SalesforceでMFAが必須化！対応の方法や今後のセキュリティ課題について解説

Salesforceは2022年2月から、MFA（多要素認証）を必須化すると発表しました。なぜ今こうした決定が下されたのか、MFAに移り変わることにより、何が変わるのか。今回はSalesforceのMFAとこれからのセキュリティについて解説していきます。

SalesforceがMFAの必須化を発表

SalesforceはSFAとCRMを中心としたクラウド型ビジネスアプリケーションで、世界トップレベルのシェアを占めています。必要な機能を組み合わせて、業務効率を上げたりマーケティングに活かしたりと、企業によって様々な使い方がされています。

日本でも数多くの企業で導入されていますが、そのSalesforceからMFAを必須化するという発表がされました。今後もこれまでと同じように使い続けるためには、各企業がMFAに対応しなくてはなりません。

こうした発表の裏には、昨今のセキュリティ課題に対する危機感があります。アカウントの乗っ取りやフィッシング攻撃、クレデンシャルスタッフィング攻撃など、ユーザーの情報が悪用される脅威は少なくありません。

Salesforceが取り扱う情報は、各企業の顧客情報や経営情報など非常に重要な内容です。この情報を守るためにも、MFAの必須化は当然の流れだと言えるでしょう。

MFAの必須化に対応する方法

MFAとは多要素認証を指し、知識情報、所持情報、生体情報のうち2種類以上の情報を組み合わせて認証する仕組みのことです。知識情報とはユーザーの持っている知識を指し、パスワードや秘密の質問などを指します。

所持情報とはユーザーが持っている端末のことで、携帯電話やICカードなどのことです。生体情報とはユーザーの身体に関わる情報で、指紋や静脈などがこれに当たります。

MFA必須化に対応するには、2つの方法があります。1つ目は、ユーザーインターフェースを介して、Salesforceもしくはパートナーソリューションにログインするユーザーに対して、MFAを有効化するというやり方です。

2つ目は、Salesforceやパートナーソリューションにログインする際、フェデレーション方式のSSOを適用することで、SSOプロバイダーのMFAを使用するというやり方です。

また、MFAの二要素目としては「Salesforce Authenticatorモバイルアプリケーション」「サードパーティ認証アプリケーション」「セキュリティキー」のみ認められており、メールやSMSは除外されているので注意してください。

セキュリティへの配慮が求められる時代

ユーザーを脅かす脅威はインターネットが普及して以来ずっと存在していましたが、これからはセキュリティへのより深い配慮が求められています。というのも、新型コロナウイルスによりリモートワークの機会が増えてクラウドサービスが広まった結果、多くの企業が重要な情報をオンラインで管理するようになったためです。

十分な準備ができないままリモートワークを進めていった結果、2020年にはオンライン会議アプリケーションを狙うサーバー攻撃が話題となりました。こうした動きに伴い、Salesforce以外の企業でもセキュリティレベルを上げる動きが出ています。

例えば2021年5月には、Googleが2段階認証をデフォルト化すると発表しましたし、ChromeBookもFIDO認証でセキュリティを強化しています。今後も、多くの企業でこうした傾向が強まると予想されます。

業務で利用するサービスやアプリケーションについてはこのようにセキュリティが強化されていますが、各企業の現場ではまだまだ従業員の意識が追い付いてないというケースも多いです。例えば複数のクラウドサービスで同じIDとパスワードを使いまわしていたり、リモートワークにおける情報の取扱いについて社内ルールを整備しきれていなかったりということもあるでしょう。

セキュリティに関する問題は頻発するものではありませんが、一度何か起こってしまうと、企業としての信頼が一切なくなったり、顧客や取引先に甚大なダメージ与えたりと、非常に深刻化するものです。

「まだ何も起きていないから、うちは大丈夫」と安心するのではなく、何か起きる前から万全の準備を整えることをおすすめします。具体的にどんなことをすればいいのか、現時点でどんなリスクが考えられるのか、第三者の立場からプロの意見を取り入れたい場合は、ぜひ三谷商事にご相談ください。現状をヒアリングしたうえで、考えられる危険性やそれに対する解決策などをご提案いたします。