Salesforce 多要素認証の義務化による対応について

　

SalesforceのMFA必須化（義務化）の期限が近くなり、ArgusGWをご利用頂いているお客様からのお問合せが増えています。
今回は、改めてSalesforceの「MFAの必須化（義務化）」についてご案内します。

Argusサポート通信Vol.2、Argusサポート通信Vol.4にてお送りした　『私のドメインの有効化』、『MFAの必須化』とは？（最終更新日：2021.8.13 FRI）　の内容から最新情報を追加し、効率的に進めるために必要な情報を集めました。
必要に応じて、バックナンバーと併せてご参照ください。
 

【ご案内】 本記事には、お客様の運用に対して「～の検証手段を採用するべき」などの推奨はございません。 お客様の状況、要件に合わせて「どの認証手段を選択したら良いか」、「どのように進めたらよいか」、「必要な資料はどこにあるか」、といった課題解決のご参考になりましたら幸いです。

 

 

 MFAって何？

MFAとは、Multi-Factor Authentication の略で、日本語では「Multi＝多数の」、「Factor＝要素」、「Authentication＝認証」　から『多要素認証』と訳されます。

１）SalesforceがMFAを必須とする理由

MFA は、ログイン時にユーザが2つ以上の身元証明の証拠（または要素）を提供する必要がある、安全性の高い認証方法です。1つの要素として、ユーザが知っていること（ユーザ名とパスワードの組み合わせなど）があります。もう1つの要素 は、認証アプリケーションやセキュリティキーなど、ユーザの手元にある認証方式です。複数の種類の要素を繋ぎ合わせることで、MFAにはフィッシング攻撃やアカウント乗っ取りなどの脅威が成功するハードルを上げる効果があります。

脅威の状況は常に変化しており、企業の業務を停止させたり、消費者のセキュリティ上の弱点をつくような攻撃は増加の一途をたどっています。リモートワーク環境の サポートに移行する企業が増えるにつれて、セキュリティ対策を強化することがこれまで以上に重要になってきています。
MFAは、ログインセキュリティを強化し、セキュリティ上の脅威からビジネスやデータを保護するための最も簡単で効果的な手段と言えます。

►ご参考リンク：
　●　Salesforceブログ：　不正ログインを99.9％防止「多要素認証」の重要性
　●　Salesforceナレッジ：　多要素認証（MFA）への対応のお願い

２）対応期限

　●　対応期限：　2022年2月1日（火）
 

【ご案内】 2021年2月1日以降、Salesforceのすべてのお客様はSalesforce製品へのアクセスにMFAを使用することが契約によって義務付けられます。 期限までに要件を満たすことが難しい場合は、Salesforceか、Argusサポートデスクまでご相談ください。

３）MFA有効化後の影響

• フィッシング攻撃、クレデンシャルスタッフィング、アカウントの乗っ取りなど、一般的な脅威に対するユーザアカウントの保護を強化することができます。

►対応しなかった場合の影響：

• 一定期間中は、ユーザのログインがブロックされることはなく、MFAを使用していなくてもログインが可能です。
• ただし、期限までにMFAを使用しないと契約上の要件に準拠できなくなることに注意してください。

►Salesforceによる今後のMFAの適用について：

• 2021年秋～
  　MFAの　"自動有効化"　が製品毎に異なる日付で実施されます。
  • ログイン画面の〔スキップ〕を押下するとMFAを使用せずログインできます。
  • 管理者はMFAを「無効」にすることができます。
• 2022年2月～
  　MFAの　"強制適用"　が製品毎に異なる日付で実施されます。
  • 強制適用後はMFAを「無効」、「スキップ」することはできません。

►ご参考リンク：
　●　Salesforceナレッジ：　多要素認証（MFA）適用ロードマップ

 MFAの対応期限までにやるべき５ステップ

対応期限までに、どのような順番で何をしたら良いか？どの資料を読めば良いか？　など、
お困りの方もいらっしゃるのではないでしょうか。

MFAの対応を進めるにあたっては、Salesforceサクセスナビ『セキュリティ・開発・運用「はじめてガイド」MFAを進め方に沿って理解する』を参考にして頂くと、以下の5ステップで進める事ができます。
ここでは、動画による説明、ステップごとに必要なリンクやツールが紹介されています。
 

STEP		説明
1	学ぶ	システム管理者を含む推進チームを発足し、意思決定者と共に全体像、背景、参考情報を理解します。
2	評価する	推進チームにて、お客様のご利用状況に応じた多要素認証方法を評価します。
3	計画する	推進チームにて、多要素認証の導入を計画します。
4	ロールアウトする	推進チームにて、多要素認証をロールアウト（リリース）します。
5	管理する	リリース後、システム管理者にてMFA検証活動を監査・管理します。

 

SalesforceMFAについてのおすすめ資料　 必見!! 

以下は、MFAの実装に向けて大変参考になる資料・リンクです。
先述の　Salesforceサクセスナビ『セキュリティ・開発・運用「はじめてガイド」MFAを進め方に沿って理解する』でも紹介されています。

ぜひご活用ください。
 

カテゴリ	タイトル　 ※該当ページへリンクします	説明
特設ページ	NEW!!  MFA(多要素認証)特設ページ	MFAの概要から導入のフロー、事例などがわかりやすくまとめられたページが公開されました！ このサイトで以下の3つのポイントがわかります。 　1.SalesforceのMFAの仕組みを知る 　2.MFAのためのフロー 　3.導入事例＆よくあるご質問
ドキュメントテンプレートセット	MFAロールアウトパックを使用したカスタマイズ可能なテンプレート	MFAの実装に向けて提供されている資料やチェックリスト、テンプレート一式がまとめられている「MFAロールアウトパック」です。 資料はダウンロード後、お客様の状況に合わせて変更し、社内資料とすることができます。 ※ダウンロード後、名前に「JP」が含まれているフォルダに日本語の資料が入っています。
管理者ガイド	多要素認証のシステム管理者ガイド	管理者向けのガイド資料です。
ナレッジ記事	Salesforce 多要素認証に関するFAQ	MFAに関するFAQサイトです。随時更新され、最新情報を入手することができます。 ※最下部に改定履歴も公開されています。
eBook	多要素認証（MFA）設定マニュアル	Salesforceが推奨する最もシンプルな多要素認証（MFA）である『Salesforce Authenticatitor』の設定マニュアルです。
TRAILHEAD	*多要素認証（MFA）コミュニティ　日本*	SalesforceのMFAに関するコミュニティです。 ここで質問をして回答を得たり、ベストプラクティスを学んだり、経験を共有することができます。
Salesforce MFA対策セミナー動画	どんとこい！MFA社内推進方法とエラー集	2021/9/17　SalesforceAuthenticatorとAuthyを採用してMFAの有効化を進めたSalesforce導入企業の事例です。（約7分）

 どんな方法があるの？

MFAの対応をしなければならないと理解しても、具体的にどのような方法があるのか？
また、コスト面や現在の自社の運用に合った方法は何なのか？
以下は、『多要素認証のシステム管理者ガイド』、『Salesforce 多要素認証に関するFAQ』より抜粋して作成しましたので参考にしてみてください。
 

Salesforce製品で許可されているMFA検証手段のメリットとデメリット

Salesforce Authenticator	サードパーティーの認証アプリケーション	セキュリティキー	組み込みAuthenticatitor
ユーザがSalesforce アカウントに簡単に接続できる、スマートでシンプルなモバイルアプリケーション。 Salesforce社が最も推奨している検証方法です。	OATH TOTP アルゴリズムに基づいて、アプリケーションが⼀意の仮の確認コードを⽣成します。 ユーザが個⼈またはビジネス⽤のTOTP アプリケーションをすでにインストールしている場合、同じアプリケーションをSalesforce ログイン⽤に設定できます。	公開鍵暗号化を使⽤する物理デバイス。 ユーザがモバイルデバイスを持っていない場合や、施設内で携帯の使用が許可されていない場合に最適なオプションです。	ユーザのコンピュータまたはモバイルデバイスに組み込まれている生体認証リーダー（指紋、虹彩、顔認識スキャンなど）を介してIDを検証します。 ユーザがモバイルデバイスを持っていない場合や、施設内で携帯の使用が許可されていない場合、ユーザのデバイスに物理的なセキュリティキーに必要なポートがない場合に非常に便利なオプションです。
フォーム要素： iOS およびAndroid のモバイルアプリケーション	フォーム要素： 複数のオペレーティングシステムで使⽤可能なアプリケーション	フォーム要素： FIDO U2F標準をサポートするUSB およびLightning デバイス	フォーム要素： 組み込み Authenticator サービスでサポートされている指紋、虹彩、顔認識スキャナが搭載されているデバイス
ユーザエクスペリエンス： ●⾼速アクセス⽤にユーザの携帯電話にプッシュ通知を配信 ●リアルタイムの詳細を参照して要求の有効性を確認 ●信頼できる場所からの認証を⾃動化 タップで不正な要求拒否	ユーザエクスペリエンス： ●多様なアプリケーションから選択	ユーザエクスペリエンス： ●⾼速で使いやすい ●不正なリクエストを認識して拒否 ●バッテリーは不要	ユーザエクスペリエンス： ●個別の認証アプリケーションや物理的なセキュリティキーを必要としない
考慮事項： ●モバイルデバイスが必要	考慮事項： ●モバイルデバイスが必要 ●コードを⼿動で⼊⼒するときに⼊⼒エラーが発⽣する可能性がある ●モバイルデバイスの時計がSalesforce と同期しなくなった場合、コードが無効になる可能性がある	考慮事項： ●対応ブラウザが限定される ●ユーザがキーを置き去りにしたり、常に接続したままにする可能性がある ●デバイスを購⼊、保管し、ユーザに配布するための運⽤オーバーヘッドが発⽣する	考慮事項： ●ユーザのデバイス、オペレーティングシステム、ブラウザのすべてで FIDO2 WebAuthn 標準がサポートされている必要がある ●Salesforce Platform上に構築された製品はまだサポート対象外(Winter'22でベータサポート予定)
インターネット接続：要 ※接続できない場合はアプリケーションによって生成された6桁のTOTPコードを使用してログイン可能。	インターネット接続：不要	インターネット接続：不要	インターネット接続：不要
コスト：無料	コスト：無料および有料オプション	コスト：約$20 以上	コスト：無料
オプション： Salesforce Authenticator	オプションの例： ●Google Authenticator（mobile） ●Microsoft Authenticator（mobile） ●Authy（mobile／Desktop） ●WinAuth（Desktop）	オプションの例： ●Yubico　YubiKey ●Google　Titan セキュリティキー	オプションの例： ●Touch ID（Apple） ●Face ID（Apple） ●Windows Hello（Microsoft）

 

►ご参考リンク：
　●　Salesforceブログ：　多要素認証の検証方法
 

【ヒント】 ベストプラクティスとして、"モバイル認証アプリケーション"や"物理的なセキュリティキー"を使用することをお勧めしますが、 TOTPデスクトップ認証アプリケーションまたはブラウザ拡張機能がユーザが使用できる唯一のオプションである場合は、 この種の手段で MFA 要件を満たすことができます。

 MFA要件の範囲は？

Salesforce 製品（パートナーソリューションを含む）にユーザインターフェースを通じてログインするユーザに対して MFA を有効にする必要があります。
では、MFA必須化の対象となるユーザ、ログイン、環境の範囲はどこまででしょうか？

※以下は、『Salesforce 多要素認証に関するFAQ』より一部を抜粋しています。全てを確認される場合は、リンクより【MFA要件の範囲】のセクションにてご確認ください。
 

１）ユーザごとのMFA要件

ユーザ種別	ログインに MFAが必要？	説明
内部ユーザ	はい	システム管理者、開発者、特権ユーザ、標準ユーザ、そしてパートナーやサードパーティーエージェンシーなど、ユーザの代理行動が認められているユーザ。
外部ユーザ	いいえ	Experience Cloud サイト、E コマースサイト、ヘルプポータルなどにログインする、お客様の顧客やパートナーには、MFA の使用は求められません
NEW!!  Chatter Only（Chatter Plus）ユーザ	はい	2021年11月4日の改訂により、Chatter Only（Chatter Plus）ユーザはMFAの必須対象となりました。 ※現時点のFAQでは英語版のみに追記されています。
●Chatter Externalユーザ ●Chatter Freeユーザ	いいえ

 

２）ログイン種別と認証方式ごとのMFA要件

ログイン種別／認証方式	MFA は必須？	メモ
UI への直接ログイン	はい	モバイルアプリケーションやクライアントアプリケーション（データローダなど）を含むすべての Salesforce インターフェースに適用されます。(Data Loader には 2 つのログインオプションがあります。MFA が有効の場合、OAuth オプション（UI ログイン）では MFA チャレンジが生成されますが、パスワード認証 （API ログイン）では生成されません。） ▶FAQ内の参照先　※2 詳細は、【Salesforce 製品に直接ログインする場合の MFA】セクションを参照してください。
API/インテグレーションログイン	いいえ
デバイスの有効化/ID 検証	はい	デバイスの有効化は MFA とは異なっているため、MFA 要件を満たすことはできません。デバイスの有効化が含まれる Salesforce 製品では、ログインごとに MFA が必要になります。 ▶FAQ内の参照先　※2 詳細は、【デバイスの有効化とは何ですか? MFA とはどのような関連がありますか?】を参照してください。
代理認証	はい
SSO (SAML、OpenID Connect)　※1	はい	▶FAQ内の参照先　※2 詳細は、【Salesforce 製品に SSO でログインする場合の MFA】セクションを参照してください。

※1　Salesforce 製品にシングルサインオン (SSO) 経由でアクセスする場合も、すべてのSalesforceユーザに対してMFA を有効にする必要があります。
※2　"FAQ内の参照先"　は、『Salesforce 多要素認証に関するFAQ』ページ内のセクション、質問内容のタイトルです。詳細な情報は、FAQページより直接ご確認ください。

►ご参考リンク：
　●　Salesforceヘルプ：　SSOでのSalesforceMFAの使用
　●　Salesforceヘルプ：　SSOを使用したログインをユーザに要求
　●　Salesforceナレッジ：　シングルサインオン（Single Sign-On）ポイント集

３）組織やテナントの種別ごとのMFA要件

組織/テナント種別	MFA は必須？	メモ
本番環境	はい
Sandbox環境 (Partial、Full、Developer、Pro)	「メモ」を参照	▶FAQ内の参照先　※1 内部のテスト環境に MFA 要件がどのように適用されるのかについては、【Sandbox 環境で MFA は必須ですか?】を参照してください。
Trailhead Playground	いいえ
トライアル	「メモ」を参照	トライアルには、MFA 要件が適用されるまでの猶予期間があります。トライアル期間が 45 日よりも長い場合、45 日目までに環境内のすべてのユーザの MFA を有効にする必要があります。 トライアルが本番に変換された場合、すべてのユーザに MFA が求められます。

※1　"FAQ内の参照先"　は、『Salesforce 多要素認証に関するFAQ』ページ内のセクション、質問内容のタイトルです。詳細な情報は、FAQページより直接ご確認ください。

►ご参考リンク：
　●　Salesforceヘルプ：　Sandboxの設定に関する考慮事項　＞　多要素認証
 

４）MFAをサポートしているSalesforce製品

• 次の製品を含む、Salesforce Platform を基盤とするすべての製品：*Sales Cloud、Service Cloud、Analytics Cloud、B2B Commerce Cloud、Experience Cloud、Industries 製品 (Consumer Goods Cloud、Education Cloud、Financial Services Cloud、Government Cloud、Health Cloud、Manufacturing Cloud、Nonprofit Cloud、Philanthropy Cloud)、Marketing Cloud?Audience Studio (旧 DMP)、Marketing Cloud?Pardot、Platform、Salesforce Essentials、Salesforce Field Service、パートナーソリューション
• B2C Commerce Cloud
• Heroku
• Marketing Cloud?Datorama
• Marketing Cloud?Email Studio、Mobile Studio、および Journey Builder
• Marketing Cloud?Social
• MuleSoft Anypoint Platform
• Quip Starter、Quip Plus、およびSalesforce Anywhere Advanced
• Tableau Online

 おわりに

最後までお読みいただき、ありがとうございました。
お客様のMFAの有効化プロジェクトを進められる際のご参考になりましたら幸いです。
 

MFA有効化プロジェクトで「特に気を付けるべきこと」とは？

1. 必ず2名以上でプロジェクトチームを結成し、学習、検討、立案すること。
2. 必ず一部のユーザで有効化してテストを実施すること。
3. システム管理者がロックアウトされないよう、アクセス回復計画を準備すること。
4. ユーザサポート体制を整えること。（TEL、プロジェクトチームのメールなど、複数の手段があると良い。）
5. 期限の数日前までにはロールアウトが完全に完了できるよう、余裕をもって計画・実行すること。

►ご参考リンク：
　●　Salesforceヘルプ：　多要素認証アシスタントの概要
　●　Salesforceヘルプ：　仮のID確認コードの生成
　●　Salesforceヘルプ：　多要素認証の管理任務の委任
　●　Salesforceヘルプ：　MFAサポートプランの設定

MFAの有効化プロジェクトでも活用できるArgusGW

MFAの有効化には、ぜひArgusGWの【掲示板】や【文書管理】をご活用ください！
機能の詳細はこちら

►学習・評価・計画には・・・【掲示板】

• フォロー機能を活用して、プロジェクトチーム内での情報共有・ディスカッションを記録することができる。

►ロールアウトには・・・【掲示板】

• 発信した情報をユーザが閲覧しているかを一覧で確認する事ができる為、未確認のユーザへのフォローを効率的に進める事ができる。
• 掲示板モバイルを活用することで、普段外出の多いメンバーにも情報が伝わる。

►管理（運用）には・・・【文書管理】

• ユーザ向けのドキュメントや、プロジェクトで作成したドキュメントは【文書管理】を使ってバージョン管理もバッチリできる。