Salesforceの権限設定はなぜ複雑になるのか
Salesforceを運用していると、いつの間にかプロファイルが30個以上に増え、権限セットも数十個が乱立し、「誰がどのデータにアクセスできるのか」を正確に把握できない状態に陥ることがあります。新しいメンバーが入社したときに「どのプロファイルを割り当てればいいのか」がわからず、とりあえず前任者と同じ設定をコピーする。退職者の権限を削除し忘れる。こうした積み重ねが、権限設定の複雑化を加速させます。
権限設定が複雑になると、3つの実害が生じます。
セキュリティリスク: 不要なアクセス権が残っていると、退職者や異動者が本来見るべきでないデータにアクセスできる状態が続きます。特に顧客データや商談金額へのアクセス権は、情報漏洩リスクに直結します。
管理コストの増大: 設定変更のたびに「この変更がどのプロファイルに影響するか」を確認する作業が膨大になります。プロファイルが30個あれば、1つの項目変更で30個分の影響確認が必要です。
属人化: 権限設定の全容を把握している人が管理者1人だけになり、その人がいなくなると誰も正確な状態を説明できなくなります。
プロファイルが増殖する構造的な原因
プロファイルが増える最大の原因は「少しだけ権限が違う人」への対応です。
営業部のAチームは商談を編集できるが、Bチームは参照のみ。マーケティング部門はキャンペーンオブジェクトにアクセスできるが、営業部門はアクセスできない。CS部門の一部メンバーだけがケースの削除権限を持つ。
こうした「少しだけ違う」要件のたびにプロファイルを複製していくと、「営業A」「営業B」「営業A_マネージャー」「営業B_マネージャー」「営業_限定アクセス」とプロファイルが増殖します。さらに、新しいカスタムオブジェクトを追加するたびに全プロファイルの設定を更新する必要があり、メンテナンスコストが指数的に増加します。
権限セットベースの設計に切り替える
Salesforce社は公式に「プロファイルから権限を段階的に削除し、権限セットベースの設計に移行する」ことを推奨しています。具体的な設計原則は以下の通りです。
原則1: プロファイルは「ベースライン」に限定する
プロファイルには、その部門の全員に共通する最低限の権限だけを設定します。
| プロファイル名 | 対象 | 含める権限 |
|---|---|---|
| 営業_基本 | 営業部門全員 | 取引先・商談・活動の参照・作成・編集 |
| CS_基本 | CS部門全員 | 取引先・ケース・ナレッジの参照・作成・編集 |
| マーケ_基本 | マーケ部門全員 | リード・キャンペーンの参照・作成・編集 |
| 管理_基本 | 管理部門全員 | 基本オブジェクトの参照のみ |
| システム管理者 | Salesforce管理者 | フルアクセス |
多くの組織では、プロファイルは5〜10個で十分です。
原則2: 差分は権限セットで付与する
プロファイルに含まれない追加権限は、すべて権限セットで管理します。
役割ベースの権限セット:
PS_マネージャー_レポート: レポート作成・エクスポート権限PS_マネージャー_ダッシュボード: ダッシュボード作成権限PS_削除権限_商談: 商談の削除権限
機能ベースの権限セット:
PS_API_アクセス: API利用権限PS_一括データ操作: データインポート・エクスポート権限PS_フロー管理: フローの作成・編集権限
原則3: 権限セットグループで束ねる
権限セットが増えてきたら、権限セットグループでまとめます。
例えば「営業マネージャー」に必要な権限セットが5つある場合、1つずつ個別に割り当てるのではなく、「営業マネージャーグループ」として束ね、グループ単位で割り当てます。メンバーの昇格・異動時に「グループを1つ付け替えるだけ」で済みます。
権限の棚卸し手順
既に複雑化した権限設定を整理するには、まず現状把握から始めます。
ステップ1: 現在のプロファイルと権限セットの一覧を作成する
Setup > プロファイル、Setup > 権限セットでそれぞれの一覧を確認します。以下を記録します。
- プロファイル名と割り当てユーザー数
- 権限セット名と割り当てユーザー数
- 最終変更日(長期間変更されていないものは統合候補)
ステップ2: 使われていない権限を特定する
割り当てユーザーが0人のプロファイルや権限セットは、削除候補です。また、割り当てユーザーが1〜2人しかいないプロファイルは、権限セットに移行して統合できないか検討します。
ステップ3: プロファイルを統合する
「少しだけ違う」プロファイルを統合し、差分は権限セットに切り出します。例えば「営業A」と「営業B」の違いが「特定カスタムオブジェクトへのアクセス権」だけであれば、プロファイルを「営業_基本」に統合し、差分を権限セットとして作成します。
ステップ4: Sandboxで検証する
変更はまずSandboxで検証します。統合後のプロファイルと権限セットで、各部門の主要業務(商談の作成、レポートの閲覧、データのエクスポートなど)が正常に行えることを確認してから本番に反映します。
命名規則で後任者にも理解できる体系を作る
権限設定の最大の問題は「なぜこの権限が必要なのか」が後から追えないことです。命名規則を統一するだけで、この問題は大幅に改善します。
プロファイル: [部門]_基本
- 例:
営業_基本、CS_基本、マーケ_基本
権限セット: PS_[カテゴリ]_[具体的な権限]
- 例:
PS_マネージャー_レポート作成、PS_API_アクセス
権限セットグループ: PSG_[役割]
- 例:
PSG_営業マネージャー、PSG_CS_リーダー
命名規則を設定したら、既存のプロファイルや権限セットを一度にリネームする必要はありません。新規作成分から適用し、棚卸しの際に順次統一していく方法が現実的です。
よくある落とし穴と対策
落とし穴1: 「念のため」で権限を広く付与する
「このユーザーが何にアクセスする必要があるかわからないから、とりあえず広めの権限を付けておこう」。この判断が積み重なると、全員がほぼ全てのデータにアクセスできる状態になります。最小権限の原則(必要最低限の権限だけを付与する)を基本とし、不足があれば追加で権限セットを付与する運用にします。
落とし穴2: 退職者・異動者の権限削除漏れ
人事異動や退職のたびに権限を見直す運用が定着していないと、不要な権限が残り続けます。月次で「非アクティブユーザーの権限確認」をルーティンに組み込みます。
落とし穴3: 共有ルールとの混同
権限設定(プロファイル・権限セット)と共有ルール(OWD・共有ルール・ロール階層)は別の仕組みです。「データへのアクセス権がない」と言われたとき、原因がプロファイルなのか共有ルールなのかを切り分ける必要があります。権限設定はオブジェクトレベルのアクセス制御、共有ルールはレコードレベルのアクセス制御と理解しておくと、トラブルシューティングが速くなります。
まとめ
Salesforceの権限設定が複雑になる根本原因は、「少しだけ違う人」のためにプロファイルを増やし続けたことにあります。解決の方向性は明確で、プロファイルを最小限に抑えて「ベースライン」に限定し、差分は権限セットで管理する。権限セットグループで束ね、命名規則を統一する。この設計に切り替えれば、権限の追加・変更・削除が予測可能になり、管理コストが大幅に下がります。一度に全てを変えようとせず、まず1つの部門でパイロット実施してから全社展開するアプローチが確実です。
aileadのSalesforce活用支援
aileadは対話データAIプラットフォームとして、Web会議の対話データをSalesforceに自動連携しています。権限設定の観点では、aileadからの連携データは管理者が指定したオブジェクト・フィールドにのみ書き込まれるため、既存の権限体系と整合性を保ちながら導入できます。400社以上の導入企業でSalesforceとの連携実績があります。お問い合わせからお気軽にご連絡ください。
関連記事
- Salesforce一人管理者の生存戦略|属人化を防ぐ運用設計ガイド
- Salesforceが定着しない7つの原因と現場に効く定着化施策
- Salesforce導入の失敗パターン5つ|現場が使わなくなる原因と立て直し方
- Salesforceのデータ品質を維持する方法|入力規則から自動チェックまで
ailead編集部
株式会社ailead
aileadの公式編集部です。営業DX・AI活用に関する情報を発信しています。
