S.B.S. Salesforce技術ブログ

教えて921さん!

多要素認証(MFA : Multi Factor Authentication)利用の必須化について

こんにちは、141です。今回は、Salesforceのログイン時に必須化される多要素認証について解説していきます。 全Salesforceユーザーに関わる内容のため、頑張って情報収集中です・・・。来年の適用必須化を前にリサーチした情報を順次アップデートしていきますね!
最新情報やニッチな質問をしたい方は、多要素認証のコミュニティ(日本)がありますので、そちらに登録して情報を収集してみてください。 こちら → Group Detail | Salesforce Trailblazer Community

まずは用語解説…

MFAとは

Multi Factor Authentication(多要素認証)の略。
Webサービスへのログイン時に、ID・パスワードに加え、 スマートフォンアプリやワンタイムパスワード、USBキーなどの物理デバイス等を使って ユーザ認証(本人確認)を行う方法です。

Salesforceにはいつ適用される?

契約上は2022年2月1日以降に必要となり、2022年9月に自動適用、2023年5月に強制適用と発表されています。

詳しくはこちら → Help And Training Community
多要素認証になれば、ログインするまでに時間がかかるので、少し面倒に感じますが
複数要素の組み合わせで認証を行うため、万が一、ID・パスワードが漏洩しても
不正なアクセスを防止することができます。
例えば、スマホの銀行アプリで振り込みを行う際に使われていたりしますね。

多要素認証は、以下要件のうち2つ以上満たせばよいとされています。
・知識情報(知っている要素 ・・・ユーザ名&パスワード等)
・所有情報(持っている要素1・・・スマホ等)← Salesforce Authenticatorはここ
・生体情報(持っている要素2・・・指紋等)

では、具体的にどのようにログインするのか例を見てみましょう。

MFA適用後のWebサービスへのアクセス例

(PCのブラウザからログインし、スマートフォンで承認するケース)
  ①ブラウザでログインID及びパスワードを入力する
  ②スマートフォンSalesforce Authenticatorが起動し、承認操作を行う。
  2つの認証の完了を持って、Webサービスにログインします(2要素認証)

f:id:sbsSF:20211018145259p:plain
例)認証の流れ

つまり、Salesforceとして推奨するのは赤枠の部分が追加されたスマホでのMFA認証となります。
f:id:sbsSF:20211115133455p:plain
推奨パターン

ですが、環境によっては、PCだけで、またはスマホだけでMFA認証を完結したい場合がありますよね。同一端末での操作になり、セキュリティ強度は低下しますが、以下のパターンも選択する場合もあります。
f:id:sbsSF:20211115133853p:plain
PCまたはスマホで完結するパターン

Salesforce公式の資料にはMAF認証のパターンが以下のようにまとめられています。
表1
f:id:sbsSF:20211115134356p:plain
MFA認証パターン一覧

注意事項まとめ

同一端末でSalesforceへログイン、承認操作する場合は、端末自体が盗難または乗っ取られていた場合に1つの端末内で認証ができてしまうので、扱う情報の種類によってはお勧めできません。個人情報を含む機密情報を扱う場合は、別端末でのMFA認証をすべきでしょう。費用がかけられるのであれば、USBを使った認証方法もありますので、利用状況に応じて検討してもよいでしょう。

ちなみに、モバイルアプリでのSalesforceログインについては公式には以下の情報が出ています。
Salesforce多要素認証に関するFAQ
https://help.salesforce.com/s/articleView?id=000352937&type=1
<抜粋>
SalesforceモバイルおよびデスクトップアプリケーションへのログインはMFA要件に含まれていますか? →はい。ユーザーインターフェイスログインを介してアクセスされるすべてのSalesforceモバイルおよびデスクトップアプリケーションは、MFA要件に含まれています。これには、Salesforce Mobile App、Marketing Cloudモバイルアプリ、SalesforceA、Salesforce Inbox、QuipGmail™およびOutlook®との統合が含まれます。その後のアプリの使用は、多くの場合、新しいログインを必要とせずに、API呼び出しを介したトークン交換で処理されることに注意してください。

つまり!
最初にSalesforceモバイルで多要素認証をしておけば、普段アプリでログインするときに多要素認証の手続きは不要、ということです。もちろんアプリで意図的にログアウトしない限り、ですが。現状、一度アプリでログインしていれば、次にSalesforceアプリを起動したときにログインは求められていないはずです。ログアウトやアンインストールをしない限りは使用感は変わらない、ということですね。一安心・・・。とはいえ、最初はMFA検証が各ユーザーで必要になりますので、基本的にモバイルを普段使用している方は運用開始時になんらかの形で多要素認証を済ませておかなければなりません。

システム管理者向け情報

ご参考:セールスフォーム・ドットコム社から発表されているMFA関連情報
■【Salesforce】20211116.
MFA(多要素認証)特設ページ公開中
successjp.salesforce.com

■【Salesforce】20200828.
『より安全に Salesforceへアクセスするための 「多要素認証」の設定』
※2020年8月28日にセールスフォーム・ドットコム社にて実施されたセミナー動画です。
salesforce.vidyard.com
■【Salesforce】多要素認証のシステム管理者ガイド
https://www.salesforce.com/content/dam/web/en_us/www/documents/white-papers/2fa-admin-rollout-guide-ja.pdfwww.salesforce.com ※多要素認証についての説明や実装、導入方法についてのスライド資料です。
※ MFA有効化後のユーザーの登録やログイン手段については、上記クイックガイドのP.21〜P.23 を参照

■【SalesforceSalesforce 多要素認証に関する FAQ(MFAに関するFAQが一覧)
help.salesforce.com
■トレイルヘッド
trailhead.salesforce.com
■MFA(多要素認証)設定マニュアルのダウンロード
以下からMFA設定の手順書がダウンロードできます! customersuccessjp.salesforce.com