SalesforceがMFA(多要素認証)を必須化に|4種類の対応方式について解説
営業支援(SFA)や顧客管理(CRM)などのビジネスアプリケーションを、クラウド経由で提供するSalesforceは、多くの日本企業でも利用されています。そんなSalesforceは、2022年2月からMFA(多要素認証)が必須化されました。SalesforceのMFA必須化には、どのような背景があるのでしょうか。
今回は、MFAの基礎知識からSalesforceで必須化された理由と併せて、Salesforceでの対応方式4種類を紹介します。
■2022年2月からSalesforceがMFA(多要素認証)を必須化
はじめに、MFA(多要素認証)の基礎知識と併せて、Salesforceで必須化された理由について見ていきましょう。
◇MFA(多要素認証)とは?
MFA(多要素認証)とは、クラウドサービスやSNSなどのWeb上のサービスやアプリケーションなどにログインする際に、2つ以上の要素によって本人確認を行なう認証を表します。
従来の認証方式としては、ユーザーIDとパスワードの組み合わせが一般的でした。今でも多くのサービスで利用されていますが、この方式はIDとパスワードを知られてしまうと第三者でもログインできてしまう欠点があります。
昨今はクラウドサービスやテレワークが普及し、インターネットを介して業務を行なうことも多くなりました。業務でクラウドサービスを利用する頻度も増え、今まで以上に不正アクセスには注意しなければなりません。
その際に、従来のパスワードのみによる認証方式ではセキュリティが担保できず、新しい認証方式としてMFAが注目されています。MFAはパスワードなどとの認証に加え、デバイス認証や生体認証などを組み合わせることで、より本人確認を確実なものとします。
日本では、MFAよりも“二段階認証”や“二要素認証”という言葉を聞くことが多いのではないでしょうか。これらはMFAの一部であり、複数の要素を組み合わせた認証方式という点では同じです。
詳しくは“多要素認証とは?二要素/二段階認証との違いや導入のメリットなどを徹底解説”にて解説していますので、こちらもご覧ください。
◇MFA(多要素認証)必須化の理由
ビジネスアプリケーションをクラウド経由で提供するSalesforceは、2022年2月からMFAを必須化しました。SalesforceがMFAを必須化した理由は、昨今の働き方の変化にともない、セキュリティ強化が重要視されてきているからです。
新型コロナウイルスの影響により、オフィスに出社せず自宅などで仕事を行なうテレワークが普及し、日本だけでなく世界規模でリモートによる働き方が浸透しています。業務で利用するデータには、取り扱いを注意しなければならないデータも多く存在しており、情報漏えいや盗取への対策が欠かせません。
テレワークなどのリモートワークではさまざまなネットワークにアクセスし、データも点在することになるため、データへアクセスする人の管理が重要視されます。その際に最も気を付けるべき点は不正アクセスであり、MFAは不正アクセスを防ぐために有効であることから、Salesforceでも必須化されました。
また、不正アクセスだけでなく、アカウント乗っ取りやフィッシング攻撃などの脅威に対してもMFAは有効であり、多様化・巧妙化し続けるサイバー攻撃へ対応するためにも、MFAは欠かせない存在です。
■SalesforceのMFA(多要素認証)対応方式4種類
SalesforceのMFA必須化要件を満たすためには、これから挙げる4つの方式で対応可能です。Salesforceでは、利用者の“知っている情報”と“持っている情報”を組み合わせたMFAが推奨されています。パスワードと知っている情報と併せて、スマートフォンやセキュリティキーなどの持っている情報を組み合わせることで、MFAを実現します。
◇シングルサインオン(SSO)
シングルサインオンを利用してSalesforceへアクセスしている場合は、別途特別な対応は必要ありません。シングルサインオンの製品側でMFAを有効化することで、SalesforceのMFA必須化要件に対応できます。
現在、Salesforceへ直接アクセスしている場合には、これから紹介する対応方式を別途導入するか、シングルサインオンを導入することで対応しましょう。おすすめは、シングルサインオンを導入してMFAを有効化することです。
シングルサインオン製品を導入することは、SalesforceへのMFA必須化要件のためだけでなく、他の複数SaaSへのアクセスにもMFAを導入できるメリットがあるからです。また、すでに他のSaaSでMFAを利用している場合には、シングルサインオンで一元的に管理できるようになり、全体的なセキュリティ向上も期待できます。
シングルサインオンは、ユーザーの利便性向上や管理者の管理負担軽減にも大きな効果が期待でき、業務で利用するシステム全般のセキュリティ向上と併せて、業務の効率化にもつながります。
◇セキュリティキー(U2F)
Salesforceへ直接アクセスしている場合の対応方法は、3つあります。そのうちの一つがセキュリティキー(U2F)であり、パスワードに加えて物理的な鍵を所有することでMFAを実現する方式です。
セキュリティキーはUSBメモリのような形状で、物理的な鍵としてSalesforceへのログイン時に利用します。FIDO U2Fに対応したセキュリティキーであれば、どのような製品でも利用可能です。
利用する際には、最初に管理者が、ユーザー認証にセキュリティキー(U2F)を利用する設定を行なう必要があります。その後、各ユーザーは初回ログイン時にセキュリティキーを登録し、以後はパスワードと併せてセキュリティキーを利用するデバイスに差し込むことで、ログインできるようになります。
セキュリティキーはユーザーがスマートフォンを所有していない場合や、スマートフォンを含む、モバイルデバイスなどの使用が許可されていない場所などでの利用に最適でしょう。バッテリーが不要であり、認証にかかる時間も少なく使いやすい点が特徴です。
◇Salesforce Authenticator
Salesforceへ直接アクセスする場合の対応方法の2つ目は、スマートフォンアプリを利用したSalesforce Authenticatorです。Salesforce AuthenticatorはAndroidとiOSの両方に対応しており、Salesforceへのログイン時に、アプリにプッシュ通知を送信して本人確認を行ないます。
各ユーザーは、手持ちのスマートフォンにSalesforce Authenticatorをインストールし、事前に設定しておくことで、ログイン時にスマートフォンからアクセスの許可・拒否を行ないます。
もしも、自分以外の誰かが自分のアカウントでログインしようとしても、スマートフォンから拒否することで不正アクセス防止が可能です。MFAは認証の手順が増えてしまう点が欠点の一つですが、Salesforce Authenticatorはユーザーのスマートフォンをそのまま利用できるため、大きく手間が増えることがありません。
◇サードパーティ認証アプリケーション
Salesforceへ直接アクセスする場合の最後の対応方法は、サードパーティ認証アプリケーションを利用する方法です。Salesforce Authenticatorと同じように、各ユーザーのスマートフォンを利用する点は同じですが、利用するアプリケーションが異なります。
有名な認証アプリケーションとしては、Google AuthenticatorやMicrosoft Authenticatorが挙げられます。SalesforceのMFA必須化要件を満たすためには、RFC-6238規格に準拠した認証アプリケーションであれば問題ありません。
すでにGoogle Authenticatorなどを利用しており、別途Salesforce Authenticatorを導入したくない場合などに選択するとよいでしょう。
■まとめ
2022年2月からSalesforceは、MFA(多要素認証)を必須化しました。その背景としては、働き方の変化によるセキュリティ対策の強化、不正アクセスの防止が理由として挙げられます。
SalesforceのMFA必須化要件を満たすためには、4つの対応方式が挙げられます。
・シングルサインオン(SSO)
・セキュリティキー(U2F)
・Salesforce Authenticator
・サードパーティ認証アプリケーション
このなかでも、シングルサインオンは各ユーザーの対応も少なく、Salesforceだけでなく業務で利用するシステム全体のセキュリティ向上にも役立てられます。この機会にシングルサインオンを導入していない場合には、導入を検討してみてはいかがでしょうか。
この記事を書きました
森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー
