ユーザー ID のセキュリティ保護
学習の目的
このモジュールを完了すると、次のことができるようになります。
- ユーザーに多要素認証を設定する。
- MFA ログインに Salesforce Authenticator アプリケーションを使用する。
- 組織にログインするユーザーに関するログイン情報を取得する。
多要素認証と Salesforce Authenticator を使用したアカウントアクセスの保護
ユーザー名とパスワードだけでは、フィッシング攻撃などのサイバー脅威から保護するには十分とは言えません。ログインプロセスのセキュリティを強化し、組織のデータを保護する効果的な方法は、ログイン時に本人であることを証明する追加の情報を提供するようユーザーに求めることです。セキュリティ専門家は、この方法を多要素認証 (MFA) と呼んでいます。Salesforce では、MFA は非常に重要であると考えており、当社の製品とサービスにアクセスするすべての人に MFA を義務付けています。MFA 要件については、「Salesforce 多要素認証に関する FAQ」を参照してください。
多要素認証とは?
数学の方程式か何かのように聞こえますよね? 数学が得意であっても苦手であっても、MFA は高校の代数と何の関係もありません。ユーザーが間違いなく本人であることを確認するための機能です。
2 要素認証 (2 FA) という用語のほうをよくご存じかもしれません。心配いりません。2 FA は MFA の一種ですが、実質的に同じことを指しています。
では、多要素とはいったい何でしょうか? ユーザーがログインするときに本人確認のために提示する異なる種類の証拠です。
- 1 つの要素はユーザーが知っている情報です。Salesforce ログインの場合は、ユーザー名とパスワードの組み合わせがそれに該当します。
- 他の要素は、認証アプリケーションがインストールされているモバイルデバイスや物理的なセキュリティキーなど、ユーザーが所有している検証方法です。
多要素認証という名前は知らなくても、すでに使用したことがあるのではないかと思います。ATM から現金を引き出すたびに、自分が所有しているもの (キャッシュカード) と自分が知っていること (暗号番号) の組み合わせを使用しています。
ユーザー名とパスワードに加えて別の要素を要求することで、組織に重要なセキュリティレイヤーがさらに追加されます。ユーザーのパスワードが盗まれた場合でも、ユーザーが物理的に所有する要素を攻撃者が推測したり偽装したりする可能性はかなり低くなります。
納得ですよね? では、その方法を見ていきましょう。
多要素認証のしくみ
MFA では、Salesforce ログインプロセスにステップが追加されます。
- ユーザーは通常どおりユーザー名とパスワードを入力します。
- ユーザーは Salesforce でサポートされる検証方法の 1 つを入力するよう要求されます。
次の検証方法のいずれか、またはすべてを許可できます。
Salesforce Authenticator |
お客様のログインプロセスにシームレスに統合される無料のモバイルアプリケーション。ユーザーはプッシュ通知で ID をすばやく検証できます。このアプリケーションについては後ほど詳しく説明します。 |
サードパーティの TOTP 認証アプリケーション |
促されたときにユーザーが入力する一意の仮の確認コードを生成するアプリケーション。このコードは、「時間ベースのワンタイムパスワード」(TOTP) と呼ばれることもあります。ユーザーは Google Authenticator、Microsoft Authenticator、Authy を含むさまざまなオプションから選ぶことができます。 |
セキュリティキー |
サムドライブに似た小型の物理トークン。このオプションを使用したログインは迅速かつ簡単です。ユーザーがキーをコンピューターに接続し、キーのボタンを押すだけで ID を検証できます。ユーザーは FIDO Universal Second Factor (U2F) 標準または FIDO2 WebAuthn 標準 と互換性のある任意のキー (Yubico の YubiKey や Google の Titan セキュリティキーなど) を使用できます。 |
組み込み Authenticator |
指紋や顔認識スキャナーなど、ユーザーのデバイスに組み込まれている生体認証リーダー。場合によっては、組み込み Authenticator でユーザーがデバイスのオペレーティングシステムで設定した PIN やパスワードを活用することができます。一般的な例としては、Touch ID、Face ID、Windows Hello などが挙げられます。 |
ユーザーが多要素認証の入力を促される状況
MFA を有効にすると、ユーザーはログインするときに毎回多要素を入力する必要があります。Salesforce のサービス利用規約の一部として、すべてのお客様はユーザーインターフェースログインに MFA を設定する必要があります。こうすることで、すべての Salesforce 組織が最初から十分なセキュリティで保護されます。
セキュリティをさらに強化するために、次のような状況に対しても MFA を必須にすることができます。
- ユーザーが Salesforce API にアクセスするとき。API アクセスの MFA 設定については、ヘルプ記事「API アクセスの多要素認証ログイン要件の設定」を参照してください。
- ユーザーが接続アプリケーション、ダッシュボード、またはレポートにアクセスするときに表示する。このプロセスをステップアップ認証または高保証認証といいます。
- カスタムログインフローの実行中またはカスタムアプリケーション内に表示する (使用許諾契約を読む前など)。このトピックについてはモジュールの後続の単元で詳しく説明します。
MFA を有効化するためのオプション
ユーザーの MFA を有効化する方法は 2 通りあります。
MFA を有効にすると、ユーザーが組織にログインする方法に影響するため、まずはパイロットプログラムから始めて、時間をかけて徐々にユーザーに適用していくことをお勧めします。
MFA ロールアウトのタイミングをずらすことのメリットは、変更管理の影響を一度に一部のユーザーグループに限定できることです。そうすれば、初期のグループからフィードバックを収集し、残りのユーザーへのロールアウトプロセスを改善することができます。また、各フェーズで影響を受けるユーザーが少なくなるため、システム管理者が一度に扱う MFA 関連のサポートケースの量も少なくなります。この段階的なアプローチは、MFA ユーザー権限を限定されたユーザーに割り当てることによって実行できます。
一方、思い切って全ユーザーの MFA を一度に有効化することも可能です。すべてのユーザーを早期に有効化すれば、Salesforce MFA 要件により早く準拠することができます (もう、おわかりですよね?)。一括して有効化する準備ができたら、1 つの設定を使用して組織全体の MFA を有効にすることができます。
この単元では、両方の方法を詳細に確認し、それぞれのメリットを紹介します。次の動画でデモンストレーションをご覧ください。
MFA にセッションセキュリティレベルが設定されていることの確認
どのような方法で MFA を有効化することにしたとしても、適切なセキュリティレベルが MFA ログイン方法に関連付けられていることを確認する必要があります。ほとんどの本番組織では、この設定がすでに適用されています。設定されていない場合は、システム管理者ユーザーの MFA 要件を設定する前にこのステップを実行することが重要です。実行しないと、自分や他のシステム管理者がログインできなくなります。
- [設定] から、[クイック検索] ボックスに
Session Settings
と入力し、[セッションの設定] を選択します。 - [セッションセキュリティレベル] で、多要素認証が [高保証] カテゴリであることを確認します。
セッションセキュリティレベルが正しく設定されていれば、MFA ジャーニーを開始できます。
選択したユーザーの MFA の有効化
あなたが Jedeye Technologies の Salesforce システム管理者であるとします (けれども、この会社は銀河系の果てにあるわけではありません)。最高セキュリティ責任者から、「全従業員を対象に、会社の Salesforce 組織にログインときに毎回ユーザー名とパスワード以外の情報も入力させる」という使命を言い渡されました。
まずは、Jedeye Technologies の新入社員である Sia Thripio の MFA を有効にすることから始めましょう。Jedeye の全従業員に適用するときに万全の準備で臨めるように Sia からのフィードバックを参考にすることができます。それでは、Sia の Salesforce ユーザーを作成し、彼女のアカウントで MFA を有効にすることから始めます。
ハンズオンを始めるには
今すぐ Trailhead Playground を起動し、このモジュールの手順を実行してみましょう。Trailhead Playground を開くには、ハンズオン Challenge までスクロールダウンし、[起動] をクリックします。また、ハンズオン Challenge を実行するときにも Playground を使用します。
また、前述のとおり、一部のタスクを完了するには、Android または iOS を実行するモバイルデバイスも必要です。
ステップ 1: ユーザーを作成する
- [設定] から、[クイック検索] ボックスに
Users
と入力し、[ユーザー] を選択します。 - [新規ユーザー] をクリックします。
- 姓と名にそれぞれ
Sia
とThripio
と入力します。 - [メール] 項目にあなたのメールアドレスを入力します。Sia のユーザー通知を実際に受信するためです。
- Sia のユーザー名を作成して [ユーザー名] 項目に入力します。ユーザー名はメールアドレス形式にする必要がありますが、実際のメールアドレスである必要はありません。メールアドレスは必ず Trailhead Playground 内で一意なものにします。このユーザー名は、後で Sia としてログインする際に入力するため、短くて覚えやすいものにすることをお勧めします。たとえば、Sia の名の頭文字、姓、現在の日付を使用して、SThripio.12202020@trailhead.com のようにします。
- ニックネームの値を編集するか受け入れます。
- [ユーザーライセンス] で、[Salesforce Platform] を選択します。
- [プロファイル] で、[標準 Platform ユーザー] を選択します。この時点で、Salesforce CRM Content のアラートを受信するオプションをオフにしておきます。Salesforce からの不必要なメールで受信箱を乱雑にする必要はありません。
- ページのかなり下のほうにある [パスワードをリセットしてユーザーに通知する] が選択されていることを確認します。[メール] 項目にあなたのメールアドレスを入力したため、Salesforce から Sia の新規ユーザーに関するメールが届きます。
- [保存] をクリックします。ユーザーを確認して Sia のパスワードを設定するためのリンクが送信されます。メモ: そのユーザー名はすでに存在します、というエラーが表示された場合は、別の名前のユーザーを作成します。
- Sia としてログインし、パスワードをリセットします。
パスワードを設定したら、Sia のユーザーアカウントで MFA を有効にします。
ステップ 2: 多要素認証の権限セットを作成する
「ユーザーインターフェースログインの多要素認証」ユーザー権限を割り当てて、選択したユーザーの MFA を有効にします。このステップを実行するには、プロファイルを編集するか、特定のユーザーに割り当てる権限セットを作成します。
権限セットは、さまざまな Salesforce 機能へのアクセス権をユーザーに付与する設定と権限のコレクションです。では、MFA 権限を使用して権限セットを作成しましょう。
- Sia としてログインしている場合は、ログアウトします。Trailhead Playground のシステム管理者として再度ログインします。
- [設定] から、[クイック検索] ボックスに
Permission
と入力し、[権限セット] を選択します。 - [新規] をクリックします。
- この権限セットに
MFA Authorization for User Logins
という表示ラベルを付けます。 - [保存] をクリックします。
- [システム] で、[システム権限] をクリックします。
「MFA Authorization for User Logins (ユーザーログインの MFA 認証)」権限セットの詳細ページが開きます。
- [編集] をクリックします。
-
[ユーザーインターフェースログインの多要素認証] を選択します。
- [保存] をクリックし、もう一度 [保存] をクリックして権限の変更を確認します。
もう少しで作業は終了します。あとは権限セットを割り当てるだけです。
ステップ 3: 権限セットを Sia のユーザーに割り当てる
今のところは、権限セットを Sia だけに割り当てます。後で MFA を次のグループにロールアウトする準備ができたら、同じ権限セットを他のユーザーに割り当てることができます。
新しい権限セットの詳細ページが表示されていない場合は、そのページに戻ります。
- 新しい権限セットの詳細ページで、[割り当ての管理] をクリックします。
- [割り当てを追加] をクリックします。ユーザーのリストで、Sia のユーザーの横にあるチェックボックスをオンにします。(必要に応じて一度に最大 1,000 人のユーザーを割り当てることができます)。
- [割り当て] をクリックします。
- [完了] をクリックします。
これで Sia の多要素認証が有効になりました。次回 Sia がログインすると、ユーザー名とパスワード以外の第 2 要素として検証方法の入力を促すメッセージが表示されます。
組織内のすべてのユーザーに対する MFA の有効化
時間を早送りしましょう。あなたは Sia と組織内の他の数人のユーザーを対象とした MFA パイロットプログラムを完了しました。その後、数か月にわたって、より多くのユーザーを対象にして一度に 1 グループずつ慎重に MFA をロールアウトしました。これで、すべてのユーザーに MFA を義務付けるという、最後の飛躍を遂げる準備が整いました。
MFA ロールアウトは、チェックボックス 1 つですばやく完了することができます。また、段階的なアプローチをまったく必要としない場合は、このステップまで直接スキップできます。
組織内のすべてのユーザーに MFA を有効にする最も迅速で簡単な方法は、次のとおりです。
- [設定] から、[クイック検索] ボックスに
Identity
と入力し、[ID 検証] を選択します。 -
[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] チェックボックスを選択します。
- [保存] をクリックします。
はい、これだけです。これで、以前に MFA ユーザー権限を割り当てているかどうかに関係なく、組織内のすべてのユーザーにログイン時に MFA を完了することが義務付けられるようになりました。
この時点で、皆さんはどうしても質問したいことがあるかもしれません。たとえば、テスト自動化ツールのアカウントなど、現実の組織で一部のユーザーアカウントが MFA 要件から除外されている場合はどうなるのかや、この設定はそのようなユーザーアカウントにも影響するのかといったことです。
確かに、Salesforce の MFA 要件は一部の種別のユーザーには適用されません。除外ユーザーがいる場合は、先ほど練習した組織の設定を有効にする前に、そのユーザーを MFA から除外してください。除外されるユーザー種別とその除外方法については、Salesforce ヘルプの「MFA からの除外ユーザーの除外」を参照してください。
ユーザーが MFA ログインに Salesforce Authenticator を登録する方法
ユーザーが少なくとも 1 つの検証方法を取得できるように手助けしないまま多要素認証を義務付けることは、何の前触れもなく天空の都市に送り出すようなもので、賢明ではありません。かといって、冷ややかな目で見られたり投獄されたりすることはないでしょうが、大作映画を鑑賞しながら感動に浸っている最中に問い合わせの電話が殺到するかもしれません。幸いにも、Salesforce ではシステム管理者がユーザーを簡単に手助けできます。認証アプリケーションを各自のモバイルデバイスにダウンロードして、Salesforce アカウントに接続するよう指示するだけです。
ユーザーがアプリケーションをすぐにダウンロードしなくても、慌てることはありません。MFA 要件を有効にした後、ユーザーが初めてログインしたときに検証方法を登録するように促すメッセージが表示されます。
新入社員の Sia Thripio は、高速認証用の便利なプッシュ通知機能を利用できる Salesforce Authenticator モバイルアプリケーションを使用したいと考えています。では、登録とログインのプロセスがどのように機能するかを見てみましょう。あなたの Android または iOS モバイルデバイスを Sia の電話として使用します。ここでは、Salesforce Authenticator アプリケーションをダウンロードして、Sia の Salesforce アカウントに接続します。
次の手順では 2 つのデバイスを頻繁に行ったり来たりすることを予めお知らせしておきます。電話を使用するときは、Salesforce Authenticator アプリケーションで Sia として作業します。デスクトップを使用するときは、Web ブラウザーで Trailhead Playground に Sia としてログインして作業します。
- 電話: App Store から Salesforce Authenticator for iOS、または Google Play から Salesforce Authenticator for Android をダウンロードしてインストールします。
- Salesforce Authenticator のアイコンをタップして開きます。
- デスクトップ: Trailhead Playground にシステム管理者としてログインしたままの場合は、ログアウトします。
- デスクトップ: Sia のユーザー名とパスワードを入力してログインします。
- デスクトップ: Salesforce に、Salesforce Authenticator を Sia のアカウントに接続するように求めるメッセージが表示されます。
- 電話: ツアーを見て、Salesforce Authenticator のしくみを理解します。
- 電話: Sia の携帯番号を入力して、Salesforce Authenticator に接続されるアカウントのバックアップを作成します。確認を完了するメッセージが表示されたら、通知をタップします。ここでは、パスコードの作成を省略して構いません。(後々、Sia がアカウントを復元するためのバックアップを設定することにした場合、パスコードを設定できます)。
- 矢印をタップして、Sia のアカウントを Salesforce Authenticator に追加します。アプリケーションに 2 語の語句が表示されます。(ところで、詩的な表現や面白いフレーズはありますか? 情報のご提供をお待ちしております。#Trailhead #AwesomePhrase #SalesforceAuthenticator)。
- デスクトップ: [2 語の語句] 項目に語句を入力します。
- デスクトップ: [接続] をクリックします。
- 電話: Salesforce Authenticator に、ユーザー名とサービスプロバイダーの名前 (この場合は Salesforce) など、Sia のアカウントの詳細が表示されます。
- 電話: [接続] をタップします。
- デスクトップ: Sia が Salesforce アカウントにログインしています。これで Sia が業務を開始できます。
これ以降、Sia が Salesforce アカウントにログインすると、電話に通知が送信されます。Sia は Salesforce Authenticator を開いて、アクティビティの詳細を確認します。問題がなければ、[承認] をタップしてログインを完了します。
では、他の誰かが Sia のユーザー名とパスワードを使ってログインしようとするとどうなると思いますか? Sia に通知が送信され、Salesforce Authenticator にログイン要求を拒否するように指示できます。膨大です!
では、Salesforce Authenticator が追跡するデータを詳しく見てみましょう。
- ユーザーがアクセスしようとしているサービス。Salesforce の他に、Salesforce Authenticator を LastPass パスワードマネージャーや、より強力な認証を義務付けるその他のサービスと共に使用することができます。
- ログインしようとしているユーザー。
- Salesforce Authenticator が検証しているアクション。より厳重なセキュリティを設定している場合は、その他のアクションがここに表示されることもあります。たとえば、ユーザーがレコードやダッシュボードにアクセスしようとするときに認証を義務付けることができます。このプロセスは「ステップアップ」認証と呼ばれます。
- ログイン試行が行われているブラウザーまたはアプリケーションに関する情報 (使用されているデバイスなど)。
- 電話の所在地。
認証プロセスの自動化
Sia がいつも同じ場所 (オフィス、自宅、お気に入りの落ち着いたバーなど) からログインしているとします。そのうち電話で [承認] をタップするのにうんざりしてくるかもしれません。Salesforce Authenticator で電話のロケーションサービスを利用できるようにすると、すべての詳細が認識された時点でアクティビティを自動検証するようにアプリケーションに指示できます。つまり、同じデバイスと同じブラウザーまたはアプリケーションを使用して特定の場所からログインする場合は、電話をポケットから取り出す必要さえありません。Salesforce Authenticator は MFA 要件を自動的に処理できます。
実際に試してみましょう。
- デスクトップ: Sia のアカウントからログアウトしてから、再び Sia としてログインします。
- 電話: 応答画面で [Trust and automate this request (この要求を信頼し、自動化する)] を選択します。次に、[承認] をタップします。
この詳細が信頼できる要求として保存されます。 - デスクトップ: Sia のアカウントからログアウトしてから、再びログインします。成功です。承認は求められません。すべての詳細が以前に保存した信頼できる要求と一致することが認識されます。そして、アクセス権が自動的に付与されます。
Sia は、新しい場所から異なるブラウザーやデバイスでログインするたびに、その新しい詳細を Salesforce Authenticator の信頼できる要求のリストに追加できます。信頼できる要求 (他のアカウントやアクションに対する要求など) は、いくつでも保存することができます。アカウントに対する信頼できる要求を表示するには、矢印アイコンをタップして、アカウント詳細ページを開きます。
アカウント詳細ページには、信頼できる要求およびログイン活動履歴が表示されます。[検証済みの活動] には、Salesforce Authenticator が Sia の Salesforce へのログインを検証した回数が表示されます。[自動化] には、Sia が信頼できる要求を使用して Salesforce Authenticator で自動的にログインした回数が表示されます。
Sia が要求を信頼しなくなった場合はどうすればよいでしょうか? 簡単です。左にスワイプするだけです。すべての信頼できる要求を同時にクリアするには、 を選択して [Remove All Trusted Requests (すべての信頼できる要求を削除する)] をタップします。
データ接続が切断された場合などに自動検証が機能しないことがあります。これは問題ありません。その場合は、Salesforce Authenticator に表示される TOTP コードを入力するだけです。
信頼できる IP アドレス (社内ネットワークなど) のみにユーザーの自動検証を制限したいですか? または自動検証を完全に拒否しますか? その場合は、システム管理者としてログインし、組織の [ID 検証設定] に移動して、許可する内容を変更します。
Salesforce Authenticator を使用した自動化の詳細については、Salesforce ヘルプの「Automate Multi-Factor Authentication with Salesforce Authenticator (Salesforce Authenticator を使用した多要素認証の自動化)」および「Optimize and Troubleshoot Automation in Salesforce Authenticator (Salesforce Authenticator での自動化の最適化とトラブルシューティング)」を参照してください。
Sia が携帯電話を紛失した場合は?
良い質問です。ご存知のとおり、ユーザーは酔いつぶれたり、砂漠の惑星に置き去りにされたり、携帯電話を失くしたりするものです。こんなことは日常茶飯事です。Sia が携帯電話を紛失して新しい電話を入手した場合や、誤って Salesforce Authenticator を削除してしまった場合、いくつかの選択肢があります。作成してあるバックアップからアカウントを復元するか、Salesforce Authenticator からアカウントを切断してからアプリケーションを再登録することができます。
Sia が Salesforce Authenticator アプリケーションでアカウントのバックアップを有効化していれば、まったく問題ありません。必要なのは、新しい携帯電話に Salesforce Authenticator を再インストールすることだけです。アプリケーションを開くと、バックアップからアカウントを復元するためのオプションが表示されます。アカウントをバックアップしたときに使用したパスコードを入力すると、携帯電話にアカウントが再表示されます。
アカウントをバックアップしていなかった場合はどうすればよいでしょうか? システム管理者が次の操作を実行できます。
- システム管理者としてログインします。
- [設定] から、[クイック検索] ボックスに
Users
と入力し、[ユーザー] を選択します。 - Sia の名前をクリックします。
- Sia のユーザーの詳細ページで、[アプリケーション登録: Salesforce Authenticator] の横にある [切断] をクリックします。
Sia が次にログインしたときに他の検証方法が接続されていない場合、Salesforce Authenticator に再度接続するように促すメッセージが表示されます。
組織にログインしたユーザーの監視
システム管理者の重要な職務の 1 つは、組織に誰がログインしているかを把握することです。ID 検証履歴はそのための機能です。
- Trailhead Playground のシステム管理者としてログインします。
- [設定] から、[クイック検索] ボックスに
Verification
と入力し、[ID 検証履歴] を選択します。
[場所] 列を確認します。デフォルトではユーザーの国に設定されていますが、カスタムビューを作成することで詳細を取得できます。
おめでとうございます。ユーザーの MFA をいかに簡単に有効にできるかを見てきました。代替の検証方法として、セキュリティキーや組み込み Authenticator を有効にするなど、MFA 実装の他のオプションを検討することをお勧めします。ユーザーがモバイルデバイスを持っていない場合、または携帯電話の使用が敷地内で許可されていない場合、このどちらも優れた選択肢です。「[私のドメイン] を使用したログインプロセスのカスタマイズ」という次の単元では、ログインプロセスをさらに細かく制御する方法について学習します。
リソース
- Salesforce ヘルプ: 直接ユーザーログインの MFA の有効化
- Salesforce ヘルプ: Salesforce Authenticator
- Salesforce ヘルプ: Salesforce Authenticator の要件
- Salesforce ヘルプ: ID 検証のためのアカウントへの Salesforce Authenticator (バージョン 3 以降) の接続
- Salesforce ヘルプ: TOTP 認証アプリケーションを使用した ID の検証
- Salesforce ヘルプ: ID 検証のための U2F または WebAuthn セキュリティキーの有効化
- Salesforce ヘルプ: ID 検証のための U2F または WebAuthn セキュリティキーの登録
- Salesforce ヘルプ: ID 検証のための組み込み Authenticator の有効化
- Salesforce Help: Register a Built-In Authenticator for Identity Verification (ID 検証のための組み込み Authenticator の登録)
- Salesforce ヘルプ: カスタムログインフロー
- Salesforce ヘルプ: Monitor Identity Verification History (ID 検証履歴の監視)
- Salesforce ヘルプ: Salesforce Authenticator モバイルアプリケーションでの接続済みアカウントのバックアップ作成