SalesforceはMFA（多要素認証）が必須｜5種類の対応方式とSaaSにおけるMFAの最新動向

営業支援（SFA）や顧客管理（CRM）などのビジネスアプリケーションを、クラウド経由で提供するSalesforceは、多くの日本企業でも利用されています。そんなSalesforceは、2022年2月からMFA（多要素認証）が必須化されました。SalesforceのMFA必須化には、どのような背景があるのでしょうか。

 

今回は、MFAの基礎知識からSalesforceで必須化された理由と併せて、SaaSにおけるMFAの最新動向やSalesforceでの対応方式5種類を紹介します。

 

■2022年2月からSalesforceがMFA（多要素認証）を必須化

はじめに、MFA（多要素認証）の基礎知識と併せて、Salesforceで必須化された理由について見ていきましょう。

 

◇MFA（多要素認証）とは？

MFA（多要素認証）とは、クラウドサービスやSNSなどのWeb上のサービスやアプリケーションなどにログインする際に、2つ以上の要素によって本人確認を行なう認証を表します。
 

従来の認証方式としては、ユーザーIDとパスワードの組み合わせが一般的でした。今でも多くのサービスで利用されていますが、この方式はIDとパスワードを知られてしまうと第三者でもログインできてしまう欠点があります。
 

昨今はクラウドサービスやテレワークが普及し、インターネットを介して業務を行なうことも多くなりました。業務でクラウドサービスを利用する頻度も増え、今まで以上に不正アクセスには注意しなければなりません。
 

その際に、従来のパスワードのみによる認証方式ではセキュリティが担保できず、新しい認証方式としてMFAが注目されています。MFAはパスワードなどとの認証に加え、デバイス認証や生体認証などを組み合わせることで、より本人確認を確実なものとします。
 

日本では、MFAよりも“二段階認証”や“二要素認証”という言葉を聞くことが多いのではないでしょうか。これらはMFAの一部であり、複数の要素を組み合わせた認証方式という点では同じです。

 

詳しくは“多要素認証とは？二要素／二段階認証との違いや導入のメリットなどを徹底解説”にて解説していますので、こちらもご覧ください。

 

◇MFA（多要素認証）必須化の理由

ビジネスアプリケーションをクラウド経由で提供するSalesforceは、2022年2月からMFAを必須化しました。SalesforceがMFAを必須化した理由は、昨今の働き方の変化にともない、セキュリティ強化が重要視されてきているからです。
 

新型コロナウイルスの影響により、オフィスに出社せず自宅などで仕事を行なうテレワークが普及し、日本だけでなく世界規模でリモートによる働き方が浸透しています。業務で利用するデータには、取り扱いを注意しなければならないデータも多く存在しており、情報漏えいや盗取への対策が欠かせません。
 

テレワークなどのリモートワークではさまざまなネットワークにアクセスし、データも点在することになるため、データへアクセスする人の管理が重要視されます。その際に最も気を付けるべき点は不正アクセスであり、MFAは不正アクセスを防ぐために有効であることから、Salesforceでも必須化されました。

また、不正アクセスだけでなく、アカウント乗っ取りやフィッシング攻撃などの脅威に対してもMFAは有効であり、多様化・巧妙化し続けるサイバー攻撃へ対応するためにも、MFAは欠かせない存在です。

◇SaaSにおけるMFAの最新動向【2024年版】

近年、SaaSのセキュリティ対策においてMFAは重要な役割を果たしています。 
 

2024年時点で、MFAは単なるオプションとしての機能から必須のセキュリティ対策へと進化しているといってよいでしょう。専門家によると、2025年までにSaaS企業の95％がMFAを標準セキュリティ機能として導入すると予測されています。 
 

Microsoftはパスワード攻撃の被害に遭ったアカウントのうち、99.9％がMFAを有効化していなかったことを明らかにしました。このことからも、MFA導入の重要性がわかるでしょう。現在はおもにソフトウェアベースでの認証が主流ですが、バイオメトリクス技術を利用したマルチモーダル生体認証（複数の生体情報を組み合わせた認証）の注目度も高まっています。 
 

しかし、日本は諸外国と比較して、MFA導入率が低い傾向にあります。Okta Japanによる2023年のトレンドレポートによれば、MFAの導入率はイタリアが最も高く79％であるのに対し、日本は54％しかありません。また、同レポートでは日本企業の規模別にMFA導入率を報告していますが、企業規模が大きくなるにつれて導入率が低下していることも興味深い点です。 
 

MFAの利点は単なるセキュリティ強化だけではなく、顧客との信頼構築、コンプライアンスの遵守、リモートワーク環境の保護など、多岐にわたる効果が期待できます。 
 

Salesforceにおいて必須化されたように、今後多くのSaaSでMFAの必須化が進むと考えられます。このことから、企業はMFAについて利用するSaaSごとに対応するよりも、シングルサインオン（SSO）とMFAを組み合わせて一元的なSaaSのアカウント管理をおすすめします。 

 

■SalesforceのMFA（多要素認証）対応方式5種類

SalesforceのMFA必須化要件を満たすためには、これから挙げる5つの方式で対応可能です。ングルサインオンによるアクセス1種と直接アクセスによる4種の合計5種類です。 
Salesforceでは、利用者の“知っている情報”と“持っている情報”を組み合わせたMFAが推奨されています。パスワードと知っている情報と併せて、スマートフォンやセキュリティキーなどの持っている情報を組み合わせることで、MFAを実現します。

Salesforceでは、メール・SMS・電話による認証は漏洩や傍受の危険性が高いことから許可されていません。そのため、以下に挙げる直接アクセスでの方法では、これらによる検証は行なわれないものとしています。

 

◇シングルサインオン（SSO）

シングルサインオンを利用してSalesforceへアクセスしている場合は、別途特別な対応は必要ありません。シングルサインオンの製品側でMFAを有効化することで、SalesforceのMFA必須化要件に対応できます。

 

現在、Salesforceへ直接アクセスしている場合には、これから紹介する対応方式を別途導入するか、シングルサインオンを導入することで対応しましょう。おすすめは、シングルサインオンを導入してMFAを有効化することです。

 

シングルサインオン製品を導入することは、SalesforceへのMFA必須化要件のためだけでなく、他の複数SaaSへのアクセスにもMFAを導入できるメリットがあるからです。また、すでに他のSaaSでMFAを利用している場合には、シングルサインオンで一元的に管理できるようになり、全体的なセキュリティ向上も期待できます。

 

シングルサインオンは、ユーザーの利便性向上や管理者の管理負担軽減にも大きな効果が期待でき、業務で利用するシステム全般のセキュリティ向上と併せて、業務の効率化にもつながります。

 

◇セキュリティキー（U2F、WebAuthn）

Salesforceへ直接アクセスしている場合の対応方法は、4つあります。そのうちの一つがセキュリティキー（U2F）であり、パスワードに加えて物理的な鍵を所有することでMFAを実現する方式です。

 

セキュリティキーはUSBメモリのような形状で、物理的な鍵としてSalesforceへのログイン時に利用します。FIDO U2FやFIDO2に対応したセキュリティキー（U2FまたはWebAuthnに対応したもの）であれば、どのような製品でも利用可能です。

利用する際には、最初に管理者が、ユーザー認証にセキュリティキー（U2F、WebAuthn）を利用する設定を行なう必要があります。その後、各ユーザーは初回ログイン時にセキュリティキーを登録し、以後はパスワードと併せてセキュリティキーを利用するデバイスに差し込むことで、ログインできるようになります。

セキュリティキーはユーザーがスマートフォンを所有していない場合や、スマートフォンを含む、モバイルデバイスなどの使用が許可されていない場所などでの利用に最適でしょう。バッテリーが不要であり、認証にかかる時間も少なく使いやすい点が特徴です。

 

◇Salesforce Authenticator

Salesforceへ直接アクセスする場合の対応方法の2つ目は、スマートフォンアプリを利用したSalesforce Authenticatorです。Salesforce AuthenticatorはAndroidとiOSの両方に対応しており、Salesforceへのログイン時に、アプリにプッシュ通知を送信して本人確認を行ないます。

 

各ユーザーは、手持ちのスマートフォンにSalesforce Authenticatorをインストールし、事前に設定しておくことで、ログイン時にスマートフォンからアクセスの許可・拒否を行ないます。

 

もしも、自分以外の誰かが自分のアカウントでログインしようとしても、スマートフォンから拒否することで不正アクセス防止が可能です。MFAは認証の手順が増えてしまう点が欠点の一つですが、Salesforce Authenticatorはユーザーのスマートフォンをそのまま利用できるため、大きく手間が増えることがありません。

 

◇サードパーティ認証アプリケーション

Salesforceへ直接アクセスする場合の3つ目の対応方法は、サードパーティ認証アプリケーションを利用する方法です。Salesforce Authenticatorと同じように、各ユーザーのスマートフォンを利用する点は同じですが、利用するアプリケーションが異なります。
 

有名な認証アプリケーションとしては、Google AuthenticatorやMicrosoft Authenticatorが挙げられます。SalesforceのMFA必須化要件を満たすためには、RFC－6238規格に準拠した認証アプリケーションであれば問題ありません。
 

すでにGoogle Authenticatorなどを利用しており、別途Salesforce Authenticatorを導入したくない場合などに選択するとよいでしょう。

 

◇組み込み認証（Windows Hello、Touch ID、Face IDなど）

Salesforceへ直接アクセスする場合における対応方法の4つ目は、組み込み認証を利用する方法です。組み込み認証とは、おもにデバイスに組み込まれた生体認証サービスを用いる方式です。Salesforceでは、Windows Hello、Touch ID、Face IDなどが利用できます。 
 

・Windows Hello：Windowsにログインする際に用いる生体認証機能を提供する機能 

・Touch ID：iPhoneなどに搭載されている指紋認証機能 

・Face ID：iPhoneなどに搭載されている顔認証機能 
 

これらの組み込み認証を用いる際には、デバイスやOS、ブラウザがFIDO2をサポートしている必要があります。比較的新しいデバイス・環境であれば対応済みであることが多く、別途アプリケーションは不要なため、使い勝手が良い点が大きなメリットです。

 

■まとめ

2022年2月からSalesforceは、MFA（多要素認証）を必須化しました。その背景としては、働き方の変化によるセキュリティ対策の強化、不正アクセスの防止が理由として挙げられます。
 

SalesforceのMFA必須化要件を満たすためには、5つの対応方式が挙げられます。
 

・シングルサインオン（SSO）

・セキュリティキー（U2F、WebAuthn）

・Salesforce Authenticator

・サードパーティ認証アプリケーション

・組み込み認証（Windows Hello、Touch ID、Face IDなど） 

 

このなかでも、シングルサインオンは各ユーザーの対応も少なく、Salesforceだけでなく業務で利用するシステム全体のセキュリティ向上にも役立てられます。今後多くのSaaSでMFAが必須化されることが予測され、シングルサインオンの重要性も高まります。この機会にシングルサインオンを導入していない場合には、導入を検討してみてはいかがでしょうか。