MFA(多要素認証)

2つ以上の身元証明の提供を必要とする
安全性が高くシンプルな認証でセキュリティを強化。

多要素認証 (MFA) は、ユーザアカウントアクセスを保護するための非常にシンプルで効果的な方法です。

強力なセキュリティとユーザの利便性を兼ね備えたシンプルで革新的なMFAソリューションを使用して、簡単に実行できます。

あなたのビジネスをサポートするMFAの3つのポイント

ビジネスと顧客を保護するための強⼒なセキュリティ対策の必要性

セキュリティ上の弱点をつくような攻撃の種類は増加の一途をたどっています。もはやユーザ名とパスワードのみでは、許可されていないアカウントアクセスに対する⼗分な保護は提供されません。

2つ以上の証拠 (要素)の提供がセキュリティを強化する

ユーザアクセスを複数の異なる要素に結び付けることで、ユーザのパスワードが盗まれたとしても、ユーザが物理的に所有する要素を攻撃者が推測または偽装できる確率は⾮常に低くなります。

セキュリティと利便性のバランスが取れたソリューション

ビジネスの要件とユーザのニーズは多様であるため、モバイルアプリケーションやハードウェアデバイスなどのさまざまな検証⽅法から選択できます。

SalesforceのMFAの仕組みを知る

本人であることを証明する 2 つ以上の証拠 (要素) の入力を、以下のようにユーザに要求することで、ログインプロセスのセキュリティを一層強化します。

ユーザー名

パスワード

ユーザーに合わせた追加の検証方法
Salesforce Authenticatorアプリケーション
サードパーティ TOTP 認証アプリケーション
U2F またはWebAuthnセキュリティキー

※メール、SMSテキストメッセージ、及び電話による認証は、漏洩や傍受の危険から許可されません。

MFA導入のためのフロー

実際にMFAを導入するための手順とポイントをご紹介します。スムーズな導入ためにも、事前の計画・準備をしたうえで、実施していきましょう。

STEP. 01

学ぶ

  • ・実施の流れを決める。
  • ・検証方法を決める。
Check Point
  • どの検証⽅法がビジネスおよびユーザの要件を満たしているかを検討します。
  • 誰が MFA を使⽤する必要があるかを決定します。システム管理者やその他の特権ユーザを最優先します。
  • ユーザサポート戦略を計画する。

STEP. 02

計画する

  • ・必要性を伝え、賛同を得る。
  • ・実施日と方法についてお知らせする。
Check Point
  • MFAの必要性を伝え、導入の賛同を得るようにします。
  • パイロットグループから開始し、ロールアウトプロセスを事前にテストして微調整します。
  • 実際にMFAを用いてログインする方法をまとめた資料を用意します。

STEP. 03

実行する

  • ・ユーザーはMFAに用いる検証方法を追加する。
  • ・MFAで実際にログインする。
Check Point
  • 資料をもとに、MFAにログインする⽅法について、ユーザをトレーニングします。
  • MFAに利用する検証方法を確定し、追加するための登録作業を実施します。
  • 実際にMFAを用いてログインできることを確認します。

STEP. 04

管理・サポート

  • ・新しいMFAログインについて、なにか問題が起きてないかユーザーからヒアリングを 実施する。
  • ・ヘルプデスクのチケットとログを確認し、問題が起きてないか、利用状況を確認する。
Check Point
  • 検証⽅法を紛失したり忘れたりしたユーザを支援できる体制・手順を確認します。
  • トラブルシューティング、およびアクセス復旧⼿順について、サポートチームをトレーニングします。

導入事例

MFAを導入した、さまざまな企業・業種の導入事例をご紹介します。

株式会社JFDエンジニアリング

よくあるご質問

導入前

  • サードパーティの MFA ソリューションも使用できますか?
  • すでに Okta™ や Duo™ などの MFA ソリューションを使用している場合は、Salesforce 製品の MFA 機能を有効化する代わりに、そのシステムと Salesforce 製品を統合することをお勧めします。既存のソリューションとの統合により、MFA を実装するための時間とコストを節約できます。また、ユーザはすでに既存のシステムを使い慣れていますので、移行への抵抗や変更管理を最小限に押さえることができます。

    会社ですでにログインごとに MFA が必要な既存のシングルサインオン (SSO) が実装されている場合は、Salesforce 製品を SSO システムに統合できるかどうか確認してください。ただし、すべての Salesforce ユーザは MFA を使用する必要があります。製品に直接ログインするユーザ (Salesforce システム管理者など) がいる場合、それらのアカウントの Salesforce の MFA を有効にします。詳細はFAQ 内の「Salesforce のシングルサインオン (SSO) を使用しています。SSO は MFA 要件を満たしますか?」を参照してください。

  • 私の会社では、サポートされている MFA 検証手段のいずれも使用できません。 MFA 要件を満たすにはどうすればよいでしょうか?
  • Salesforce では、MFA がデータや顧客を保護するための最良の手段であると強く信じており、Salesforce 製品で MFA を正常に実装してロールアウトできるようにお客様を全力でサポートしています。一方で、一部のお客様が MFA を実装するのに問題を抱えていることも理解しています。Salesforce は、お客様の組織のセキュリティ面やコンプライアンス面への影響を回避するための方策として MFA を活用できるようにします。要件を満たすことができないのではないかと懸念している場合は、Salesforce の担当者にお問い合わせください。お客様と協力して解決策を模索します。

  • ユーザはモバイルデバイスを持っていません。それでも MFA を使用できますか?
  • はい。物理的なセキュリティキーを使用することで MFA ログイン要件を満たすことができます。

    Heroku、Marketing Cloud—Datorama、MuleSoft Anypoint Platform については、組み込み Authenticator (Touch ID、Face ID、Windows Hello など) を使用して認証するオプションも用意されています。Winter '22 リリースで、Salesforce プラットフォーム上に構築された製品のベータ機能としてこのオプションが使用可能になっています。また、TOTP デスクトップ認証アプリケーションまたはブラウザ拡張機能がユーザが使用できる唯一のオプションである場合は、この種の手段で MFA 要件を満たすことができます。

  • ユーザへの影響を減らすために、追加の認証手順を自動化したり、Salesforce 製品で求められる追加の認証手順の頻度を制御したりすることはできますか?
  • MFA が意図されている保護を実現するためには、ユーザが Salesforce 製品に直接ログインするたびに検証手段に入力する必要があります。ユーザの負担を減らすには、Salesforce Authenticator を使用することをお勧めします。信頼できる場所 (オフィスや自宅など) からユーザが作業している場合、このアプリケーションによって追加の認証手順を自動化できます。つまり、このような場所からログインする場合、ユーザは電話を操作する必要はありません。このオプションはユーザ自身で設定できます。詳細は、Salesforce ヘルプの「Salesforce Authenticator を使用した信頼できる場所からの多要素認証ログインの自動化」を参照してください。

    また、ユーザが同じ場所から 3 回認証されると、Salesforce Authenticator はその場所を自動的に信頼することができます。このオプションを設定するには、「Salesforce Authenticator による信頼できる場所のインテリジェントな保存」を参照してください。

  • MFA に対してどうやってユーザに準備させればいいですか?
  • MFA を使用することおよび MFA の重要性をユーザに事前に伝えます。いくつかのアイデアを次に示します。

    • ロールアウト全体にわたって情報を伝えて質問に答えることができる Chatter グループや Slack チャネルなどのフォーラムを作成します。
    • 事前に認知度を高めます。ポスターを掲示します。1 週間のメールドリップキャンペーンを実行して、ユーザに MFA の概要を紹介し、ログインプロセスの変更をユーザが可視化できるようにするほか、ヒントと使用方法を提供して、MFA の有効化時にユーザの準備が整っているようにします。

    最低 1 つの検証手段を取得、登録、および使用してログインする方法についてユーザを教育します。Web セミナーやランチミーティングセッションの開催を検討します。稼働開始日にユーザがヘルプをすぐに取得できるように、詳細な手順が記述された Web ページやラミネート加工された早見表を作成することもできます。

    サポートチームを準備して、検証手段の設定、ログインの問題のトラブルシューティング、通常の検証手段を失ったまたは忘れたユーザに対する一時コードの生成など、さまざまな問題に関してユーザをサポートできるようにします。

    最後に、パイロットグループを使用してロールアウトを開始することを検討します。少数のユーザに対して MFA を開始した後、何が適切に機能し、何が適切に機能しなかったかを含め、状況に関してフィードバックを取得します。学んだことを使用してロールアウトプロセスとオンボーディング資料を改善してから、他のすべてのユーザに対して MFA を有効にします。

    Salesforce ヘルプの「多要素認証に向けたユーザの準備」で他のアイデアも参照してください。また、Multi-Factor Authentication Rollout Packをダウンロードして、カスタマイズ可能な計画や変更管理のテンプレートを入手します。

導入後

  • MFA の実装で MFA 要件を満たしていることを検証するにはどうすればよいですか?
  • この要件を満たす MFA ソリューションを使用していることを確認するには、Salesforce の「Trust and Compliance Documentation (信頼とコンプライアンスに関するドキュメント)」の「Notices and Licenses Information (通知およびライセンス情報)」セクションにあるサービス利用規約や、この FAQの詳細を確認してください。

    また、MFA 要件チェッカーを使用していくつかの質問に答え、実装が要件を満たしているかどうかを確認することもできます。このサイトでは、要件を完全に満たしていなければ次のステップが示されるため、2022 年 2 月 1 日の期限までに準備を整えることができます。

    IT チームまたはサイバーセキュリティチームがいる場合は、その指示を仰ぐことをお勧めします。また、いつでも Trailblazer Community の「多要素認証(MFA)コミュニティ 日本」グループに質問を投稿して、Salesforce のセキュリティエキスパートに助けてもらうこともできます。

  • ユーザが検証手段を忘れたり紛失したりした場合には、どうやってアクセスできますか?
  • ユーザがモバイルデバイスやセキュリティキーを紛失したり忘れたりした場合、Salesforce システム管理者はユーザがアカウントにログインできるようにするための一時的な確認コードを生成できます。コードは有効期限まで繰り返し使用できます。詳細は、Salesforce ヘルプの「多要素認証実装のサポート」を参照してください。

    注意: Marketing Cloud—Datorama、MuleSoft Anypoint Platform、Salesforce Anywhere/Quip 製品、Tableau Online では一時コードを使用できません。

  • どうしてもわからないことがあります。問い合わせはできますか?
  • 不明な点がある場合は、Trailblazer Community の「多要素認証(MFA)コミュニティ 日本」にご参加ください。Salesforce のセキュリティの専門家や、MFA の実装を進めているその他の Trailblazer システム管理者への質問を投稿することができます。

Salesforce活用に役立つメルマガ登録

システム管理者のみなさまにおすすめの活用ウェブセミナーや、Salesforceでビジネスを推進いただくために有益なコンテンツを毎月お届けします。

Follow us!

Twitter公式アカウント

Salesforce活用に役立つメルマガ登録(毎月配信)

  • 私は、個人情報保護基本方針プライバシーに関する声明個人情報利用についての通知に同意します。 特に、プライバシーに関する声明で定めるとおり、情報のホスティングと処理を目的として私の個人データをアメリカ合衆国を含む国外に転送することを許可します。詳細私は、海外では日本の法律と同等のデータ保護法が整備されていない可能性があることも理解しています。詳細はこちらでご確認ください

  • 私は、Salesforce の製品、サービス、イベントに関するマーケティング情報の受け取りを希望します。私は、当該マーケティング情報の受け取りを私がいつでも停止できることを理解しています。