Avatar
ウフル カスタマーサポート
フォローする

2025.4.18 「Salesforce - Hyperforce インスタンスへの移行に関する、お客様側で必要な対処について」

 

お世話になっております、ウフル カスタマーサポートでございます。

 

今週になり、このようなメールを受信した、どのように対応すればよいか、というお問合せを複数のお客様からいただきました。

 

いきなり届いた「組織の移行」に関するメール

 

=============
件名:「お知らせ: 5月17日 に予定されているお客様の AP** 組織の JPN*** への移行に向けた準備について」

 

 

お客様の Salesforce AP** 組織 (orgID: 00D10**********) は、2025年5月17日 に、Salesforce のパブリッククラウド製品である Hyperforce を搭載した ,JPN*** インスタンスへの移行が予定されていることをお知らせいたします。
2025年5月17日 以降、お客様の組織と顧客データは Amazon Web Services (AWS) インフラストラクチャでホストされる JPN*** インスタンスに保存されます。この詳細は、お客様のサービス (追加サブプロセッサを含む) に該当する 信頼とコンプライアンスに関するドキュメント を参照してください。また、新しいインスタンスの場所は AWS 日本(東京)リージョン(※またはアジアパシフィック (大阪) 地域) に変更されます。
=============

 

本文はこの下に「移行実施スケジュール」「組織移行の理由」と続き、さらに「お客様にてご対応いただく作業」が列記されていますが、「具体的にどうすればいいのか、自分の環境では必要なのか」と多くのお客様が悩まれているようです。

 

今回はこちらのメールが関係する「Hyperforce インスタンスへの移行」について確認をしていきたいと思います。

 

そもそも「Hyperforce」とは?

 

Hyperforce について - 一般情報と FAQ
https://help.salesforce.com/s/articleView?id=000388902&type=1

 

=============

Hyperforce(ハイパーフォース)は、パブリッククラウド用に構築された Salesforce の次世代インフラストラクチャです。Hyperforce インフラストラクチャはハードウェアではなくコードで構成されています。これにより、Salesforce プラットフォームおよびアプリケーションを素早く確実に世界各地に提供することが可能となり、より多くのデータレジデンシーの選択肢と制御をお客様に提供することができます。

Hyperforce で実行される Salesforce 製品には、コンプライアンス、セキュリティ、俊敏性、拡張性のための強化された標準のインテグレーションと、そしてSalesforce のプライバシーへの継続的な取り組みといったメリットがあります。アプリケーションスタックの展開に共通の基礎を提供することにより、Hyperforce は Salesforce の製品クラウドの横断的なイノベーションを可能にし、お客様にさらなるビジネス上の価値を提供します。

Hyperforce は次のことを実現します:

  • データレジデンシー – Hyperforce を使用すると、レジデンシーとコンプライアンスの選択肢と制御を提供しながら、従業員や顧客にグローバルにサービスを提供できます。
  • 拡張性 – 顧客は、ビジネスをより柔軟かつ持続的に成長および拡大できるようになります。
    セキュリティ – Hyperforce は、デフォルトで安全であり、最小限の権限による制御、ゼロトラストの原則、保管中および転送中の顧客データの暗号化を備えています。
  • プライバシー – Hyperforce は、顧客が顧客のデータを制御し、透明性を確保するのに役立つ包括的なプライバシー基準を提供します。
  • 俊敏性 – Hyperforce は、ダウンタイムのないリリースや一般的なメンテナンス、開発環境およびテスト環境の高速化、AWS との新たな相互運用性の大幅な向上により、俊敏性を高めます (組織移行や大規模なテクノロジのアップグレードでは、ダウンタイムが必要になる場合があります)

=============

 

従来 Salesforce ではデータセンターを始めとする物理的インフラ環境を自社で管理し、その環境上でシステムを構築してサービスを展開してきましたが、Amazon Web Services (AWS) などの「パブリッククラウド」に Salesforce システムを構築するように方針を転換しました。
その新しいシステムのアーキテクチャが「Hyperforce」と呼ばれるものです。

 

今までの、すべてのシステムをデータセンターのサーバーで展開する方式では、サーバーの物理的な入れ替え(老朽化や故障への対応)などの作業に際して、定期的なメンテナンスだったり、インスタンス移行(AP01 から AP43 に移動する、など)が必要となり、都度ダウンタイムが発生したり、組織移行の作業に備える必要がありました。

Hyperforce の導入により、サービスの基盤がより大規模なパブリッククラウドに移ることで、ダウンタイムや組織移行に対してより柔軟な対応が取れるようになる、とのことです。

 

なお、すべてがパブリッククラウドに移行する(データセンターが廃止になる)というわけではなく、今後も継続して Salesforce がデータセンターを直接管理する体制は並行する模様です。

 

=============
Q. Hyperforce が次世代の Salesforce プラットフォームだとすると、なぜ一部の組織ではファーストパーティーの組織移行が予定されているのですか?
A. 使用量のバランスを取り、リソース競合を回避するため、ファーストパーティーデータセンターは今後も維持されます。
=============

 

では本題、Hyperforce 移行に対して、利用者(システム管理者)は、どういう状況の場合にどういった対応をすればよいのでしょうか。

 

 

Hyperforce インスタンスへの移行に対して必要な対応

 

Hyperforce インスタンスへの移行は、年三回のバージョンアップとは異なり、組織ごとにいくつかのグループに分けられ、実施日の30日前(契約形態によっては90日前)にメールで通知されます。
冒頭に記載したメールを受信することにより、移行日が確定したことになります。

 

Hyperforce に移行した後でサービスが中断することなく継続的に使用できるかどうか、管理メニューの「Hyperforce アシスタント」でチェックできます。

 

 

「準備」のタブを開くと、以下のような画面が表示されます。

 

必要な対処は主に下記の3点です。

  • ハードコードされた参照を修正する
  • 移行先インスタンスへの接続を確認する
  • IPアドレスベースでのアクセス許可を設定している場合は、推奨された代替策に切り替える

 

「ハードコードされた参照を修正する」これは恐らくほとんどのお客様が「対処済み」ではないかと思います。

ハードコードされたインスタンス参照とは、要はカスタムリンクや数式、Visualforce ページなどで「ap47.salesforce.com」のようなインスタンス名を直接参照することを指します。

今までも「組織移行への備え」「私のドメインのリリース」「拡張ドメインの有効化」といった、ハードコード参照を修正する必要がある場面は多々あったので、そちらで修正が完了しているかと存じます。

 

2022.12.06 「Salesforce - この機会に [拡張ドメイン] の目的と影響を確認し、リリースに備えましょう」
https://csminfo.uhuru.jp/hc/ja/articles/13211737448601

 

「移行先インスタンスへの接続を確認する」こちらは上記の「Hyperforce アシスタント」で検証メニューがありますので、移行先 Hyperforce インスタンスに問題なくアクセスできるかを先ずはご確認ください。

 

「IPアドレスベースでのアクセス許可を設定している場合は、推奨された代替策に切り替える」これが恐らく今回の「本丸」だと思われます。

お客様の社内ネットワークで、情報漏洩のリスク回避のためなどに、許可されたサービス以外には接続できない(Salesforce や Microsoft365、GoogleWorkspace など業務で使用するサービスのみ許可し、X や Instagram といった SNS など業務に関係ないサイトへのアクセスをできないようにする)という施策を取られているところもあるかと存じます。

その場合の許可の方法は、今までは「Salesforce から公開されている IP アドレスを許可リストに追加する」でしたが、Hyperforce への移行はパブリッククラウドベースへの移行ですので、サービスの形態上、IP アドレスが予告なく頻繁に変わることが避けられなくなります。

 

Salesforce から公開されている「推奨された代替策」は、大きく分けると以下の2パターンになります。

  • ユーザのアクセス管理には、ドメイン名ベースでの許可設定を行う
  • 基幹システムとの連携管理には、接続アプリケーションを使用する

 

Salesforce Core サービス - 許可すべき IP アドレスとドメイン
https://help.salesforce.com/s/articleView?id=000392992&type=1

Hyperforce の IP 許可リスト登録の望ましい代替案
https://help.salesforce.com/s/articleView?id=000394078&type=1

 

先述の「ユーザのブラウザアクセスでサービスの許可を IP アドレスベースで絞っている」場合、ドメインベースでのアクセス許可に切り替える際に具体的にどのドメインを許可するかについては、以下のヘルプをご参照ください。

 

必要なドメインを許可
https://help.salesforce.com/s/articleView?id=xcloud.setup_domains.htm&type=5

 

外部基幹システムとの接続で IP アドレスでの許可を設定していた場合は、接続アプリケーションでの認証に切り替えることが推奨されています。

 

Hyperforce の IP 許可リスト登録の望ましい代替案
https://help.salesforce.com/s/articleView?id=000394078&type=1

=================
外部のアプリケーションから Salesforce にアクセスする必要がある場合は、接続アプリケーションを使用します。接続アプリケーションフレームワークにより、API や SAML (Security Assertion Markup Language)、OAuth、OpenID Connect などの標準プロトコルを使用して、外部アプリケーションと Salesforce を統合できます。接続アプリケーションはこれらのプロトコルを使用して、外部アプリケーションのシングルサインオン (SSO) を承認、認証、提供します。接続アプリケーションは API 統合によるデータへの安全なアクセス、サービスプロバイダと Salesforce の統合、外部 API ゲートウェイの認証、サードパーティアプリケーションへのアクセス管理を実行できます。
=================

 

メール受信で送信元 IP アドレスベースの絞り込みをしている場合、Hyperforce 移行後に Salesforce から送信されたメールが受信できなくなる可能性があります。
その場合は、先ずはテスト送信を行い、指定した数のメールが受信できていることを確認します。
受信できなかったメールがある場合、ネットワークで許可されていない IP アドレスからメールが送信されていることになるので、対処が必要になります。

 

Salesforce から送信されたメールの到達可能性のテスト
https://help.salesforce.com/s/articleView?id=sales.security_test_email_delivery.htm&type=5

Salesforce アプリケーションからのメールを受信できるようにする
https://help.salesforce.com/s/articleView?id=000388992&type=1

 

その場合の対処方法は、ドメインベースに切り替えるのではなく、標準メールプロトコルに準拠して「SPF、DKIM、DMARC」を使用する、という点は重要ポイントです。

 

2024.5.31「Salesforce - SPF と DKIM を設定しているのに Pass にならない - メール送信設定の「不達管理」と「メールセキュリティ準拠」のチェックについて
https://csminfo.uhuru.jp/hc/ja/articles/33173991394841

 

一般的な対処策は上記の通りですが、Experience Cloud や Salesforce Sites (コミュニティおよびサイト) で独自ドメインを使用している場合、Hyperforce 向けの HTTPS 証明書をドメインに設定する必要があります。

 

=============
【シナリオ】
Salesforce エクスペリエンスサイトで、サードパーティの CDN が提供するカスタムドメインを使用しています。CDN は SNI を送信しないか、元の *.force.com ドメインの代わりにカスタムドメインを送信します。

【Hyperforce での事象】
CDN が例外を生成し、Salesforce エクスペリエンスサイトは読み込まれません。

【解決策】
SNI を使用しないように CDN を設定し、CDN が Subject Alternative Name (SAN) リストに *.my.salesforce.com を含む HTTPS 証明書を利用していることを確認します。
=============

 

Hyperforce の証明書を使用したカスタムドメインの提供
https://help.salesforce.com/s/articleView?id=release-notes.rn_security_domains_custom_certs.htm&release=240&type=5

 

 

 まとめ

 

基幹連携の接続アプリケーション、独自ドメインのコミュニティやサイトなどは、管理されている方はすぐにピンとくると思います。
思い当たることが無いお客様は、まずネットワーク管理者の方に「うちのネットワーク、業務外サイトにアクセスできないよう制限掛けてないか」を訊いてみてください。
「制限掛けている」と回答があった場合、「Salesforce の許可を IP アドレスベースで設定してないか」と確認し、もしそうでしたらこちらの記事を共有いただければ幸いです。

 

 

今後もウフルカスタマーサポートを引き続きよろしくお願いいたします。

 

 

 

 

 

 

 

 

 

 

 


Salesforce・Googleの運用・サポートでお困りなら

 カスタマーサポートへお問合せください。


コメント

 
 
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています