Salesforceの項目レベルセキュリティとは?設定方法や「参照可能」・「参照のみ」の違いについて解説
この記事でわかること
- Salesforceの項目レベルセキュリティの概念や定義について
- 項目レベルセキュリティの「参照可能」と「参照のみ」の違い
- 項目レベルセキュリティの設定方法
- Spring’26で変化するSalesforceの権限管理について
執筆者 代表取締役社長 / CEO 杉山元紀
Salesforceの管理や運用を行っていく際に、環境の設定やユーザーの管理など様々な対応事項があるかと思います。
中でも多くのSalesforce管理者を悩ませる事項の一つが”データアクセス権限”の設定ではないでしょうか?
どのチームやユーザーが、どのデータへアクセスできる状態が良いのか、適切なアクセス権限を設定することで、企業のSalesforce活用や現場の業務効率は格段に向上して参ります。
一方でSalesforceにはユーザーのデータアクセスを制御する機能が多数あり、各機能を正しく理解し、完璧に使いわけている企業は決して多くはありません。
そこで本記事では、Salesforceのアクセス制限に関わる機能の中でも”項目レベルセキュリティ”について、基本的な内容や具体的な設定方法の他、設定時につまずくことが多い「参照可能」・「参照のみ」の違いについて解説します。
本記事をお読みいただき、Salesforceの権限管理を正しく活用するための理解を深め、自社の適切な情報管理の方法を見直すきっかけにしていただけたら幸いです。
ぜひ最後までご一読ください。
参照:Salesforce(セールスフォース)とは?製品群や機能、メリット・デメリットを簡単に解説!
目次
Salesforceの項目レベルセキュリティとは?
はじめにSalesforceの「項目レベルセキュリティ」について、基本的な機能や多くのSalesforce管理者を悩ませる「参照可能」と「参照のみ」の違い、その他のアクセス制限機能との違いについて解説します。
項目レベルセキュリティについて正しく理解して他の機能と組み合わせることで、効率的なデータ管理につながっていくため、まずは基本の理解を深めていきましょう。
Salesforceの項目レベルセキュリティについて
Salesforceにおける項目レベルセキュリティは、特定のユーザーが各オブジェクト内の項目に対して”参照”や”編集”することを管理するための機能です。
項目レベルセキュリティの活用により、例えば「従業員の給与項目」について、経理・財務部門のメンバーは「参照も編集もできる」が、営業部門のメンバーは「参照も編集もできない」といった設定ができます。
項目レベルセキュリティはオブジェクトの各項目毎で設定できる他、プロファイルや権限セット単位でも設定することが可能です。
項目レベルセキュリティの「参照可能」と「参照のみ」の違い
次に、項目レベルセキュリティを設定する際の「参照可能」と「参照のみ」の違いについて、パターンに分けて解説します。
この「参照可能」と「参照のみ」の設定を組み合わせることで、ユーザーの項目に対する”参照”や”編集”権限を制御することができます。
なお「参照可能」と「参照のみ」という表現は、各項目毎から項目レベルセキュリティを設定する際にのみ用いられており、プロファイルや権限セットから設定する場合とでは表現が異なります。
そのため、「参照可能」と「参照のみ」の組み合わせパターンは、”項目単位から項目レベルセキュリティを設定する際の覚えごと”として、実務で使い分けられるように整理しましょう。
項目レベルセキュリティの設定には、以下3つのパターンがあります。
- 参照および編集が可能 → 「参照可能」True、「参照のみ」False
- 参照のみ可能・編集は不可 →「参照可能」True、「参照のみ」True
- 参照も編集も不可 →「参照可能」False、「参照のみ」False
1.参照および編集が可能 → 「参照可能」True、「参照のみ」False
設定は以下の状態です。
「参照は”可能”であり、参照のみではない」、つまり参照でき、さらに参照のみではないため編集もできる状態と考えましょう。
2.参照のみ可能・編集は不可 →「参照可能」True、「参照のみ」True
設定は以下の状態です。
「参照は”可能”であり、参照のみである」、つまり参照できるが、参照のみであって編集はできない状態と考えましょう。
3.参照も編集も不可 →「参照可能」False、「参照のみ」False
設定は以下の状態です。
「参照は”不可”であり、参照のみではない」、つまり参照できず、そのため編集もできない状態と考えましょう。
※「参照のみ」にチェックをすると「参照可能」にも自動的にチェックが入るため、「参照可能」False、「参照のみ」Trueというパターンは設定できません。
個人的には、この「参照のみ」という表現が理解を難しくしているかと思います。
「参照のみ」という言葉の裏には、「参照と編集の権限があるが、その内の”参照のみ”権限を付与する」と理解しましょう。
Salesforceのデータアクセス権の種類と違い
次にSalesforceの項目レベルセキュリティの役割を正しく理解するために、同じくSalesforce上でユーザーのデータアクセス権限を制御するための役割をもつ、「オブジェクトレベルセキュリティ」と「レコードレベルセキュリティ」について、それぞれ概要や違いについて解説します。
データアクセス権限の粒度を適切に管理することで、不用意なデータ流出や参照すべきデータにアクセスできないといった非効率を回避することができます。
Salesforce認定アドミニストレーター資格試験でもよく問われる重要な部分ですので、3つの役割や立ち位置の違いについては、Salesforceを管理する上でぜひ押さえておきましょう。
オブジェクトレベルセキュリティ(オブジェクト権限)
オブジェクトレベルセキュリティ (オブジェクト権限) は、ユーザーがオブジェクトそのものへアクセスするのをプロファイルや権限セットを用いて制御するための機能です。
そのため、組織や部署といった粗い粒度で、ある程度データアクセス権限の管理のベースを構築したい際にぜひ活用ください。
オブジェクトレベルセキュリティでは以下のアクセス権限を設定することができます。
アクセス権 | True | False |
---|---|---|
参照 | オブジェクトの参照権限を付与。 共有設定により権限詳細を設定。 | 共有設定に関わらず、オブジェクトの参照は不可。 |
作成 | オブジェクトのレコード作成権限を付与。 共有設定により権限詳細を設定。 | レコードの作成不可。 |
編集 | オブジェクトのレコード編集権限を付与。 共有設定により権限詳細を設定。 | 共有設定に関わらず、レコードの編集は不可。 |
削除 | オブジェクトのレコード削除権限を付与。 共有設定により権限詳細を設定。 | 共有設定に関わらず、レコードの削除は不可。 |
全て 表示 | 共有設定に関わらず、オブジェクトの参照権限を付与。 ※設定を推奨しない。 | 共有設定により権限詳細を設定。 |
全て 変更 | 共有設定に関わらず、オブジェクトの参照・編集権限を付与。 ※設定を推奨しない。 | 共有設定により権限詳細を設定。 |
ポイントとして、Salesforce上のデータを「作成」する権限については、オブジェクトレベルセキュリティで設定を行います。
(他のアクセス権限機能については、「作成」権限を付与することができない)
また、「参照」「作成」「編集」「削除」権限について、そもそもオブジェクトレベルセキュリティで権限が付与されていない場合は、レコードレベルセキュリティ(共有設定)などで編集権限を付与しても編集ができません。
そのため、オブジェクトレベルセキュリティはレコードレベルセキュリティ(共有設定)よりも優位であると覚えておきましょう。
【例:オブジェクトレベルセキュリティ設定】
レコードレベルセキュリティ(共有設定)
レコードレベルセキュリティ (共有設定) は、ユーザーのデータアクセス権限をレコード単位で制御するための機能です。
部門全体でオブジェクトの参照や編集といったアクセス権限は付与されているが、例えば、取引先オブジェクト内にある特定のレコードへのアクセス権限は他のチームや個人で分けて管理したい、といった場合に活用ください。
レコードレベルセキュリティ (共有設定)では、以下の方法でそれぞれアクセス権限を設定することができます。
■組織の共有設定
- 非公開:レコード所有者以外は参照も編集もできない
- 公開/参照のみ:レコード所有者以外は編集できないが、参照することはできる
- 公開/参照・更新可能:レコード所有者以外も参照や編集ができる
■ロール設定
上位ユーザー(マネージャー等)がフルアクセス権限(参照・編集・削除・所有者変更など)を行使する設定ができる
■共有ルール
- 参照のみ:レコードが特定の条件に該当する場合に特定のロールやグループへ参照権限を付与できる
- 参照/更新:レコードが特定の条件に該当する場合に特定のロールやグループへ参照・編集権限を付与できる
■個別の共有設定
レコード毎に個別でアクセス権限の手動設定ができる
ポイントは、レコード所有者以外に対してアクセス権限をどのように付与するかを管理するための設定を行うことです。
Salesforce上のレコードにはユーザーやキューといった所有者が存在します。
ユーザーやキューは自身が所有するレコードにはフルアクセス権限をもっているため、オブジェクトレベルセキュリティや項目レベルセキュリティによってアクセス権限を設定した後に、「では、所有者である自分以外の権限をどのように制御するか」を検討する上で、レコードレベルセキュリティ(共有設定)の設定を検討してみてください。
【例:組織の共有設定】
項目レベルセキュリティ
項目レベルセキュリティは、オブジェクト内にある特定のデータに対して、ユーザーがアクセスすることを制御するための機能です。
オブジェクトのアクセス権限を付与していても、項目レベルセキュリティを設定することで、オブジェクト内の項目について、個々でアクセス権限を付与することができます。
ページレイアウトでも特定の項目を表示させないといった管理が可能ですが、ページレイアウトは項目の詳細ページや編集ページの表示のみを制御しており、項目レベルセキュリティでは、関連リスト・リストビュー・レポート・検索結果など、Salesforce上の任意の部分の項目表示を制御します。
【例:項目レベルセキュリティ設定】
Salesforceのデータアクセス権の設定例
「オブジェクトレベルセキュリティ(オブジェクト権限)」「レコードレベルセキュリティ(共有設定)」「項目レベルセキュリティ」を活用することで、以下のようなアクセス権限の制御が可能です。
Salesforceの項目レベルセキュリティの設定方法
ここまでSalesforceの項目レベルセキュリティについて、基本的な機能や考え方、アクセス権限を制御する他の機能との違いについて解説いたしました。
ここからは実際にSalesforceの項目レベルセキュリティを設定する方法について、キャプチャを用いてステップ毎に解説します。
ぜひ手順をご確認の上、自社で設定を行う際の参考にしてみてください。
Salesforceのプロファイルから設定する
まずはSalesforceのプロファイルから設定する方法について解説します。
1.Salesforceの「設定(右上の歯車アイコンから選択)」をクリック
2.左側にある「クイック検索」ボックスに「プロファイル」と入力し、表示される「プロファイル」 を選択
3.項目レベルセキュリティでアクセス権限を設定したい任意のプロファイルをクリック
4.プロファイルページにある、「項目レベルセキュリティ」の欄より項目レベルセキュリティを設定したい項目を含むオブジェクトを探し、「参照」をクリック
5.ページ上部にある「編集」をクリック
6.項目別に項目レベルセキュリティを設定し、「保存」をクリック
プロファイルから項目レベルセキュリティを設定する際は、「参照可能」・「参照のみ」ではなく、「参照アクセス権」・「編集アクセス権」という表現になっています。
※画面は「テスト_テキスト」項目の参照・編集アクセス権をFalseにした状態
以降は設定完了の確認方法
7.プロファイルページに戻り、「ページレイアウト」の欄より項目レベルセキュリティを設定した項目を含むレイアウトを探し、選択
8.「テスト」オブジェクトのオブジェクトマネージャー左側の「ページレイアウト」から、項目レベルセキュリティを設定した項目が、プロファイルに応じて参照できないことを確認し、完了
【システム管理者の場合:参照・編集可能】
【標準ユーザーの場合:参照・編集可能】
Salesforceの権限セットから設定する
次に、Salesforceの権限セットから設定する方法について解説します。
1.Salesforceの「設定(右上の歯車アイコンから選択)」をクリック
2.左側にある「クイック検索」ボックスに「権限セット」と入力し、表示される「権限セット」 を選択
3.項目レベルセキュリティでアクセス権限を設定したい任意の権限セットをクリック
4.「オブジェクト設定」をクリック
5.項目レベルセキュリティを設定したい項目を含むオブジェクトを選択
6.「編集」をクリック
7.項目別に項目レベルセキュリティを設定し、「保存」をクリックして完了
権限セットから項目レベルセキュリティを設定する際も、「参照可能」・「参照のみ」ではなく、「参照アクセス権」・「編集アクセス権」という表現になっています。
※画面は「テスト_テキスト」項目の参照・編集アクセス権をFalseにした状態
※設定確認方法は「プロファイルから設定する」のステップ8と同様。
Salesforceのオブジェクトマネージャーから設定する
続いて、Salesforceのオブジェクトマネージャーから設定する方法について解説します。
1.Salesforceの「設定(右上の歯車アイコンから選択)」をクリック
2.左上タブにある「オブジェクトマネージャ」 をクリック
3.「オブジェクトマネージャ」のクイック検索ボックスに、項目レベルセキュリティを設定したい項目を含む任意のオブジェクト名を入力し、該当オブジェクトを選択
4.オブジェクトから項目レベルセキュリティを設定したい任意の項目を選択
※画面は「テスト_テキスト」項目の項目レベルセキュリティを設定する場合
5.ページ上部にある「項目レベルセキュリティの設定」をクリック
6.プロファイル別に項目レベルセキュリティを設定し、「保存」をクリックして完了
※設定確認方法は「プロファイルから設定する」のステップ8と同様。
Salesforceのカスタム項目新規作成時に設定する
最後に、Salesforceのカスタム項目を新規で作成する際に設定する方法について解説します。
後から権限設定の変更も可能ですが、カスタム項目作成時の途中で項目セキュリティを設定するタイミングがあるため、見逃さないよう注意しましょう。
1.Salesforceの「設定(右上の歯車アイコンから選択)」をクリック
2.左上タブにある「オブジェクトマネージャ」 をクリック
3.「オブジェクトマネージャ」のクイック検索ボックスにカスタム項目を作成したい任意のオブジェクト名を入力し、該当のオブジェクトを選択
4.該当のオブジェクトページの左側から「項目とリレーション」を選択し、「新規」をクリック
5.任意のデータ型を選択し、「次へ」をクリック
7.必須項目を入力し、「次へ」をクリック
※画像は「テキスト」型を選択した場合
8.プロファイル別に項目レベルセキュリティを設定し、「次へ」をクリック
9.カスタム項目を追加したいページレイアウトを選択し、「保存」をクリックして完了
※設定確認方法は「プロファイルから設定する」のステップ8と同様。
Spring ’26で変化するSalesforceの権限管理とは
ここまでプロファイルや権限セットで項目レベルセキュリティを設定・管理する方法について解説してきましたが、実はSpring ’26リリース以降では、プロファイルによる権限管理は最低限のみに絞られ、権限セットによる権限管理に移行していくことがSalesforceの公式リリースで発表されています。
そのため、本記事で紹介した「プロファイルから設定する」フローはなくなり、さらに「Salesforceのカスタム項目新規作成時に設定する」のステップ8で解説した”プロファイル別”の項目レベルセキュリティを設定するプロセスも、今後は”権限セット”に対して項目レベルセキュリティを設定する画面に変更されます。
Salesforceを管理されている担当者様は、今後”権限セット”をベースとしたアクセス制限の管理が重要になる点にご留意ください。
新たにデータアクセスの権限を設定する場合は、変更の移行作業等が発生しないよう、今のうちから権限セットによる管理の実施をおすすめいたします。
以下にSpring ’26リリース以降、プロファイルに権限管理が残るものと、権限セットでのみ利用可能になるものをまとめています。
■Spring ’26リリース以降プロファイルに残るもの
- ログイン時間/IP範囲
- レコードタイプ、アプリケーション設定
- ページレイアウトの割り当て
■Spring ’26リリース以降権限セットでのみ利用可能になるもの
- ユーザー権限(システムおよびアプリの権限)
- オブジェクト権限(オブジェクトの作成、読み取り、更新、および削除)
- 項目権限(項目レベルのセキュリティ)
- タブの設定
- レコードタイプ(デフォルトではない)
- アプリケーション設定(デフォルトではない)
- 接続されたアプリケーションのアクセス
- Apexクラス
- Visualforceページ
- カスタム権限
詳細はぜひ以下の公式リリースもご参照ください。
参照:Permissions Updates | Learn MOAR Spring ’23
まとめ
本記事では、Salesforceの項目レベルセキュリティについて、基本的な機能や考え方からアクセス権限を制御する他の機能との違い、自社で活用いただくための具体的な設定方法について解説してきました。
Salesforceにおけるアクセス権限の管理は情報流出といったリスクを防ぐためにも、最重要事項の一つであるため、ぜひ本記事については繰り返しご参考にしていただけますと幸いです。
Salesforceにおけるアクセス制限の考え方や管理方法は、セキュリティの重要性が高まっていく中で、今後より関心が高まる部分となっていきます。
ぜひ本記事を参考に自社のアクセス権限管理や設定状況を見直すきっかけにしてみてください。
自社のSalesforceにおけるアクセス権限管理のベストプラクティスが何か、改めて外部の意見も踏まえて検討をしてみたい方は、ぜひ一度弊社ストラへお問い合わせくださいませ。
ストラでは各社様が実現したい業務フローや体制をヒアリングした上で、適切なSalesforceの環境・アクセス権限設定や運用をご支援いたします。
本記事を読んで、自社のSalesforce活用について今一度見直してみたいと思われた担当者様は、ぜひこちらのお問い合わせフォームよりまずはお気軽にご相談してみてください。
執筆者 代表取締役社長 / CEO 杉山元紀
大学卒業後、株式会社TBI JAPANに入社。株式会社Paykeに取締役として出向し訪日旅行者向けモバイルアプリ及び製造小売り向けSaaSプロダクトの立ち上げを行う。
アクセンチュア株式会社では大手メディア・総合人材企業のセールス・マーケティング領域の戦略策定や業務改革、SFA・MAツール等の導入及び活用支援業務に従事。
株式会社Paykeに再入社し約10億円の資金調達を行いビジネスサイドを管掌した後、Strh株式会社を設立し代表取締役に就任。
▼保有資格
Salesforce認定アドミニストレーター
Salesforce認定Pardotスペシャリスト
Salesforce認定Pardotコンサルタント
Salesforce認定Sales Cloudコンサルタント