権限の管理方法
プロファイルの作成・管理は、Salesforce管理者にとって重要な日常業務のひとつです。正しい手順と注意点を理解することで、設定ミスによるセキュリティリスクを最小限に抑えられます。
プロファイルの作成とカスタマイズ手順
プロファイルを新規作成する際は、既存の標準プロファイルを複製して作成するのが一般的な手順です。ゼロから作成するよりも、近い権限構成を持つ標準プロファイルをベースにしたほうが、設定の抜け漏れを防ぎやすくなります。
設定項目は、オブジェクト権限・フィールドレベルセキュリティ・タブ設定・ページレイアウトなど多岐にわたるため、変更箇所を記録しながら作業を進めることをおすすめします。
設定後は必ずテストユーザーで動作確認を行い、意図しない権限の付与や剥奪が生じていないかをチェックしましょう。本番環境に適用する前にSandbox環境で検証することも大切です。
プロファイルの割り当て・変更方法
プロファイルの変更は、ユーザー詳細画面の「プロファイル」項目から行うと変更が即時反映されます。変更が即時反映されることは便利な反面、誤った設定を適用してしまうとユーザーの操作環境にすぐ影響が出るため、作業には細心の注意が必要です。
複数ユーザーへの一括変更が必要な場合は、Data LoaderによるCSV更新を活用すると効率的です。ただし、一括変更は影響範囲が大きいため、変更内容を事前にレビューしたうえで実施しましょう。また、プロファイルの変更はユーザーの操作環境に直接影響するため、変更前に関係者への周知を忘れずに行うことも大切です。
プロファイル管理上の注意点
Salesforceが用意している標準プロファイル(「システム管理者」や「標準ユーザー」など)は、直接編集ができない仕様になっています。カスタマイズが必要な場合は、標準プロファイルを複製し、独自のプロファイルを作成してから編集するようにしましょう。
プロファイルの削除は、そのプロファイルの割り当てられているユーザーがゼロにならないと実行できません。不要になったプロファイルを削除したい場合は、まず該当ユーザーのプロファイルを別のものに変更してから削除の手順に進みます。また、権限の付与しすぎ(過剰権限)は情報漏洩リスクに直結するため、「必要な権限だけを付与する」という原則を常に意識して設計を行うようにしましょう。
実際の運用について
権限管理は、一度設定して終わりではありません。組織の変化に応じて、継続的に見直すことが必要とされています。セキュリティの維持と業務効率の両立を実現するための運用のポイントを紹介します。
セキュリティを確保する設定のコツ
最小権限の原則を徹底し、業務に必要な権限だけ付与する設計を心がけましょう。特に「システム管理者」プロファイルの付与対象は必要最小限に絞ることが重要です。システム管理者権限はSalesforce内のほぼすべての操作が可能になるため、安易に付与するとセキュリティ上の大きなリスクとなります。担当者が退職や異動した際には、必ず権限の棚卸しを行い、不要な管理者権限を持つユーザーが残らないようにする習慣を身につけましょう。
また、フィールドレベルセキュリティ※1(項目単位のアクセス制御)を活用して、個人情報や財務情報などの機密性の高いフィールドへのアクセスを特定の役割のみに限定することも、実効性の高いセキュリティ対策のひとつです。
※1 フィールドレベルセキュリティとは、オブジェクト内の特定のフィールド(項目)単位でアクセスを制御する機能です。「参照のみ」「編集可能」「非表示」といった形で、フィールドごとに細かく権限を設定することができます。
メンテナンスと権限監査の方法
四半期や半期ごとを目安に、権限セットの付与状況を定期的に見直し、不要な権限は削除する運用フローを整備しましょう。「プロジェクト終了後も権限セットが付与されたまま」というケースは想像以上に多く、放置すると不要なアクセス権が残り続けることになります。
前述のイベントモニタリングのログと組み合わせることで、権限が実際にどのように利用されているかを定期的に確認することも有効です。使われていない権限は削除の対象として検討しましょう。
退職や異動が発生した際には、プロファイルの変更や権限セットの剥奪を速やかに実施する手順を、あらかじめ社内で決めておくことで、対応漏れのリスクを防ぎます。
業務に合わせたカスタマイズ例
実際の権限設計のイメージを掴むために、業務役割別の構成例を紹介します。
営業担当の場合、商談・取引先の読み取り・編集権限を付与しつつ、データ誤削除のリスクを防ぐために削除権限は付与しない構成が一般的です。
マネージャーには、部下のレポート閲覧権限を権限セットで追加付与し、チーム全体の数字を把握できるようにデータの可視性を広げる設計が有効です。プロファイルは変更せず、権限セットで差をつける典型的なケースといえます。
外部パートナーに対しては、自社の全データにアクセスできないよう、特定オブジェクトのみ閲覧・操作できる専用プロファイルを作成し、情報管理を徹底する設計が適しています。
このように、プロファイルで共通の基本権限を設定したうえで、役割や状況に応じて権限セットで細かく調整するという組み合わせが、柔軟かつ管理しやすい権限設計の基本的な考え方です。「誰に・何を・どこまで」を明確にすることが、セキュリティと業務効率の両立につながります。
まとめ
本記事では、Salesforceのプロファイルと権限セットの違いや、実践的な運用方法について解説しました。
プロファイルは全ユーザー共通の基本権限を担い、権限セットは個別の拡張権限を柔軟に付与する役割を持ちます。両者を組み合わせ、最小権限の原則に基づいた設計と定期的な棚卸しを行うことが、安全で管理しやすい権限運用の基本です。
「自社に合ったプロファイル設計がわからない」「権限管理の見直しを進めたい」とお考えの方は、ぜひエス・ビー・エス株式会社へお気軽にご相談ください。Salesforceの導入から運用改善まで、貴社の状況に合わせたサポートを提供しています。
『エス・ビー・エス株式会社 』では、Salesforceパートナーとして200社以上の導入実績を持ち、ニーズに合ったシステム構築と内製化に向けたご支援を行っています。 業務改善やDXを進めたい会社様にとって、Salesforceは今後ますます重要な選択肢です。ぜひお気軽にお問い合わせください。