SalesForceは多要素認証が必須に：なぜ、そして何をすればいいのか

2022年4月18日2023年2月7日

原題：Salesforce is requiring MFA: Why this matters and what you can do

2022年2月1日からSalesforceの利用において多要素認証（MFA）が必須となりました。Salesforceは顧客情報を守り、ユーザーアカウントやデータを守るための唯一最善の方法は強力なMFAの採用だと言います。SalesforceのMFA要件を十分に満たすYubiKeyは、物理セキュリティキーならではの強みがあります。

最新のサイバー攻撃は緩むことなく、中小・大企業を追い込み続けており、企業は顧客・従業員・事業パートナーを守るため、セキュリティインフラの改善を優先事項としなければなりません。ユーザー名とパスワードはもはや、とどまるところのない様相を見せるサイバー攻撃に対して十分なセキュリティ対策とは言えません。

2021年の終盤に、Salesforceは強く確たる姿勢で、2022年2月1日より同社の製品、ソリューション、プラットフォームへのアクセスは多要素認証（MFA）を必須とすると発表しました。この要件はテックジャイアントであるGoogleやTwitterが始めた同様の動きや、記憶に新しいところでは米国政府が大統領令14028で発表した、2024年までにSMSトークンや認証アプリのプッシュ通知などでのワンタイムパスコード利用は政府基準に適合しなくなるという方針に倣うものです。

Yubicoは、MFAを必須化してフィッシング耐性の強いFIDOセキュリティキー認証をサポートしたSalesforceの取り組みを称賛します。MFAを導入することで、Salesforceのような企業は、顧客やプラットフォームのセキュリティを大幅に強化し、より良いユーザーエクスペリエンスを提供しています。

Salesforceが発表した「要件」は、強力で最新のハードウェア認証を世界的に広め、事業に損害をもたらす恐れのあるサイバー脅威に対抗して、何十万もの顧客と企業により良いセキュリティをもたらすものです。

SalesforceのSenior Vice President of Identity Product ManagementであるIan Glazer氏は、“Salesforceにとって信用が第一であり、顧客情報を守ることが最重要項目です。ユーザーアカウントやデータを守るために人や組織ができる唯一最善の方法である強力なMFAの採用を促進するには、ハードウェアキーのような様々なMFA方式が必要です。顧客とのパートナーシップを通じてMFAを普及させることで、フィッシングやクレデンシャルスタッフィングなどの日常的な脅威への対策を講じることが可能になります。”と語っています。

MFAを導入したいが、どの方式を採用すればよいのか？

SMS、ワンタイムパスコード、モバイル認証アプリなど、従来の（或いはレガシーと言ってもよい）MFA方式のほとんどは、サイバー攻撃を回避するために有用ではあります。しかしすべてのMFA方式が同じセキュリティレベルを提供するわけではないことに注意しなければなりません。例えば、SMSベースの認証は、企業の安全確保における効果が十分ではないことが過去の事件で何度も証明されています。またSalesforceは強力なMFA方式の使用を要件に掲げていて、電子メールやSMSベースのワンタイムパスワードは許可していないということも注目すべき点です。

最新のFIDOベース（U2F/FIDO2/WebAuthn）認証に移行することで、組織やユーザーはフィッシング耐性の高いMFAを実現できます。YubiKeyのような物理的なセキュリティキーは、サイバーセキュリティへの厳しい要件に対応する傍ら、タッチするだけで本人認証とセキュアなアクセスが可能となる、極めてユーザーフレンドリーな方式です。

これらハードウェアベースのセキュリティキーは非常に安全で、SalesforceのMFA要件に完全に準拠します。あらゆるデバイスやOSで動作し、ネットワークサービスや電池を必要とせず、数百ものオンラインサービスやアプリケーションに安全にログインできるため、アカウント乗っ取りのリスクをほぼ完全に排除することが可能となります。

ビジネスに最適なYubiKeyを選ぶには

複雑なハイブリッドIT環境を持つ企業むけ、或いはクラウドネイティブのSMB企業向けなど、Yubicoは企業のインフラと従業員を守るための適切なキーを用意しています。YubiKey 5シリーズは、様々なサイズのマルチプロトコルセキュリティキーを提供し、YubiKey 5 FIPSシリーズは、すべての（米国内における）コンプライアンスと規制要件を満たすように設計されています。

私たちは、一般消費者から中小企業、大企業に至るまで、インターネットが誰にとっても安全な場所であるよう最高のソリューションを提供し続けます。

SalesforceのアカウントをYubiKeyでセキュアにするための、より詳細な方法を知りたいかたは以下よりお問い合わせください。