ITセキュリティ女子のブログ

  • 認証
2021.11.19

SalesforceによるMFA(多要素認証)必須化は、認証の世界に何をもたらすのか

SalesforceによるMFA(多要素認証)必須化は、認証の世界に何をもたらすのか

みなさんこんにちは。長谷川まりです。

2022年2月より、Salesforceへのアクセスは、MFA(多要素認証)による認証が必須になります。これは、Salesforceを利用している全ての顧客を対象に、MFAの利用が契約によって義務付けられるためです。
ID・パスワードによる認証の問題点については、かなり以前から指摘されていますが、認証の世界において、ID・パスワード認証は一般的な認証方式として現在でも広く利用されています。
そんな中、Salesforceは「MFAの必須化」という舵を切りました。なぜ今「MFA」なのか?今後、認証の世界に何らかの変化があるのか?などについて考察してみたいと思います。

SalesforceのMFA必須化

日本でも多くの企業で利用されているSalesforce。CRMとSFAを中心としたクラウドプラットフォームを提供しており、アシストでも営業メンバーを中心として大半の社員が利用しています。そのSalesforceから「MFAを必須化する」という発表が2021年3月15日に通達されました。
セキュリティを強化する為にMFAの機能をオプション提供するサービスは数多くありますが、「必須化」を明言し、MFA機能を無償提供する今回のSalesforceの対応は認証業界に衝撃を与えました。確かにSalesforceが取り扱う情報は、個人情報や経営情報など非常にセンシティブな情報ですので、これらの情報を守るためには当然の決断だったのかもしれません。

なぜ今なのか?

クラウドサービスの浸透に加え、新型コロナウィルスによるリモートワークの機会の増加は、セキュリティの世界にも大きな転機をもたらしています。このブログの関連サイトでも多数紹介していますが、「ゼロトラスト・セキュリティ」の考え方はクラウド時代のセキュリティの大前提になっています。ゼロトラストモデルの重要な要素として「認証・アクセス制御」がありますが、具体的な施策としてMFAが推奨されています。

ゼロトラスト・セキュリティ・モデル

また、MFA対応の動きは、世界規模で加速しており、具体的には2021年5月のバイデン米大統領による大統領令署名が挙げられます。「ゼロトラストネットワーク」や「多要素認証」の採用といったセキュリティ対策を推進する大統領令によって、米連邦政府の全政府機関システムはMFAシステムと暗号化の導入、サイバー対策に関するマニュアルの作成などが義務付けられました。
今後は民間企業にもMFAの波がやってくるでしょう。現にGoogle社は「Googleアカウントの二要素認証を自動的に有効化」すると公式ブログで発表しました。このような背景によって、SalesforceはMFAの必須化に踏み切ったのではないでしょうか。

そもそもMFA(多要素認証)とは?

MFAとは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する方式であり、設定した全ての要素をクリアしないとアクセスできない仕組みを提供します。リモートワークなどの新たな働き方に対応するため、各企業は様々な対応を余儀なくされました。セキュリティも過渡期であり、攻撃者は、この過渡期に便乗し、巧みな手段で攻撃をしかけてきます。不正アクセスの常套手段は、ID・パスワードの窃取であり、万一、情報を窃取された場合でも安全を担保できる仕組みがMFAとなります。

MFA(多要素認証)とは?


MFA必須化の要件を満たす方法

Salesforceでは、MFAの必須化に伴い「Salesforce Authenticator」というモバイルアプリケーションを無償で提供しています。このアプリケーションを2つ目の認証要素として利用することが可能になります。連携設定を実施すると、ID・パスワードによる認証後、「Salesforce Authenticator」に認証要求の通知が届きますので、モバイル側で「承認」をタップすればSalesforceにログインできる仕組みです。また、サードパーティの認証アプリケーションやセキュリティキーも利用可能です。有名なGoogle AuthenticatorやMicrosoft AuthenticatorといったOTPアプリやYubikeyなどの認証デバイスが利用可能ですので、既にこれらを利用している場合には、
Salesforce認証にも利用することが可能になります。他にも、フェデレーション方式のSSO(シングルサインオン)を利用することも可能です。OktaやAzure AD、オンプレミスIdP(Identity Provider)システムに対して、SAMLやOpen ID Connectといったフェデレーションプロトコルを利用して連携し、IdP側のMFAを利用して認証する形式となります。

一点注意しておきたい点は、Salesforceの2つ目の認証要素として、メール、SMS、電話が許可されていない点にあります。メールやSMSにるテキストメッセージと電話による通話は傍受される恐れがあるからです。
そのため、社用モバイル端末を貸与されていないユーザの2つ目の認証要素をどうするか?という課題をお持ちのお客様が多い印象です。

認証の今後

MFAの必要性は既に世界的な潮流であり、各アプリケーション、特にSaaSの世界では今後、Salesforceに追従してMFAが必須化されていくと思われます。MFAを必須化するアプリが増えると、個別に対応していくことが難しくなります。なぜ難しいのか、以下のような理由が考えられます。

1.アプリケーションごとにMFAによる認証が必要になる
個別にMFAを適用していくと、各アプリケーションにアクセスする度に都度MFAによる認証が必要になります。例えば、SalesforceとGoogle WorkspaceにてそれぞれMFAを設定した場合、Salesforceにログインして作業した後に、Google Workspaceにアクセスすると再度MFAによる認証が必要になります。

2.利用者による反発
MFAを適用すると認証の要素が2つ以上になるので、使いたいサービスにアクセスするまでの認証行為が単純に増えることになります。そのため、利用者にとっては操作が面倒になり、歓迎しない人も少なくないと思われます。更に1のようにMFA適用アプリごとに複数要素での認証が発生する状況になると、利用者サイドの不満が爆発すると考えられます。

3.アプリケーションごとに対応するMFA形式が異なる可能性
SalesforceのMFA対応として「Salesforce Authenticatior」を採用した後で、他のSaaSアプリでもMFAが必須化された場合、既存の「Salesforce Authenticatior」が利用できない可能性があり、その場合は、複数の認証用アプリ、認証デバイスを保持しなくてはならない状態に陥ります。

これらの問題は、MFAを個別に適用することによって発生します。そこで、来るべきMFA必須化時代に備えるために、MFAを基盤として整備していく必要性があると言えるのではないでしょうか。

MFA必須化時代の最適解

「MFAを基盤として整備していく」というのは、MFAによる認証を1ヵ所にまとめ、認証されて始めて、あらゆるアプリケーションへのアクセスを許可する仕組みを構築するということです。MFAの機能だけではなく、認証後に許可されたアプリケーションへのアクセスを安全な通信で接続可能とするSSOの機能も並行して利用する必要があります。つまり、MFAとSSOをSaaSサービスに提供できる仕組み=IDaaSを利用することがMFA必須時代の最適解と言えます。

MFA必須化時代の最適解

なお、認証後に各SaaSへの認証許可、アクセス制御を実現するにはSAMLやOpenID Connect(OIDC) というフェデレーション用のプロトコルを利用します。
そのため、SAMLだけでなくOIDCにも対応しているIDaaSを選択することを推奨します。
また、IDaaSには、各SaaSとの連携を容易とする事前定義済のテンプレートが用意されていることが多いのですが、準備されているテンプレートの数も選定の重要なポイントになります。

アシストが取り扱っているOkta Identity Cloud は、SAMLだけでなくOIDC、WS-Federationにも対応しており、事前定義済テンプレートは7,200(2021年11月時点)を超える業界随一のIDaaSです。
また、対応するMFAも14種類から選択できます。先程、「社用モバイル端末を貸与されていないユーザの2つ目の認証要素をどうするか?」という課題があったかと思いますが、Oktaを利用すれば、柔軟に対応が可能です。
例えば、モバイル端末を貸与している社員には、モバイル端末にインストールして利用するタイプのOTPアプリを利用して認証させ、モバイル端末を貸与していない社員にはYubikeyのような認証デバイスを配布して対応するなどの方法を柔軟に設定することが可能になっています。

Oktaメリットポイント

まりから一言

時代の背景を探っていくと、SalesfoceによるMFAの必須化は「今、実装しなければならない対応」であることがお分かりいただけたかと思います。
その為、他のSaaSアプリケーションも追随していく可能性が非常に高いと考えられます。来るべき、MFA必須化の時代に対応するため、早期に認証基盤をMFA対応させていく必要があります。
アシストでは、上記でご紹介したOkta Identity Cloud だけでなく、認証基盤全体に関するお悩みに対して様々なご提案か可能です。ぜひお気軽にお問い合わせください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ID管理
  • 認証
2021.10.13

特権ID管理ツール「こういうのでいいんだよ」シェアNo.1の人気の理由

安全性や効率性、監査対応の面から多くの企業で導入が進んでいる特権ID管理ツール。市場に多くの特権ID管理ツールがある中、「iDoperation」がなぜシェアNo.1なのか、3つの理由をご紹介します。

  • 認証
  • ID管理
2021.02.09

IDaaSとは?(3)Active Directoryからの移行ロードマップ

さてIDaaSへ移行するとして、既存のActive Direcoryの扱いはどうしたら良いのでしょう?IDaaSへの移行ロードマップについて、押さえておきたいポイントを踏まえながらご紹介します。

  • 認証
  • ID管理
2021.01.20

SAMLとは?SAML認証の流れをRPG風に解説

シングルサインオンを実装する仕組みの1つであるSAML(サムル)。このSAMLを使った基本的なシングルサインオンの流れが楽しくイメージできるよう、RPG風のストーリーに仕立ててみました。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る