クラウドのビジネス用アプリケーションを中心に、企業のDX推進に貢献するソリューションを提供しているSalesforceが、顧客情報保護の観点から全ての自社製品に対し、2022年2月1日より多要素認証(MFA:Multi-Factor Authentication)の対応を必須化すると発表しました。本記事では、MFAの概要や導入の背景、Salesforce製品に対応する多要素認証の4つの方法について解説します。

多要素認証(MFA)の仕組みとは

多要素認証(MFA)とは、フィッシング攻撃やクレデンシャルスタッフィング攻撃※1、アカウントの乗っ取りなど、ユーザデータを不正に入手しようとするサイバー攻撃からアカウントを保護するために、複数の認証方法を設定してアカウントにログインすることです。

※1) クレデンシャルスタッフィング攻撃:インターネット上に流出したIDとパスワードの組み合わせを使って、他のWebサイトへのログインを自動的に試みる攻撃手法。

従来の認証方法は、ユーザ名やパスワードなどのユーザ自身が把握している情報のみを認証要素として用いていましたが、MFAでは認証アプリケーションやセキュリティキーを組み合わせ、セキュリティ強化のために認証プロセスを複雑化しています。
MFAの採用例としては、銀行ATMが挙げられます。実際に、現金の引き出しのためにはキャッシュカード(所有情報)や暗証番号(所持情報)、ユーザ自身の特徴(生体情報)などを合わせて認証を行う仕組みが採用されています。

SalesforceがMFAを導入する背景

SalesforceがMFAの導入を行う背景には、サイバー攻撃の手段が多様化したため、顧客のデータや機密性、可用性を保護するためにさらに強固なセキュリティが必要になったことが挙げられます。

新型コロナウイルスのパンデミック以後、リモートワークに移行する企業の増加に伴い、サイバー犯罪の件数はさらに増加しています。INTERPOLの調査レポートによると、その攻撃対象は個人から政府や医療インフラなどの大企業にシフトしはじめているとのことです。

Salesforceでも、ユーザ名とパスワードを用いた従来の認証システムだけでは十分に顧客情報を保護できないと考え、アカウントへの不正アクセスを防ぎ、フィッシング攻撃やクレデンシャルスタッフィングなどの脅威から顧客データを守るために、MFAの実装必須化に踏み切りました。前述の通り、Salesforce製品でMFAが必須となるのは2022年2月1日からであり、ユーザは期日以降Salesforce製品にログインするためにMFAの実装が求められるようになります。

MFAの認証パターン

MFA導入後のSalesforce製品では、ログインのために通常通り、ユーザ名とパスワードを入力するほか、指定されたMFAの認証方法を選択する、2段階のプロセスが必要となります。
Salesforceでは自社製品でMFAを導入するためのガイドラインをすでに公開しており「Salesforce Authenticator」「サードパーティ認証アプリケーション」「セキュリティキー」などがあげられていますが、その他にもSalesforce製品のMFAでは、クライアント証明書(電子証明書)も利用できます。

クライアント証明書は、その他二要素認証方法と異なり、SaaS型のため別途デバイスを用意する必要がなく、短期間で導入が可能です。SalesforceにログインするPCやスマートフォンなどの端末に電子証明書をインストールするだけで多要素認証を行えるようになります。
万が一、証明書がインストールされたモバイル端末が盗難・紛失に遭っても、管理者側で管理画面上からオンラインで該当の証明書を即失効できるため、セキュリティリスクを軽減することができます。

種類 利用方法 専用ハードウェア 費用 認証方法
クライアント証明書
(電子証明書)
証明書を端末にインストール 不要 電子証明書導入 設定された証明書を選択
Salesforce
Authenticator
専用アプリケーションをモバイル端末にインストール モバイル端末 モバイル端末の導入
※私用端末の場合は不要
ログイン時にプッシュ通知、認証要求を承認または拒否
サードパーティ認証アプリケーション 専用アプリケーションをモバイル端末にインストール モバイル端末 モバイル端末の導入
有料アプリの場合、アプリの利用費用
※私用端末の場合は不要
制限時間内にパスワード入力
セキュリティキー セキュリティキーを端末に接続 専用トークン セキュリティキー導入、保管 キーをコンピュータに接続、キーのボタンを押してID検証

今後、全てのSalesforce製品でMFAの導入が予定されており、すでに一部製品でもサポートを開始しています。今からMFA導入に備えて準備をしておきましょう。また、様々な二要素認証方法があるため、自社に適した方法でMFA対応を進めていくことをお勧めします。

トピック関連記事

#

2015年10月01日

HTTP/2、ATS(App Transport Security)登場! セキュア通信への理解と実践が求められる時代へ

#

2016年01月13日

主要ブラウザのセキュリティ強化でHTTPSエラー?!

#

2019年09月30日

EU電子インボイスと日本のインボイス制度の将来像

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。