株式会社セールスフォース・ジャパンは2022年2月1日より、Salesforce製品にアクセスするすべてのお客様にMFA(Multi-Factor Authentication)の使用を義務付けています。パスワード認証だけではセキュリティの安全を担保できないという流れがあるからです。Salesforceでの「MFA」が多要素認証を指します。
DX推進においても、セキュリティ対策は非常に重要です。本記事では、MFA(多要素認証)とSalesforce Authenticatorの基本知識について解説します。
目次
多要素認証(MFA)とは?
多要素認証は、Multi-Factor Authenticationの頭文字をとってMFAとも呼ばれています。令和4年に金融機関の認証へ多要素認証の利用が義務付けられたため、ネットバンキングなどで利用している人も多いのではないでしょうか。
(参考)金融庁:昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について
多要素認証は、認証の3要素である「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせて認証することを指します。
「知識情報」:パスワードやPINコード、秘密の質問などが挙げられます。
「所持情報」:携帯電話やハードウェアトークン、ICカードなどが挙げられます。
「生体情報」:指紋や静脈、声紋などが挙げられます。
多要素認証(MFA)が重要な理由
最近では多要素認証が非常に注目されています。理由としては、不正アクセスやなりすましを防ぐ手段として、知識情報であるパスワードよりも優れた手段だと考えられているためです。
具体的には、個人情報の漏洩やハッキングによるシステムからのパスワード流出があったとき、パスワードとPINコードの2つが漏洩したとします。この場合はいずれも知識情報のため、セキュリティを突破されやすく、ハッカーの被害を受ける可能性が格段に上がってしまいます。
しかし、多要素認証を利用すると、「知識情報」「所持情報」「生体情報」のうち2つ以上を認証する必要があるので、ハッキングの被害リスクを抑えることができるのです。
多要素認証(MFA)、2要素認証 (2FA) 、二段階認証の違い
多要素認証と二要素認証、二段階認証の違いについて解説します。 繰り返しになりますが、多要素認証は「知識情報」「所持情報」「生体情報」の要素のうち2つ以上を組み合わせて利用した本人認証の方法です。このうち2要素認証は「知識情報」「所持情報」「生体情報」のうち異なる要素2つを利用した本人認証のことで、多要素認証の一部だと言えるでしょう。
これに対して二段階認証は、認証の段階が2段階であるものの、要素の組み合わせは問わない本人認証です。例えば、ID・パスワードでログインを行った後に、秘密の質問に回答する認証方法が二段階認証と言えます。パスワードと秘密の質問はどちらも知識情報です。サイバー攻撃を受けたときに、この2つの知識要素どちらも流出する可能性があるので、認証回数が多ければ安全とは言い切れません。
「2要素認証」と「2段階認証」を同じものととらえる人がいますが、上記のとおりこの2つは異なるものということを認識しておきましょう。2段階認証は、フィッシング詐欺に対応できずセキュリティリスクが高まる、ユーザーの認証の手間がかかるため業務効率が下がる、コストがかかるなど課題が多いため、近年では他の認証方法が望ましいと考えられています。
Salesforce Authenticatorとは?基本知識を解説
Salesforce Authenticatorは、スマートフォンやタブレットなどのモバイル端末を認証機器として利用し、連携認証するMFAのひとつです。
Salesforce組織やテナントで使用できるモバイルアプリケーションを指し、オンラインアカウントでもセキュリティを担保することができます。
Salesforce Authenticatorでは、パスワードに加えてモバイルデバイスを使用して、ログインおよびその他のアカウントアクティビティを確認することも可能です。認証方法としては、アプリからのプッシュ通知に対してタップするだけなので、操作方法も明快です。
さらに、Salesforce Authenticatorではモバイルデバイスの位置情報サービスを使用して、オフィスや自宅などの信頼できる場所から自動的に本人確認を行うことができます。
Sales Cloud、Service Cloud、Marketing Cloud(ExactTarget)、App Cloud、Analytics Cloudと連携可能なアプリケーションです。
多要素認証用の権限セットの作成
多要素認証用の権限セットを作成しましょう。「システム権限」から「ユーザインタフェースログインの多要素認証」権限にチェックを入れ、「割り当てを管理」からユーザを設定することで権限セットを割り振ることができます。
Salesforce Authenticatorのインストール手順
Salesforce Authenticatorの入手は以下の手順で行います。
1.Salesforce Authenticatorのアプリケーションを入手(ダウンロード)
スマートフォンなどのモバイルデバイスに「Salesforce Authenticator」をインストールしましょう。iPhoneはApp Store、AndroidはGoogle Play ストアから入手してください。
iPhone:https://apps.apple.com/jp/app/salesforce-authenticator/id782057975
Google Play:https://play.google.com/store/apps/details?id=com.salesforce.authenticator&hl=ja&gl=US
- Salesforce Authenticatorをモバイルデバイスにインストール
インストールを完了しましたら、「Salesforce Authenticator」を開き、携帯電話番号認証とSalesforceアカウントの追加設定を行いましょう。 その後は、下記の手順で設定をしていきます。
①「個人設定」を開き、「クイック検索」のフォームに「高度なユーザの詳細」を入力し、「高度なユーザの詳細」を選ぶ
②「高度なユーザの詳細」がない場合は「クイック検索」のフォームに「個人情報」と入力し、「個人情報」を選ぶ
③「アプリケーション登録:Salesforce Authenticator」の項目を探し、「接続」を選択
④この段階で、セキュリティ上の理由からSalesforce側より、アカウントの再ログインもしくはメールアドレス経由かテキストメッセージでの二段階認証を求められることがあります。二段階認証では、必要に応じて対応します、。
⑤モバイルデバイスにインストールしたSalesforce Authenticatorを起動。初めてアプリを起動した場合、アプリの使い方・機能のツアーが開始されます。ツアーはスキップしても最後まで閲覧しても問題ありません。
⑥(アプリの使い方ツアーを閲覧 or スキップ)アカウント追加へ移動し、Salesforce Authenticatorアプリで「アカウントを追加」を選択。一意の2語の語句が生成されるので、パソコンのSalesforce画面の2語の語句の項目にチェックした語句を入力
⑦「接続」を選択。モバイルデバイス上でSalesforce Authenticatorアプリに接続中のSalesforceアカウント情報が表示されたらアプリ内の「接続」を選択
⑧接続が完了
設定が完了すれば、Salesforceにログインしたときに、Salesforce Authenticatorにプッシュ通知が飛びます。そして、「Salesforceにログイン」をタップするだけでログインが完了します。
参考:Salesforce Authenticator への Salesforce アカウントの接続
SalesforceのMFA(多要素認証)の4つの対応方式
Salesforceは2022年2月から多要素認証を必須化しています。 次に挙げる4つ対応方式のいずれかを実施することで、多要素認証必須化要件を満たすことができます。
- SSO(シングルサインオン)
- U2F(セキュリティキー)
- Salesforce Authenticator
- サードパーティ認証アプリケーション
ひとつずつ解説します。
SSO(シングルサインオン)
シングルサインオンを利用してSalesforceにログインしている場合は、特に何か追加で対応する必要はありません。
シングルサインオン(Single Sign On)とは、1度のユーザー認証によって複数のシステムの利用が可能になる仕組みのことです。システムやアプリケーションを利用する際には、通常利用者を特定するためにユーザー認証が行われます。多くの場合、ユーザー認証はシステムごとに行われますが、シングルサインオンを利用すれば、一度のユーザー認証で複数のシステムを利用することが可能になります。
Salesforceに限らずSaaSサービスを利用しているのであれば、シングルサインオンで一元管理が可能となるので、全体的なセキュリティ向上も期待できます。
たとえば、組織にアクセスするユーザを認証するIDプロバイダとしてGoogleを設定することができます。
シングルサインオンの具体的な設定方法などは、Salesforceのヘルプページに記載されているので、参考にしてみてください。
参考>> https://help.salesforce.com/s/articleView?id=sf.sso_about.htm&type=5
U2F(セキュリティキー)
Salesforceへログインするときに、パスワードに加えて物理的な鍵を所有することでMFA要件を満たすこともできます。
U2F(セキュリティキー)はUSBメモリのような形状で、FIDO U2Fに対応したセキュリティキーならどの製品でも利用可能です。
管理者がユーザー認証にセキュリティキーを利用する設定を行う必要がありますが、その設定が完了すれば、パスワード入力と合わせてセキュリティキーを使用デバイスに差し込むことでログインできるようになります。
セキュリティキーは、スマートフォンなどのモバイルデバイスが禁止されている場合や、スマートフォンを所持していない場合での利用に適しています。
Salesforce Authenticator
今回のテーマであるSalesforce Authenticatorを利用するという方法もMFA要件を満たすための対応方式です。
自分以外の人がSalesforceにログインしようとした場合にも、アプリをインストールしている端末にプッシュ通知が来るので拒否することで不正アクセスを防止することができます。
最近では、ほとんどの人がスマートフォンを所持しているので、大きく手間が増えるといったことがないのがメリットと言えるでしょう。
サードパーティ認証アプリケーション
Salesforce Authenticator以外のサードパーティ認証アプリケーションを利用するのも。MFA要件を満たすための対応方式です。 有名なアプリケーションとしては次のものが挙げられます。
- Google Authenticator
- Microsoft Authenticator
- RFC-6238規格に準拠した認証アプリケーションであれば、MFA要件を満たすことができるので、会社ですでにGoogle Authenticatorを導入している場合などにこの対応方式を選択しましょう。
Salesforce Authenticatorの導入の際の注意点
Salesforce Authenticatorの入手は簡単にできますが、一部環境では利用要件を満たせず使えないこともあるようです。
デバイスやブラウザが対応しておらず動作しないケースがある
手元のモバイルデバイス、iPhoneまたはAndroidどちらでもSalesforce Authenticatorのアプリを入手できると紹介しました。ただし、端末の機種によっては、利用ができないことが考えられます。たとえば対応していない古い機種である場合や、ブラウザのバージョンが対応していないなどです。
オペレーションシステムと連携できないケースがある
端末の機種やバージョンによってはまれに連携がうまくできないケースがあるようです。事前にインストールする端末が対応しているか確認しましょう。
インターネットの通信環境が適合しないケースがある
使用するデバイスや、デバイスとオペレーションシステムの連携の問題以外にも、インターネット通信環境も要件を満たしているか確認が必要です。通信環境が悪い場合、自動接続と検証ができずログインができなくなることがあります。
ただし、Salesforce Authenticatorは確認コードがワンタイムパスワード方式のため、通信環境が悪くオフライン状態になっていても、アカウントへのログインができるようになっています。ワンタイムパスワードの設定についても確認しておきましょう。
まとめ
2022年2月から、SalesforceはMFAを必須化しています。Salesforce Authenticatorをインストールする以外にも、対応できる方法はあるので、もしまだ設定していないのであれば、至急対応するようにしましょう。
【こんな記事も読まれています】
・【会員限定動画】サプライウェブで実現するマスカスタマイゼーション時代の企業戦略
・製造業における購買・調達業務とは?課題の解決方法も紹介
・ビジネスや技術のトレンドに反応しながら進化を続けるCRMの事例を紹介