Salesforceへ安全にアクセスするために知っておくべき情報〜多要素認証

多要素認証(MFA)

2021.04.27

※ 6月30日までに組織の多要素認証(MFA)を有効化することでAstroぬいぐるみがもらえるキャンペーンが始まりました。

 >> 詳細はこちら

最終更新日:2021/6/9

昨年来の働き方改革や昨今のウィズコロナ時代のリモートワークの増加など、

これまでと違った条件下での業務遂行を必要とされる声をあちこちで伺う機会が増えてきました。

これまでの就業環境と変わることで関心が高まっているのが「Salesforceへの安全なアクセス」。特にサイバーセキュリティに関わる事案やニュースを日本でも目にする機会が増えてきており「安全性と利便性を確立する上でSalesforceで何ができるのか?」そんなご質問も増えてきている実感があります。

そこで今回システム管理者の皆さまに、安全なアクセスを実現するために知っておいていただきたい情報をまとめました。

ぜひこちらのサイトを定期的にご確認いただき、安全で安心できる業務環境を構築していきましょう。

1.安全なアクセスを実現するためのSalesforceとお客様の役割

Salesforceに対する安全なアクセスと一言でいっても、その安全なアクセスは製品として何ができるのかなどの「提供されているもの」と、その製品をどう使うのかなど「提供されているものをどう使うか」の視点は欠かせません。

この視点を、Salesforceが責任を持って提供すべきものと、お客様が責任を持って確認・判断・実行すべきもの、で表現したのが「Salesforceのセキュリティパートナーシップ」です。

Salesforceがその提供する製品において安全なアクセスを実現するための機能を提供し、その機能の利用を判断いただけるような情報を提供し、ある場合にはその機能を標準設定(デフォルト)として提供するなどの提供者としての責任を果たしつつ、お客さまにおいて、それぞれのコンプライアンス基準やセキュリティ基準に準拠した機能を検討・適用・監視・維持していただく活動を通じて、始めて持続的な安全なアクセス環境が実現できる。そんな相互の協力が不可欠な取り組みを表現しています。

2.境界防御の先にあるクラウド時代のセキュリティを考慮する [*2] [*3]

昨今のサイバー攻撃の方法の多様化や範囲の拡大の影響を考えると、最新のセキュリティ制御機能の理解と評価がお客さまにとってセキュリティ管理の上で重要性を増していることは間違いありません。

特に業務システムのクラウドシフトが進むにつれて、従来の境界防御モデル(FirewallやVPNなどで「信頼できる接続」によって社内・社外の境界を設けて、不正侵入や情報漏えいを防ぐモデル)だけでは安全性を担保しきれない環境に変わりつつあります。海外では今年 4 月に米国東海岸の 45% の住民に燃料を供給するパイプラインの操業がハッキングにより停止に追い込まれる事例が発生し、日本でもランサムウェアやVPN環境での情報漏えいなど境界防御だけでは防ぎきれない事例が報告され始めています。

この「すべてのユーザ・デバイス・アプリケーション・ネットワークが安全と言えず攻撃される可能性がある」状況に対応する「ゼロトラストモデル」が提唱され、それぞれの要素が脅威にさらされている前提でその防御のための対策が注目され始めており、Salesforceではその対策要素の一つであるIAM(Identity and Access Management)の強化を通じてお客さまに安全なアクセス環境を提供する取り組みを推進しており、その具体的な施策として多要素認証(MFA : Multi Factor Authentication)の適用を推進しています。 

この取組の重要性はSalesforceとお客さまだけの関係において重要というものではなく「お客さまの顧客」、例えばCommunity CloudやCommerce Cloudを通じて提供しているサービス利用者にあたる「お客さまの顧客やパートナー」向けにも安全性と利便性を両立したサービスを提供する手段として注目され始めています。

また、多要素認証の推進については Salesforce の外に目を向けても、世間のトレンドとなりつつあります。

例えば、先般アメリカではバイデン大統領が 2021/5/12 に連邦政府のサイバーセキュリティ対策として多要素認証及び暗号化を採用する大統領命令に署名をしました。

併せて、Google 社が多要素認証のデフォルト化を検討したり、 Twilio 社も必須化のアナウンスを出すなど、海外のトレンドとしては多要素認証のデフォルト化が進んでいます。

一方、日本においても 経済産業省が全国の企業におけるサイバー攻撃実態や被害事例とりまとめた情報に記載されているようなリスト型攻撃による不正ログイン事案の継続的発生とその対応策としてのセキュリティ強化策の示唆や、

“ID・パスワードのみ利用可能な会員制サイトやクラウドメールアカウント等が、流出したID・パスワードのリストを利用した「リスト型攻撃」により不正ログインされる事案が継続的に発生”
“ログイン機能に二段階認証や二要素認証を導入することでウェブサイトへのアクセスに関わるセキュリティを強化したり、個人情報の機微度に応じて分割して管理し、データへのアクセス権別に設定するなどのシステム構造の見直しが大切に。”

情報処理推進機構の“情報セキュリティ 10大脅威 2021”の組織向けの第2位 標的型攻撃による機密情報の窃取にて指摘されている状況は、3位・4位・8位・10位の脅威と複合して、窃取されたユーザID・パスワードによる不正アクセスリスクは「信頼できるネットワーク環境下」においても増加しており、ログインユーザの保護の簡易かつ効果的な方法の一つとして多要素認証に注目が集まってきています。

“企業や民間団体そして官公庁等、特定の組織から機密情報等を窃取することを目的とした標的型攻撃が継続して発生している。攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報等を窃取する。”

3.現在の利用状況と利用可能なセキュリティ制御機能を理解し評価する

Spring’21時点でSalesforceが多要素認証の機能を提供可能な製品は、Sales CloudService CloudSalesforce Field Service[*1]PlatformExperience Cloud (旧Community Cloud)、Salesforce Essentials、Analytics CloudMarketing Cloud (Datoroma、Email Studio、Mobile Studio、Journey Builder、Audience Studio(旧DMP)、Pardot)[*1]B2C Commerce CloudB2B Commerce Cloud、インダストリ製品( Financial Services CloudHealth CloudManufacturing CloudConsumer Goods CloudGovernment CloudPhilanthropy CloudEducation Cloud[*1]Nonprofit Cloud[*1])、Mulesoft Anypoint Platform[*1]Quip(Starter、Enterprise、for Customer360)[*1]です。他のすべての Salesforce 製品でも積極的に多要素認証の機能の開発に取り組んでおり、他の製品で 利用可能になった時点でリリースノートにてお知らせする予定です。

多要素認証やセキュリティ強化の対象となった機能については、各製品のリリースノートやヘルプ記事などを通じてその機能概要の説明や設定方法をご案内しておりますが、特に注力している多要素認証の概要や設定になどに関する情報はウェブセミナーやTrailblazer Communityなどを通じて英語だけでなく日本語でのガイダンス資料やデモ動画を提供し、お客さまの理解や評価に役立つ情報発信に努めています。参考リソースをご参照いただきご活用いただければと思います。

他の製品で MFA が利用可能になったら、リリースノートにてお知らせします。

4.適用・展開を計画する

最新のセキュリティ管理と機能をお客さま環境に適用・展開する方法は、「製品機能の理解」「セキュリティ管理の現状把握」「適用タイムラインの決定」を行う事前準備、事前準備に基づいて「特権的ユーザ数の最小化」「パイロットユーザへの適用」「パイロットユーザからの学び」を行う試行段階、試行段階の教訓を踏まえた全社適用に向けた「役員コミュニケーション計画」「ユーザとのコミュニケーション計画」「変更管理計画」を策定するオーソドックスな段階的展開が実行における課題や計画の実現性を高めるうえで望ましいと方法と考えています。

この計画に基づいてユーザへの「適用推進キャンペーン」など通じた適用推奨、その適用進捗を確認するため履歴設定やレポートやビューなどの監視設定、設定した監視情報のダッシュボード等を通じた定期的な適用状況監視により計画の進捗確認と適用促進を繰り返す事も不可欠の要素と言えます。

これらの適用準備や展開監視を支援するツールとして「セキュリティ管理の現状把握」にはセキュリティ状態チェック機能、「監視設定」や「適用状況監視」には2FAダッシュボードなどがSales Cloud、Service Cloud、Platformなどで利用可能ですので、これらツールを利用することも忘れずに覚えておきましょう。

5.SalesforceへのアクセスにおけるMFA要件 [*2]

認証ユーザの認証情報取得への攻撃が昨今さらに強くなっている環境における、安全なアクセスを担保する手段として2022年2月よりSalesforceへのアクセス時にMFAを要件とする旨のご案内を2021年2月に配信させていただきました。

このアクセス要件は、認証ユーザにおけるセキュリティを複数の認証要素を用いることで担保するソリューションおよび情報を、前述のセキュリティパートナーシップにおけるSalesforceの責任においてお伝えするものです。

このMFA要件は「UI経由でログインするSalesforceのInternal User」を対象(*1)に、Salesforceへのアクセス時に知っている情報(ユーザIDとパスワード)以外の要素での追加認証(AuthenticatorやHardware Keyなど各個人が持っている情報など)を必須とする内容となっています。

この対象ユーザのUI経由のログインは、単純にSalesforceのログイン画面(UI)にユーザ名とパスワードを入力する最もシンプルな形態の場合には、その入力後に持っている情報(AuthenticatorやHardware Keyなど)を利用して本人を認証する事を意図していますが、複数システムを利用されているお客様においては別システムにおけるIDとパスワード認証を経てその認証情報をTokenなどの形態でSalesforceに連携させることでログインを完結させるSSO(Single Sign-On *2)を利用されるお客様も少なからずいらっしゃいます。

この外部での認証情報をもってSalesforceにアクセスされているお客様においても、その外部認証時における多要素認証を実施いただいた上でSalesforceにアクセスいただく(前述のセキュリティパートナーシップにおけるお客様の責任に該当する内容)事がセキュリティ担保の上で不可欠となりますが、その適用状況(外部認証における多要素認証の適用)に関しては現時点で弊社で判断可能な内容ではございません(*3)ので、弊社にてその準拠状況を監視ならびに制御するもの、できるものではなく、お客様のビジネスにおける安全性確保の観点においてご対応いただきたい内容と考えています。

(*1) 組織外の認証ユーザとなるExperience Cloudの外部ユーザ、Chatter Freeや外部Chatterユーザ、E-Commerceのユーザ、および認証が発生しないゲストユーザ、システム間連携のために利用される都度UIログインが発生しないAPIやIntegration用ユーザは必須要件の対象外

(*2) Reverse Proxyなど代理認証も広義でのSSOと定義される場合もありますが、SAMLやOpenID Connectなどによる外部認証をSSOを定義しており、代理認証はSalesforceへの通常のUI経由のログインとして扱われるためSalesforce側でのMFAが必要

(*3) SSOで利用されるOpenID Connectは、amr属性(Authentication Method Reference)でMFAの利用可否をSpring’21からSalesforceで識別可能。SAMLにおいても将来的に AuthContext属性によってMFA適用されたSSOを識別可能にする予定

考慮事項

本ブログは定期的に更新されます。毎月一度は必ずご確認ください。

最後に

いかがでしたでしょうか。今回ご紹介したSalesforceへの安全なアクセスの基本知識については、Trailheadで学習することも可能です。検討の基礎知識の再確認の意味でも、こちらのモジュールを完了させておきましょう。

参考リソース [*1]

改定

[*1] Spring’21での対応状況を踏まえて更新

[*2] 2021年2月にご案内の”【重要】多要素認証への対応のお願い”の送信に基づく追記

[*3] 海外の事例を追加 

多要素認証(MFA)

2021.04.27

次の記事多要素認証(MFA) : プロダクト別情報一覧

MFA を進め方に沿って理解する

このカテゴリの人気記事

Salesforceについてもっと学ぶ

Salesforce活用に役立つメルマガ登録

システム管理者のみなさまにおすすめの活用ウェブセミナーや、Salesforceでビジネスを推進いただくために有益なコンテンツを毎月お届けします。

Follow us!

Twitter公式アカウント

Salesforce活用に役立つメルマガ登録(毎月配信)

  • 私は、個人情報保護基本方針プライバシーに関する声明個人情報利用についての通知に同意します。 特に、プライバシーに関する声明で定めるとおり、情報のホスティングと処理を目的として私の個人データをアメリカ合衆国を含む国外に転送することを許可します。詳細私は、海外では日本の法律と同等のデータ保護法が整備されていない可能性があることも理解しています。詳細はこちらでご確認ください

  • 私は、Salesforce の製品、サービス、イベントに関するマーケティング情報の受け取りを希望します。私は、当該マーケティング情報の受け取りを私がいつでも停止できることを理解しています。