ADVERTISEMENT

【Salesforce】監査証跡が想定と違う時の本番反映前の切り分け

【Salesforce】監査証跡が想定と違う時の本番反映前の切り分け
🛡️ 超解決

Salesforceの監査証跡は、組織内で行われた設定変更やデータ操作の履歴を記録する重要な機能です。しかし、本番環境に変更を反映しようとした際に「想定と違う記録が残っている」「変更したはずの操作が表示されない」といった問題に遭遇することがあります。このような差異は、設定の不備や権限の問題、操作環境の違いなどが原因で発生します。本番環境に影響を及ぼす前に、適切な切り分けを行って原因を特定し、対策を講じることが不可欠です。本記事では、監査証跡が想定と異なる場合に、本番反映前に行うべき切り分けの手順と判断基準を具体的に解説します。

【要点】この記事で確認すること

  • 最初に見る場所: セットアップメニューの「監査証跡」画面、および変更対象のオブジェクトの「項目履歴設定」を確認します。
  • 切り分けの軸: 操作を行ったユーザー(権限、代理人)、操作が行われた環境(Sandboxか本番か)、操作の種類(設定変更、データ変更、API経由など)の3軸で整理します。
  • 注意点: 監査証跡はデフォルトで有効ですが、参照権限を付与されていないユーザーには表示されません。また、Sandboxと本番では保持期間や記録内容が異なる場合があるため、比較の際は環境を統一してください。管理者に確認せずに権限変更を行うことは避けましょう。

ADVERTISEMENT

監査証跡の基本と代表的な「想定と違う」パターン

Salesforceの監査証跡は、セットアップ > 管理 > 監査証跡 からアクセスできます。ここでは、プロファイルの編集、権限セットの割り当て、項目の追加・変更など、約20種類以上の設定変更イベントが記録されます。記録される情報は「実行日時」「ユーザー」「操作」「詳細」です。よくある「想定と違う」パターンとして、次のようなケースが報告されています。

  • 変更したはずの操作が記録されていない:時間経過後に確認すると、自分が行った変更が監査証跡に表示されない。
  • 知らないユーザーによる変更が記録されている:自分以外のユーザー名で記録されているが、該当ユーザーは該当操作を行っていない。
  • 時刻がずれている:実際に操作した時刻と監査証跡の日時が大きく異なる。
  • 操作の詳細が期待と異なる:例えばプロファイル編集をしたのに「権限セット割り当て」として記録されるなど、操作の分類が違う。

本番反映前に行う切り分け手順

以下の手順に沿って、問題の原因を段階的に絞り込みます。Sandbox環境やテスト組織で事前に検証することを推奨します。

  1. 監査証跡の表示権限を確認する:自分が参照するための権限(「監査証跡の参照」)を持っているか、プロファイルまたは権限セットで確認します。権限がない場合は管理者へ依頼し、一時的に権限を付与してもらいます。
  2. 操作を行った日時とタイムゾーンを確認する:監査証跡の日時はUTCで保存され、ユーザーのタイムゾーン設定に変換されて表示されます。自分のパーソナル設定(個人設定>タイムゾーン)と実際の操作時刻に矛盾がないか確認します。
  3. 操作の種類と監査対象範囲を確認する:すべての操作が監査されるわけではありません。例えば、「カスタムオブジェクトの作成」は監査対象ですが、「カスタムタブの並べ替え」は対象外です。Salesforceヘルプ「監査証跡で追跡される操作」の一覧と照合します。
  4. APIやバッチ処理による操作を考慮する:WorkbenchやData Loader、外部システムのAPI連携で変更を行った場合、監査証跡には「APIを使用したすべての変更」として記録されることがあります。操作したユーザーがシステム管理者でない場合、APIの実行ユーザーが記録されるので注意します。
  5. Sandboxと本番の環境差を確認する:Sandboxで実施した操作はSandboxの監査証跡にのみ記録され、本番には反映されません。また、Sandboxの監査証跡保持期間は本番より短い(30日など)場合があるため、比較時は同一環境で行います。
  6. 他の管理者の操作と混在していないか確認する:同じ時間帯に複数の管理者が作業していると、操作が入れ替わって表示される可能性があります。監査証跡のフィルターでユーザーを指定し、自分の操作だけを抽出します。
  7. 項目履歴設定の有効化を確認する:データ変更の監査は「項目履歴設定」が独立して存在します。設定変更の監査証跡とは別の管理画面です。データ変更の履歴が不足している場合は、こちらもあわせて確認します。

失敗パターンと判断基準

失敗パターン1:権限不足による非表示

監査証跡を参照する権限がないユーザーは、自分が行った操作すら見えません。「監査証跡の参照」権限はデフォルトでシステム管理者のみに付与されます。一般の管理者ユーザーであっても、権限セットで追加しないと参照できません。判断基準として、監査証跡画面を開いた際に「このページを表示する権限がありません」と表示される場合は、権限不足です。対処として管理者に権限付与を依頼し、本番反映前にテストします。

失敗パターン2:タイムゾーンの誤認識

監査証跡の表示時刻は、ユーザーの個人設定で指定されたタイムゾーンに基づきます。例えば、日本のユーザーがタイムゾーンを「アメリカ/ロサンゼルス」に設定していると、実際の操作時刻と表示時刻に17時間の差が生じることがあります。また、夏時間(DST)の影響も考慮する必要があります。判断基準として、監査証跡に表示される時刻が自分の認知から大幅にずれている場合、まずタイムゾーン設定を確認します。

失敗パターン3:操作の複合・代理実行

別のユーザーに「管理代理」を許可している場合、代理ユーザーが操作を行うと監査証跡には「代理人(操作者)」として記録されます。しかし、操作を依頼した元ユーザーから見ると、自分が操作したつもりでも実際は代理人が行っているため、記録が正しく紐づかないケースがあります。判断基準として、監査証跡の「ユーザー」列に自分の名前ではなく代理人の名前が表示されている場合は、代理実行が関与しています。

状況別:監査証跡の記録有無と代表的な操作

操作カテゴリ 代表的な操作例 監査証跡に記録されるか 注意点
セキュリティ関連 プロファイル編集、権限セット割り当て、ロール変更 記録される プロファイル編集は「プロファイルの編集」として記録。権限セット割り当ては別操作
カスタマイズ 項目作成、オブジェクト編集、レイアウト変更 記録される 項目の追加・削除は記録されるが、項目の詳細(ラベル等)の変更も記録
データ操作 レコード作成、更新、削除 項目履歴設定で管理 監査証跡ではなく、オブジェクトごとの項目履歴設定で追跡。別途確認が必要
API・外部連携 API経由の設定変更、Data Loaderによる更新 記録される(場合による) REST/SOAP API の一部操作は監査対象外。実行ユーザーがAPIアクセス権限を持つユーザーであること
その他 メールテンプレート編集、ワークフロールール作成 記録される ワークフロールールの有効化・無効化も記録

管理者へ確認すべきポイント

本番環境に影響を与える前に、Salesforce管理者に以下の情報を伝えて確認を依頼すると、問題解決がスムーズです。

  • 監査証跡の有効化状況:組織全体で監査証跡が有効になっているか(デフォルトでは有効ですが、一部のエディションでは無効化可能)。
  • ユーザーの権限設定:該当ユーザーに「監査証跡の参照」権限が割り当てられているか。プロファイルか権限セットのどちらで付与されているか。
  • 操作時刻とタイムゾーンの確認:サーバー側の時刻(UTC)とユーザーのタイムゾーンのマッピングに問題がないか。
  • 操作の監査対象有無:該当操作が「監査証跡で追跡される操作」リストに含まれているか。カスタム開発のApexやVisualforceによる変更は監査対象外の場合がある。
  • Sandboxと本番の同期状況:Sandboxで検証した操作が本番環境でも同じ挙動になるか、監査証跡の設定差を確認。

よくある質問

Q1. 監査証跡に自分の操作がまったく表示されません。どうすればいいですか?

まず、監査証跡の参照権限が自分に付与されているかを確認してください。権限がない場合は管理者に依頼し、権限付与後に再度確認します。権限があるのに表示されない場合、操作が監査対象外の可能性があります。操作の種類をSalesforceヘルプの対象リストと照合してください。また、操作を行った環境がSandboxであるのに本番の監査証跡を見ているなどの環境間違いも考えられます。

Q2. 監査証跡に知らないユーザーの変更が記録されています。誰が行ったか特定できますか?

監査証跡の「ユーザー」列には操作を実行したユーザー名が表示されます。ただし、代理人が操作した場合は代理人の名前で記録されます。元のユーザーを特定するには、該当ユーザーに操作について問い合わせるか、管理代理の設定を確認します。また、API連携やバッチジョブで実行された場合、実行ユーザーがシステム管理者や統合ユーザーになっている可能性があります。実行日時周辺のログを照らし合わせてください。

Q3. 監査証跡の記録をエクスポートして他のメンバーと共有したいです。方法はありますか?

監査証跡画面から直接CSVダウンロードはできません。代替手段として、「イベント監視」(Event Monitoring)機能を利用すると、詳細なデータをエクスポートできます。ただしイベント監視は有償のアドオンです。無償の範囲では、画面のスクリーンショットを取るか、レポート機能で「監査証跡レポート」を作成することも可能です。権限によってはレポート作成が制限される場合があるため、管理者に相談してください。

まとめ

監査証跡が想定と異なる場合、本番環境に反映する前に原因を切り分けることが重要です。権限、タイムゾーン、操作の対象範囲、環境の違いという4つの観点から確認することで、多くの問題は解決します。特に、Sandboxと本番では設定や権限が異なることがあるため、同一環境での検証を徹底してください。管理者への事前確認や権限設定の見直しを怠ると、本番環境で誤った記録が残り、コンプライアンス上のリスクにつながる可能性があります。本記事で示した手順と比較表を参考に、安全かつ正確な監査証跡の運用を目指しましょう。


ADVERTISEMENT

この記事の監修者
✍️

超解決 第一編集部

疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。

ADVERTISEMENT