SalesforceのMFA（多要素認証）必須化対応

必須となったSalesforce MFAの対応はお済みですか？

世界最大の顧客管理（CRM）ソリューション「Salesforce（セールスフォース）」は、2022年2月に多要素認証（MFA）の使用が必須となりました。不正アクセスの脅威が増加の一途をたどる中で、ID・パスワードだけに頼ったセキュリティではなく、２つ以上の要素を組み合わせた認証強化することにより、顧客企業の重要な情報を守ることが狙いです。

SalesforceがMFA（多要素認証）を必須とする理由

Salesforce（セールスフォース）は、クラウドコンピューティング・サービスのセールスフォース・ドットコム（米国・カリフォルニア州）が提供するクラウドベースの顧客管理ソフトウェアソリューションです。営業やサービス、マーケティング、コラボレーション、分析、カスタムモバイルアプリケーションの開発などに活用できるツールで、日本を含めた世界の企業でユーザーが増えています。

中堅・中小企業から大手企業まで、多数の企業が導入しているSalesforceは、2022年2月に多要素認証（MFA）を必須化しました。
※多要素認証について詳しく知りたい方はこちら。
顧客のデータ保護に取り組むSalesforceは、以下の見解を公開しました。

「Salesforce がMFAを必須とする理由:
MFAは、ログイン時にユーザが2つ以上の身元証明の証拠（または要素）を提供する必要がある、安全性の高い認証方法です。1つの要素として、ユーザが知っていること（ユーザ名とパスワードの組み合わせなど）があります。もう1つの要素は、認証アプリケーションやセキュリティキーなど、ユーザの手元にある認証方式です。複数の種類の要素を繋ぎ合わせることで、MFAにはフィッシング攻撃やアカウント乗っ取りなどの脅威が成功するハードルを上げる効果があります。

脅威の状況は常に変化しており、企業の業務を停止させたり、消費者のセキュリティ上の弱点をつくような攻撃は増加の一途をたどっています。リモートワーク環境のサポートに移行する企業が増えるにつれて、セキュリティ対策を強化することがこれまで以上に重要になってきています。MFAは、ログインセキュリティを強化し、セキュリティ上の脅威からビジネスやデータを保護するための最も簡単で効果的な手段と言えます。」
※多要素認証 (MFA) への対応のお願い – Salesforce Helpより引用

Salesforceを活用する企業にとっては、MFA対応のトークンやセキュリティキーといったログイン時の認証強化が求められます。多くの企業は、不正アクセスなどのセキュリティ脅威からビジネスとデータを保護するため、ただちにMFA（多要素認証）の実装計画を始め、一刻も早く実装することが重要な課題です。

めまぐるしく変化する脅威に対応

アカウントの乗っ取りのほか、送信者を詐称した電子メールを送り付けて、電子メールやSMS、ウェブサイトなどにリンクを置き、リンクからフィッシングサイト（偽サイト）に誘導し重要な個人情報を盗み出すフィッシング攻撃や、ユーザーアカウント情報の流出を悪用して自動でさまざまなサービスに不正アクセスするクレデンシャルスタッフィング（パスワードリスト型）攻撃といった脅威が問題視されています。

MFA（多要素認証）は、これらの脅威から、ユーザーアカウントを守るための効果的な方法です。パスワードやPINコードなどの知識情報と、トークンやセキュリティキーなどの所持情報、指紋や静脈などの生体情報のうち、2つ以上を組み合わせて認証することでログイン時におけるセキュリティを強固にします。

私たちの身近にある典型的なMFA（多要素認証）のケースとして、銀行のATMがあります。ATM から現金を引き出す場合に、ユーザーが持っているキャッシュカード（所持情報）と、暗証番号（知識情報）を組み合わせることでセキュリティを強化しています。

Salesforceが推奨するMFA（多要素認証）方式は？

Salesforceは、SMSやメールによる二要素認証だけでは2022年2月から必須化されたMFA（多要素認証）に対応することはできないので、以下3つのの認証方式を推奨しています。

■Salesforce Authenticatorの利用
スマートフォンアプリを利用した方法がSalesforce Authenticatorです。Salesforce AuthenticatorはAndroidとiOSの両方に対応しており、Salesforceへのログイン時に、アプリにプッシュ通知を送信して本人確認をします。ユーザーはSalesforce Authenticatorをインストールして事前に設定することで、ログイン時にスマートフォンからアクセスの許可・拒否を行います。万が一、自分以外の誰かが自分のアカウントでログインを試みても、スマートフォンから拒否することで不正アクセスの防止が可能となります。Salesforce Authenticatorはユーザーのスマートフォンをそのまま利用できるため、大きな手間が発生することはありません。

■サードパーティ製TOTP認証アプリケーションの利用
サードパーティ製TOTP 認証アプリケーションはSalesforce Authenticatorと同じように、各ユーザーのスマートフォンを利用する点は同じですが、利用するアプリケーションが異なります。有名な認証アプリケーションとしては、Google AuthenticatorやMicrosoft Authenticatorがあります。SalesforceのMFA必須化要件を満たすためには、RFC－6238規格に準拠した認証アプリケーションが必要になります。

■セキュリティキーの利用
最後にセキュリティキーはユーザーが社用スマートフォンを貸与していない場合や、モバイルデバイスなどの使用が許可されていない職場などでの利用に最適です。セキュリティキーはUSBメモリのような形状で、物理的な鍵としてSalesforceへのログイン時に利用します。パスワードに加えて物理的な鍵を所有することでMFAを実現する方式です。ユーザーは初回ログイン時にセキュリティキーを登録し、以後はパスワードと併せてセキュリティキーを利用するデバイスに差し込むことで、簡単にログインできるようになります。バッテリーが不要であり、認証にかかる時間も少なく使いやすい点が特徴です。

■SalesforceのMFA（多要素認証）に対応製品
・FIDOセキュリティキー