なぜ、Salesforceは多要素認証を義務化したのか

なぜ、Salesforceは多要素認証を義務化したのか

はじめに

Salesforceを利用するユーザ向けに多要素認証の適用が20222月から義務化されました。 

本コラムでは多要素認証とは何か、Salesforceの考える多要素認証の要件がどういったものなのかを紹介します。 

Salesforceとは

Salesforceとは、セールスフォース・ドットコム社が提供する世界No.1シェアの顧客管理ソリューションです。

全世界で15万社を超える企業が導入しており、日本でも5,000社以上が導入しています。

マーケティング、営業、コマース、カスタマーサービスなど、様々な製品群のサービスを提供していますが、その全てがクラウドで提供されています。

多要素認証(MFA)とは

多要素認証(MFA)とは、「知識認証」、「所持認証」、「生体認証」のうち2つ以上を組み合わせてユーザの認証を完了させることを指します。

知識認証」とは知識や記憶による認証です。代表的なものには「パスワード」や「秘密の質問」があります。 

所持認証」とは所有物による認証です。代表的なものには「証明書」や「メールやSMSに通知するワンタイムコード」、「ハードウェアトークン」があります。

生体認証」とは本人の特徴による認証です。代表的なものには「指紋認証」や「顔認証」があります。

また、同じ要素を2段階に分けて認証する場合は「2段階認証」と言い、2要素認証(多要素認証)とは異なるものです。

Salesforceはなぜ多要素認証を義務化したのか

Salesforceというサービスの特性に加えて、セキュリティ対策を強化することがこれまで以上に重要になってきたことから、Salesforceは多要素認証を義務化しました。

Salesforceというサービスの特性

SalesforceのユーザはSalesforceを使ってユーザの顧客情報、特に個人情報を取り扱うことが多いことが挙げられます。
なりすましなどの被害にあったときのリスクが他のサービスよりも高いことになります。

脆弱な認証を利用していて、なりすましによって不正アクセスなどがされた場合に、ユーザの顧客データそのものが流出してしまうと、その被害は計り知れません。

パスワード認証の危険性

パスワード認証だけでは解読されるリスクがあります。以下の表はパスワード解読までにかかるとされる時間です。

文字種 8桁 10桁 12桁
アルファベットのみ 5秒 58分 3週間
アルファベット+数字 1分 1日 3年
アルファベット+数字+記号 19分 1ヶ月 200年

さらに、量子コンピューティングなど技術の発展によって、今後これがより短くなる可能性が高いと言われています。
また、コロナ禍においてリモートワークを採用する企業が増え、セキュリティ対策を強化することがこれまで以上に重要となってきました。

リスクを低減するための対策

これらのリスクを低減するためには一般的に2種類の対策が考えられます

パスワードの文字数をとても長くし、さらに文字種を増やしていくことによって、難解なものにし、簡単に推測できないかつ、突破されにくいものにする

パスワードの文字数をとても長くすることは簡単に対策できることのように思えますが、ユーザの利便性が下がり、ユーザはパスワードの使いまわしをしてしまうことが多くなります。
さらに、パスワードの使い回しを回避するという運用はユーザに委ねられます。

この対策は、可能性が低いだけであって解読される可能性は残り、なりすましなどの不正アクセスのリスクは残ることになります。

パスワード以外の認証要素を追加して、本人以外が認証できないようにする

パスワード認証(知識認証)の他に「所持認証」「生体認証」を組み合わせ、多要素認証を採用することで利便性を下げずになりすましのリスクを減らすことが可能です。

Salesforceに限らず、多くのサービスでは多要素認証を採用し、なりすましや不正アクセスの対策をしています。

Salesforceの多要素認証(MFA)とは?

Salesforceとしてはどのような多要素認証を推奨し義務化しているのでしょうか。

Salesforceが求める多要素認証の要件を満たすためにはいくつかの方法があります。

  • Salesforceが提供する認証アプリ(Salesforce Authenticator)を利用する
  • サードパーティ製の認証アプリをスマートフォンにインストールして利用する
  • USBなどの端末を利用したセキュリティキーを利用する
  • WindowsなどOSに組み込まれているセキュリティキーを利用する

上記の要件を満たすことが可能であれば、SalesforceとSSO(シングルサインオン)できるサービスやIDaaSを導入して実現することもSalesforceは認めています。

ただし、Salesforceとしてはメール、SMS、電話による「ワンタイムコード」の通知や「秘密の質問」を認証手段とすることを許容していません。
証明書やハードウェアトークンなどよりセキュリティレベルの高い多要素認証を必須の要件としています。

さいごに

Salesforceが義務化した多要素認証について、その背景も合わせてご紹介しました。

NTTテクノクロスでは、Salesforceへの多要素認証導入を容易にする「運用支援スイート(MFA)」や、シングルサインオン基盤として「TrustBind/Federation Manager」を提供しております。

運用支援スイート(MFA)」では、Salesforceに特化して多要素認証を導入することが可能です。

TrustBind/Federation Manager」では、Salesforceに限らず様々なサービスとのシングルサインオンや多要素認証をお客様のサービスへの影響を最小限にしつつ導入できるソリューションです。

 

Salesforceの多要素認証でお困りの方はぜひNTTテクノクロスまでご相談ください。

 

関連記事のご紹介

NTTテクノクロス株式会社のコラムサイト「情報畑でつかまえて」でも、Salesforceの多要素認証に関する記事が公開されています。
合わせてご覧ください。

SalesforceがMFAを義務化 ~スムーズな適用に必要なこと~

https://www.ntt-tx.co.jp/column/salesforce/220330/

合わせて読みたい