はじめに
SalesforceのデータをAIから扱いたい場合、大きく分けて次の2つの選択肢があります。
| 選択肢 | ざっくりした位置づけ |
|---|---|
| Agentforce | Salesforce上でAIエージェントを構築・運用する |
| MCPサーバー連携 | ChatGPT、Claude、Cursor、自社AIなど外部AIクライアントからSalesforceへ接続する |
どちらもSalesforceデータをAI活用するための有力な手段ですが、セキュリティの考え方はかなり異なります。
特に、非エンジニアが自然言語でSalesforceデータを扱うケースでは、単に「何ができるか」だけでなく、どこまでをSalesforce側で統制できるかが重要になります。
結論
先に結論を書くと、次のように考えるのが現実的です。
| 観点 | Agentforce | MCPサーバー連携 |
|---|---|---|
| 主な利用者 | 業務ユーザー、営業、CS、社内利用者、顧客 | 開発者、管理者、自社AI基盤、管理済みAIクライアント |
| 統制の中心 | Salesforce側 | Salesforce側 + 外部AIクライアント側 |
| データの流れ | SalesforceのTrust Layerや権限管理を前提に設計しやすい | Salesforceから取得したデータが外部AIクライアントのコンテキストに渡る |
| 非エンジニア利用 | 向いている | 慎重に設計すべき |
| セキュリティ上の論点 | Agentの権限、ガードレール、監査、利用範囲 | 外部AIの保持ポリシー、ログ、DLP、接続先管理、ツール権限 |
つまり、AgentforceはSalesforce内の統制に寄せやすい一方で、MCPは外部AIクライアントまで含めて統制設計が必要です。
ここが、セキュリティ観点での最も大きな違いです。
よくある誤解:「Agentforceなら完全にSalesforceの中だけで完結する」
Agentforceを選ぶ理由として、よく挙がるのが次の考え方です。
AgentforceであればSalesforce内で完結するため、ChatGPTなどの外部AIに自社データを読み込まれるリスクがない。
この考え方は方向性としては正しいです。
ただし、厳密には少し補足が必要です。
AgentforceはSalesforceのAIエージェント基盤であり、Salesforceの権限、データ、Flow、Apex、監査、ガードレールと組み合わせて運用できます。また、SalesforceはEinstein Trust Layerにより、データマスキング、動的グラウンディング、監査、ゼロデータ保持などの仕組みを提供しています。
一方で、AIの推論処理そのものが常に物理的にSalesforce社内だけで完結する、という意味ではありません。Salesforceは外部LLMプロバイダーとの連携も含めて、Trust Layerを通じた保護やゼロデータ保持などの仕組みを提供しています。
そのため、正確には次の表現が適切です。
Agentforceは、SalesforceのTrust Layer、権限、ガードレール、監査の管理下でAI活用を統制しやすい。
「外部AIに一切データが渡らない」と言い切るよりも、Salesforceが提供する統制境界の中で安全に扱いやすいと理解する方が実務的です。
MCPサーバー連携のセキュリティ境界
MCPは、AIクライアントが外部システムのデータや機能を使うための標準的な接続方式です。
Salesforce Hosted MCP Serverを使うと、MCP対応クライアントからSalesforceのデータや機能にアクセスできます。たとえば、次のような使い方が考えられます。
| 利用例 | 内容 |
|---|---|
| ChatGPTからSalesforceを検索 | 取引先、商談、ケースなどを自然言語で確認する |
| ClaudeからCRMデータを参照 | 顧客情報をもとにメール文面や対応案を作る |
| CursorからSalesforce開発を支援 | Apex、Flow、メタデータの確認や開発補助を行う |
| 自社AI基盤からSalesforce連携 | 社内ポータルや業務AIからSalesforceデータを扱う |
Salesforce Hosted MCP Server自体は、OAuth認証やSalesforceの権限モデルと組み合わせて利用できます。つまり、MCPだからSalesforceの権限を無視して何でも見られる、というわけではありません。
しかし、重要なのはその先です。
MCP経由でSalesforceから取得されたデータは、接続先のAIクライアントに渡ります。そのため、Salesforce側で権限管理されていたとしても、外部AIクライアント側の利用規約、データ保持、ログ、学習利用、管理者設定、DLP、監査まで含めて評価する必要があります。
これがMCP連携におけるセキュリティ境界です。
MCPを使う場合、Salesforceだけでなく、外部AIクライアントも統制対象になります。
Agentforceの方が非エンジニア利用に向いている理由
非エンジニアにAI経由でSalesforceデータを扱わせる場合、重要なのは「自由に何でも聞けること」ではなく、許可された業務だけを安全に実行できることです。
Agentforceはこの考え方と相性が良いです。
| セキュリティ観点 | Agentforceで扱いやすい理由 |
|---|---|
| 権限管理 | Salesforceのユーザー権限、共有設定、データアクセス制御と組み合わせやすい |
| アクション制御 | Flow、Apex、APIなど、実行できる業務アクションを定義できる |
| ガードレール | Agentが答えてよい範囲、実行してよい範囲を設計しやすい |
| 監査 | Salesforce側のログやAgentforceの管理機能と組み合わせて追跡しやすい |
| 運用 | 管理者がSalesforceの管理画面や設定思想に沿って扱いやすい |
たとえば営業担当者に対して、
- 担当商談の状況を要約する
- 次回アクションを提案する
- ケースの一次回答案を作成する
- Flowを呼び出して定型処理を実行する
といった用途であれば、Agentforceの方が業務シナリオとして閉じやすくなります。
非エンジニアにとって重要なのは、AIに自由な道具を渡すことではなく、業務に必要な範囲だけを安全に使える状態にすることです。
MCPが危険という意味ではない
ここまで読むと、MCPは危険でAgentforceだけが安全、という印象になるかもしれません。
しかし、それは少し違います。
MCPはオープンな接続方式であり、適切に設計すれば非常に有用です。
たとえば、以下のようなケースではMCPが向いています。
| MCPが向いているケース | 理由 |
|---|---|
| 開発者がSalesforce DXやメタデータを扱う | CursorやClaude Codeなど開発環境との相性が良い |
| 社内で管理されたAI基盤からSalesforceに接続する | AIクライアント側の保持ポリシーや監査を統制できる |
| 読み取り専用でCRMデータを参照する | 更新・削除リスクを抑えやすい |
| 特定用途に限定したツールだけ公開する | Agentやユーザーができることを絞り込める |
| 管理者・情シス・開発者向けの補助ツールにする | 利用者がデータ構造や権限の意味を理解している |
MCPのリスクは、MCPそのものよりも、どのAIクライアントに、どの権限で、どのデータを渡すかにあります。
特に避けたいのは、個人利用のAIアカウントや管理されていないAIツールから、Salesforceの本番データに広くアクセスできる状態を作ることです。
これはMCPに限らず、API連携全般で避けるべき設計です。
実務での判断基準
AgentforceとMCPは競合というより、利用者と目的で使い分けるものです。
| 判断軸 | Agentforceを優先 | MCPを検討 |
|---|---|---|
| 利用者 | 営業、CS、バックオフィス、顧客 | 開発者、管理者、情シス、自社AI基盤 |
| 目的 | Salesforce上の業務を安全に実行したい | 外部AIツールからSalesforceを参照・操作したい |
| 操作範囲 | 業務アクション単位で限定したい | ツール単位・API単位で柔軟に接続したい |
| 管理 | Salesforce管理者中心で運用したい | AI基盤側も含めて管理できる |
| リスク許容度 | データ持ち出しや誤操作を強く抑えたい | 接続先AIの統制まで設計できる |
次のように整理します。
非エンジニア向けの業務AIはAgentforceを第一候補にする。
MCPは開発者向け、管理済みAI基盤向け、または用途を限定した連携として使う。
MCP連携を使う場合のチェックリスト
MCPでSalesforce連携する場合は、最低限以下を確認したいところです。
| チェック項目 | 確認内容 |
|---|---|
| 接続先AIクライアント | 会社として承認済みのAIか |
| データ保持 | プロンプト、レスポンス、ログがどの程度保存されるか |
| 学習利用 | 入力データがモデル学習に使われない契約・設定になっているか |
| 認証方式 | OAuthなどユーザー単位で認証・認可されているか |
| 権限範囲 | 読み取り、作成、更新、削除の範囲を最小化しているか |
| Salesforce権限 | オブジェクト権限、項目レベルセキュリティ、共有設定が適切か |
| 本番データ | 個人情報や機密情報を必要以上に渡していないか |
| 監査 | 誰が、いつ、何を取得・実行したか追跡できるか |
| 利用者教育 | AIに入力してよい情報、してはいけない情報が明確か |
特に重要なのは、読み取り専用から始めることです。
最初から作成・更新・削除まで許可すると、AIの誤操作やプロンプト設計ミスによる影響が大きくなります。
MCP連携は、次のように段階的に広げるのが安全です。
- Sandbox環境で検証する
- 読み取り専用で開始する
- 対象オブジェクトと項目を絞る
- 管理済みAIクライアントだけ許可する
- 監査ログを確認する
- 必要に応じて更新系アクションを限定的に許可する
Agentforce導入時のチェックリスト
Agentforceを使う場合も、何もしなくても安全というわけではありません。
AIエージェントに業務を任せる以上、以下のような設計は必要です。
| チェック項目 | 確認内容 |
|---|---|
| 利用シナリオ | Agentに任せる業務範囲が明確か |
| 権限設計 | Agentを使うユーザーに必要以上の権限が付いていないか |
| アクション設計 | Flow、Apex、APIの実行範囲が限定されているか |
| ガードレール | 回答してはいけない内容、実行してはいけない処理が定義されているか |
| 人間の確認 | 高リスク操作では承認や確認を挟むか |
| テスト | 想定外の質問や曖昧な依頼にどう振る舞うか検証しているか |
| 監査 | 実行ログや会話履歴を追跡できるか |
Agentforceのメリットは、こうした統制をSalesforceの世界観に沿って設計しやすい点にあります。
つまり、Agentforceは「何もしなくても安全」なのではなく、安全に設計・運用するための部品がSalesforce側にそろっていると捉えるのがよいです。
まとめ
AgentforceとMCPサーバー連携は、どちらもSalesforceデータをAIから扱うための有力な選択肢です。
ただし、セキュリティ境界は異なります。
| 結論 | 内容 |
|---|---|
| Agentforce | SalesforceのTrust Layer、権限、ガードレール、監査の中でAI利用を統制しやすい |
| MCP | Salesforceだけでなく、外部AIクライアント側の統制も必要になる |
| 非エンジニア利用 | Agentforceを第一候補にするのが現実的 |
| 開発者・管理済みAI基盤 | MCPを限定用途で使う価値がある |
重要なのは、「AgentforceかMCPか」という二択ではなく、誰が、どのデータを、どのAIから、どの権限で扱うのかを明確にすることです。
私の考えとしては、次の整理が一番しっくりきます。
Agentforceは、Salesforce上の業務を安全にAI化するための選択肢。
MCPは、外部AIからSalesforceを使うための接続方式。
セキュリティ面では、Agentforceの方が非エンジニア利用に向いており、MCPは接続先AIまで含めた統制が前提になる。
AI活用では、便利さだけを追うと、データの流れが見えにくくなります。
Salesforceデータは顧客情報や営業情報を多く含むため、AIに渡す前に、まず「どこまでが自社の管理境界なのか」を整理することが重要です。