Salesforceにおける多要素認証（MFA）の対応方法について

2022.03.31

「Salesforceのログインは、多要素認証しなければいけないの？」

Salesforceは、コロナや多様な働き方など近年の社会事情により導入する企業も増えてきています。導入する企業が増える中、組織のメンバーもテレワークなどで、多種多様な場所やデバイスからアクセスしている状況です。そのため、データ保護の機密性を高める動きは、欠かせない取り組みとなるでしょう。

Salesforceでは、多要素認証への対応を推進しています。多要素認証とは、どのような認証形式なのでしょうか？今回の記事では、Salesforceの多要素認証について、概要や設定方法、注意点などを解説します。Salesforceの導入を検討している担当者は、セキュリティ面における判断材料となるでしょう。

多要素認証とは

多要素認証とは、MFA（Multi-Factor Authentication）と呼ばれ複数の認証手段を駆使して「なりすまし行為」を防ぐ本人確認方式です。ユーザがログインする際に、本人確認方式を複数の要素を絡めて認証します。

MFAは、以下のWebの脅威からユーザアカウントを保護する目的です。

フィッシング詐欺

パスワードリスト型攻撃（自動不正アクセス実行）

アカウント乗っ取り

上記のWebの脅威への対策として、複数認証が必要になります。本人を証明するための認証は、2つ以上の組み合わせです。

多要素認証への対応を求められる背景

多要素認証への対応は、Salesforceより2021年4月に告知されていました。Salesforceでは、利用ユーザに最高水準のセキュリティを提供することを目的として、2022年2月1日より実施されます。Salesforceの利用では、MFAが必須の認証方式になるでしょう。

Salesforceは、個人データを扱うツールとなるためWeb上の脅威への対策が不可欠です。脅威は、常に変容しており、企業単位で展開するSalesforceが標的となる状況も少なくありません。とくに、昨今の世界的なリモートワークの増加では、従来以上にセキュリティ強化が必須となってきました。MFAは、時代の流れとともに必要不可欠な認証方式となります。

データ参照：https://help.salesforce.com/s/articleView?id=000356005&type=1

必須化

多要素認証（MFA）への対応は、必須化された取り組みです。そのため、Salesforce管理者やユーザは、追加料金不要で利用できます。Salesforce製品にUI（ユーザインターフェース）経由でログインする内部ユーザすべてがMFAへ移行が必須です。

MFAの仕組み

MFAの仕組みは、2つ以上の認証要素を使った本人証明を実行する認証システムとなります。基本となる認証は、ユーザ名とパスワードです。ユーザ自らが設定した認証要素であることが必要となります。

2つ目からの認証要素は、以下の要素が設定可能です。

生体認証（本人だけが持つ物理的な認証対象：指紋・虹彩・顔など）

認証用のアプリケーション

セキュリティキーの発行

検証方法は、ユーザの環境にあわせて、モバイルデバイス向けやデスクトップ向けなど選択できます。さらに、
MFA対象の製品へのログイン状況を監視できるダッシュボードやレポートのチェックが可能です。MFAは、多要素認証となるため、検証方法を紛失してしまうことも考えられます。その場合は、仮の検証コードの発行が可能です。

MFAの検証方法の仕組み

MFAの検証方法は、先述したように第1段階でユーザ名とパスワードを入力して本人確認から始めます。第2段階からの検証方法の仕組みは、Salesforce製品にあわせて3つの検証の仕組みが利用可能です。

Salesforce Authenticatorモバイルアプリケーション：無料の高速アプリ認証
サードパーティ認証アプリケーション：OATH時間ベースのワンタイムパスコード入力認証
セキュリティキー：小型の物理デバイス
組み込みAuthenticator：指紋・虹彩・顔・生体認証リーダーなどの利用

多要素認証の設定

多要素認証の設定は、どのように実行するのでしょうか？MFAを有効にする場合は、それぞれのSalesforce製品で有効化設定が可能です。MFAへの切り替えが2022年2月1日となっていますが、前倒しで対応への変更が可能となっています。既に有効化できるSalesforce製品は、以下のとおりです。

Sales Cloud

Service Cloud

Analytics Cloud

B2B Commerce Cloud

Experience Cloud

Consumer Goods Cloud

Education Cloud

Financial Services Cloud

Glovernment Cloud

Health Cloud-Audience Studio

Marketing Cloud

Account Engagement（旧Pardot）

Platform

Salesforce Essentials

Salesforce Field Service

B2C Commerce Cloud

Marketing Cloud-Email Studio

Mobile Studio

Journey Builder

MuleSoft Anypoint Platform

Quip

MFAのセキュリティキー

MFAの多要素認証で扱うセキュリティキーは、Salesforce製品のログイン時に利用する小型の物理デバイスとなります。MFAのセキュリティキーは、インストールの手間がありません。また、送られてくるキーコードを手動で入力して認証する必要もないことが特徴です。

MFAのセキュリティキーは、ユーザIDとパスワードの入力後に、製品よりセキュリティキー接続を案内されて表示されたキー上のボタンをプッシュするだけのワンクリック認証となります。

セキュリティキーは、コンピュータデバイスに接続が必要です。物理的なデバイス経由の認証となるため、出向先の外部オフィスのコンピュータや外手先で電話が利用できないときに便利な認証方法となります。

参考データ：https://www.salesforce.com/content/dam/web/en_us/www/documents/guides/mfa-quick-admin-guide.pdf

MFAと2FAは違う

多要素認証のMFAと間違えてしまいがちな認証方式が2FAです。2FAとは、2段階認証の仕組みとなります。2FAは、すでにWeb上で浸透されており金融関係などで積極的に活用される認証形式です。MFAとの違いは、認証要素の数になります。2FAは、2要素まで組み合わせた認証形式です。MFAは、多要素認証のため2つ以上の複数要素でセキュリティを強化できます。

2FA認証のみでは、2段階目の認証方法に不満を持つユーザへの対応ができません。そのため、MFAの多要素認証による2段階目以降を選択できる仕組みはユーザビリティへの取り組みとなるでしょう。

多要素認証を設定するうえでの注意点

多要素認証では、設定するうえで注意することがあります。

多要素認証でメールやSMS（ショートメッセージ）、電話は利用できない

MFAは、多要素認証にメールやSMS（ショートメッセージ）、電話連絡を指定できません。その理由は、悪意を持ったユーザにとって、メールアカウントや電話番号を乗っ取った侵入の方が簡単な点ではないでしょうか。

そのため、メールアドレスや電話番号からの侵入は、通話内容やテキストメッセージなどが盗まれやすいた、MFAの要素に組み込まれていません。ただし、顧客やパートナー企業とのやり取りが発生するExperience Cloudサービスの利用では、例外でSMSを認証手段に選択できます。

MFA採用後のユーザの使用状況を監視する

MFAを採用し始めて放置してしまうと、認証方法に対して利便性や問題点など確認ができません。MFAには、ユーザフィードバックとなるレポートの収集ができます。セキュリティに対して、ユーザはさまざまな見解を持っているため、多要素認証を使ったうえでのフィードバックのチェックが重要です。

フィードバックを集めることで、認証方式に対してのユーザの感想や問題点が浮き彫りとなります。具体的には、定期的なフィードバックの実施となるアンケートなども効果的です。

また、MFAではMFA利用状況を監視できます。ユーザが認証方式に対して不具合を生じてヘルプデスクを利用したり、ログインに数回失敗したりした記録が確認可能です。複数のユーザが参加する場合は、MFA利用状況のログの分析にもなるでしょう。

まとめ

今回は、Salesforceの多要素認証について解説してきました。MFAは、2段階認証の2FAと比較して、認証方式を選択できる点が特徴です。そのため、自社の求めるセキュリティ強度の調整も期待できます。今後も需要が高まる傾向となるリモートワークに向けて、MFAが追加されたSalesforce製品を安心して利用できる環境となるでしょう。