Salesforceにおける多要素認証とは

多要素認証（MFA、Multi-Factor Authenticationの略）は、ユーザアカウントの保護を強化するセキュリティ手法です。

フィッシング攻撃、クレデンシャルスタッフィング、アカウント乗っ取りなど、インターネット上に流出したIDとパスワードを利用する脅威に効果的と言われています。

Salesforceでは、すべてのユーザログインに多要素認証を設定して組織全体のセキュリティを強化するほか、レポート表示や接続アプリケーションへのアクセスなど、特定の条件を満たした場合に多要素認証を求めるようにもできます。

多要素認証（MFA） の特長

ユーザ名とパスワードだけのセキュリティは、フィッシング攻撃などの多様化、複雑化する脅威に対して、もはや脆弱と言わざるを得ません。検証方法を増加してアカウントへの不正アクセスを防止する多要素認証は、Salesforce上のデータ保護に効果的な方法です。

多要素認証におけるログインでは、従来と同じユーザ名とパスワードの組み合わせに加えて、認証アプリケーションや U2F (Universal Second Factor) セキュリティキーなどの検証方法を用いた要素により、認証されます。

Salesforceでは、システム管理者の権限またはプロファイル設定で多要素認証を有効化し、ユーザが個人設定から検証方法を登録します。

多要素認証（MFA） と2要素認証（2FA） の違い

多要素認証（MFA） と2要素認証（2FA）いずれも、 ID を証明する複数の認証要素の提供をユーザに要求し、第三者による不正アクセスから保護します。

両者の違いは、各々の名称が示す通りログインに必要な要素の数です。2 つの要素だけを要求する 2要素認証は、多要素認証の一部に含まれます。

2 つ以上の要素を要求する多要素認証では、さまざまな認証メカニズムを組み合わせることができ、よりセキュリティ強度が高くなります。

Salesforceで多要素認証の要件が必須条件となるのはいつから？

2022 年2月1日から、すべてのSalesforce 製品へのログインに多要素認証を使用することが必須条件となります。これにはパートナーソリューションも含まれます。

多要素認証の機能は、Salesforce製品ですでに提供されており、無償で使用できます。 必須化する期限もありますが、セキュリティ強化のため、多要素認証の実装をできるだけ早く進めることが推奨されています。

Salesforce ユーザに対して多要素認証を有効化するには、Salesforce 製品で直接有効にするか、SSO プロバイダの MFA サービスを使用する方法があります。

Salsesforceの多要素認証のしくみと種類

多要素認証では従来のプロセスに手順が追加され、以下の手順でログインするようになります。

①従来の手順で、ユーザ名とパスワードを入力する。
②登録した検証方法のいずれかで提供された要素を入力する。

Salesforceでは、2つめの要素の検証方法について、Salesforce Authenticator、サードパーティの TOTP 認証アプリケーション、セキュリティキーをサポートしています。

ユーザは、これらの検証方法から選択して個人設定に登録します。すべてを登録することもできます。デバイスの紛失や故障に備えて、複数の検証方法を登録することが推奨されています。

Salesforce Authenticator

多要素認証の検証方法としてSalesforceが提供する、無料のモバイルアプリケーションです。ログインのプロセスにシームレスに統合されるため、プッシュ通知による ID をすばやく検証できます。

サードパーティの TOTP 認証アプリケーション

Google Authenticator、Microsoft Authenticator、Authy など、サードパーティが提供する認証アプリケーションも検証方法として使用できます。

認証アプリケーションが、ユーザが入力する一意の仮の確認コードを生成します。このコードは「時間ベースのワンタイムパスワード」を略してTOTPと呼ばれます。

セキュリティキー

U2F（FIDO Universal Second Factor）もしくは WebAuthn をサポートするセキュリティキーで、小型の物理トークンです。

Saelesforoceでは、YubiKey(Yubico)、Titan セキュリティキー(Google)など、U2F 標準とWebAuthnとの互換性が持つセキュリティキーをサポートしています。

コンピュータに接続し、セキュリティキーのボタンを押すだけで ID を検証できるため、3つの検証方法の中でもっとも迅速かつ簡単にログインできます。

Salsesforceの多要素認証を有効化する手順

ここではここでは、Salsesforceで多要素認証を有効化する手順を説明します。Salesforce ユーザアカウントを作成し、そのアカウントで多要素認証を有効にする流れになります。

1、 【確認】セッションセキュリティレベルが多要素認証に設定されているか

アカウント作成の前に、多要素認証にセッションセキュリティレベルが設定されていることを確認します。

ほとんどの環境で多要素認証の設定がすでに適用されていますが、システム管理者ユーザの多要素認証（MFA）の要件を設定する前に、この設定を行わないとシステム管理者がログインできなくなるため、必ず確認しましょう。

①[セッションの設定] を選択する。
[設定] 　＞　[クイック検索] ボックス　＞　「セッションの設定」と入力

②[セッションセキュリティレベル] で、多要素認証が [高保証] カテゴリであることを確認する。

2、ユーザアカウントを作成する

続いて、ユーザアカウントを作成します。

①[新規ユーザ] を開き、以下の項目を入力する。
[設定] ＞　[クイック検索] ボックスに「ユーザ」と入力　＞[ユーザ] を選択

[氏名]　ユーザの氏名を入力する。
[メール]　Salesforceからのユーザ通知を受信するメールアドレスを入力する。
[ユーザ名] メールアドレス形式の一意のユーザ名を作成する。
[ニックネーム]　割り当てられたニックネームを編集するかそのまま使用する。
[ユーザライセンス] 　[Salesforce Platform] を選択する。
[プロファイル] 　 [標準 Platform ユーザ] を選択する。

②[パスワードをリセットしてユーザに通知する] 　選択されていることを確認する。

③Salesforce からの新規ユーザに関するメールを確認する。

④[保存] をクリックする。

⑤メール送信されたパスワードを設定するためのリンクからログインし、新しいパスワードを設定する。

3、多要素認証の権限セットを作成する

ユーザ権限を割り当てるには、プロファイルを編集する方法と特定のユーザに割り当てる権限セットを作成する方法があります。ここでは、権限セットを作成する方法を紹介します。

①システム管理者としてログインし、[権限セット]の新規を選択する。
[設定]＞[クイック検索] ボックスに「権限」と入力＞　[権限セット] ＞　[新規] をクリック

②権限セットに任意の名前で表示ラベルを付ける。

③[保存] をクリックする。

④[システム権限] をクリックして権限セットの詳細ページを開き、[編集]をクリックする。
[システム]　＞ [システム権限] ＞ [編集]

⑤[ユーザインターフェースログインの多要素認証] にチェックを入れる。

⑥[保存] をクリックする。

⑦再度 [保存] をクリックして権限が変更されていることを確認する。

4、権限セットをユーザに割り当てる

作成した権限セットを新規作成したユーザアカウントに割り当てます。多要素認証を組織全体に導入する準備ができたら、この権限セットを他のユーザにも割り当てることができます。

①前項で作成した権限セットの詳細ページで、[割り当てを追加] をクリックする。
[システム]　＞ [システム権限] ＞ [割り当ての管理]＞[割り当てを追加]

②ユーザのリストから、権限セットを割り当てるユーザのチェックボックスをオンにする。
※一度に1,000 人までのユーザに割り当てることができます。

③[割り当て] をクリックする。

これで、このユーザの多要素認証が有効になりました。このユーザが次回ログインする際に、ユーザ名とパスワード以外の第2要素となる検証方法の入力を案内するメッセージが表示されます。

多要素認証でより安全にSalesforceを使用する

多要素認証の導入により、Salesforce上のデータをより安全に活用できるようになります。

2022年2月1日以降すべてのSalesforce製品へのログインに多要素認証が必須となることが発表されました。Salesforceでは、データ保護のために早いタイミングでの導入を推奨しています。

多要素認証をスムーズに導入するため、使用できる検証方法や設定方法について知っておきましょう。