Salesforce MFA 必須化に備える
セキュリティキー (FIDO2 / U2F) による MFA 対応
2022/06/15 記事更新
SalesfoceのWebAuthn (FIDO2) 対応により、FIDO2対応セキュリティキーによる登録、認証方法を追加しました。
FIDO2対応キーの設定や初期化方法についてはこちらを参照ください。
News
2022/06/12
SalesforceのSummer'22バージョンの適用により、 WebAuthn (FIDO2)セキュリティキーをサポートするようになりました。この変更によりユーザはID検証用にWebAuthn (FIDO2)またはU2Fセキュリティキーを登録できます。以前にFIDO U2Fとして登録したキーがある場合は、Summer'22の適用により、FIDO2としての認証シーケンス(PIN)が求められる場合があります。
Salesforce をご利用の皆様、MFA (多要素認証) 対応はお済みでしょうか? 2022年2月1日以降 Salesforce 製品へのアクセスに MFA を使用することが契約により義務付けられています(多要素認証適用ロードマップ)。本記事では、Salesforce のアクセスにFIDO2 または FIDO U2F (Universal 2nd Factor) に対応の認証器を使用した MFA 対応をご紹介します。
MFA (多要素認証) とは
セキュリティの脅威に対してパスワード認証のみでデータを保護するには限界が来ており、お客様の情報資産を守るにはよりセキュリティ強度の高い認証を用いることが推奨されています。
MFA (多要素認証) とは、本人のみが知っている知識、本人が持っている所有物、本人の身体的特徴である生体情報、これら3つの要素を組み合わせた認証のことを言います。ユーザのパスワードが漏れてしまった場合でも、他の要素で保護しているため不正なデータアクセスのリスクを抑えることができます。
MFA はフィッシングや中間者攻撃などのセキュリティリスクを低減するのに有効な手法です。Salesforce では、セキュリティの脅威からビジネスと顧客情報を保護するために MFA を推進しています。
MFA 対応の方法とセキュリティキーを選択する理由
Salesforce の MFA 対応の 方法には大きく5つのパターンがあります。Salesforce が提供する Salesforce Authenticator、サードパーティ製の TOTP、物理デバイスのセキュリティキー (FIDO2 / U2F)、シングルサインオン (SSO) の他、Yubico OTPを使用した5種です。
1. Salesforce Authenticator
携帯端末に Salesforce Authenticator をインストールし、簡単なセットアップですぐに利用可能。
2. 3rd Party TOTP
携帯端末に Google Authenticator、Microsoft Authenticator、Authyなどのアプリをインストールし、簡単なセットアップですぐに利用可能。
3. セキュリティキー (FIDO2 / U2F)
FIDO2 / U2F 対応のセキュリティキーを登録することで、すぐに利用可能。
5. SSO
SSO をご利用の場合は、MFA を必須化することにより、Salesforce の MFA 要件を満たすことが可能。
次に、セキュリティキー (FIDO2 / U2F) を選択する理由について説明していきます。Salesforce 標準のオーセンティケータや TOTP は携帯端末にインストールするだけで使用できる簡単な導入方法ですが、お客様の環境により携帯端末の持ち込みができない場合や、個人端末の使用は避けたいなど、1番や2番の MFA 対応が難しい場合があると思われます。SSO に関しては既にご利用の場合は良いのですが、新規導入となると中々導入に踏み切れないということもあるでしょう。このような場合にセキュリティキー (FIDO2 / U2F) を利用した MFA 対策が最も有効な方法だと考えられます。FIDO2 / U2F に対応したセキュリティキーを購入し、ユーザがセキュリティキーの登録を行うことですぐにご利用いただけます。また、製品にもよるのですが、携帯端末のようにバッテリー切れを心配する必要もありません。耐久性に優れた製品が多く、認証時の操作も簡単で、エンドユーザにストレスを与えることはないでしょう。
使用可能なセキュリティキー
FIDO2 / U2F に対応したセキュリティキーであれば、どんな製品でもご利用いただけます。ここでは一部のセキュリティキーを紹介しておきます。