コラム詳細
はじめに
「働き方改革」の一環として、リモートワーク環境を積極的に拡大する企業が増えています。ただ、業務用の端末を職場以外の場所で使うことにより、情報漏洩リスクが高まる可能性も否定できません。そこで注目されているのが、「多要素認証(MFA)」技術です。CRM・SFA市場において国内外ともに圧倒的シェアを誇る「Salesforce」も、「Salesforce Authenticator」という無料のMFAアプリを提供し、セキュアなリモートワーク環境をサポートしています。今回は、「Salesforce Authenticator」の概要や設定・使用方法について解説します。Salesforceのセキュリティを強化したいが、どうすればいいかわからないというご担当者は必読です。
*多要素認証の設定やアクセス制御、権限設定などセキュリティについて解説しているこちらの資料「Salesforceアクセス制御 権限設定のポイント」と併せてご活用ください。
MFAアプリ「Salesforce Authenticator」とは?
リモートワークが急速に拡大し、さまざまな業務関連情報が保存されている端末を社外に持ち出す機会が増えたことにより、情報漏洩リスクも高まっています。そのため、情報漏洩抑止に一定の効果がある「多要素認証(MFA)」システムに注目が集まっています。
MFAとは、ログイン時の条件にIDとパスワード以外の要素(たとえばセキュリティキーや顔認証、デバイス認証など)を追加することで、本人確認の厳密性を高める認証方法です。
外出先からスマホやタブレットなどでアクセスできる「Salesforce」も、より安全なリモート環境を提供するため、2022年2月1日よりログイン時のMFAを必須化しました。これに伴い提供開始されたのが、スマホやタブレットにインストールして利用するMFAアプリ「Salesforce Authenticator」です。
インストール後、社内パソコン側からと、リモートで使用するモバイル端末側からの設定作業(詳細は以下の項を参照)が必要になりますが、面倒なのは最初だけです。端末設定時、支店や営業所など頻繁に訪れる場所や、ユーザの自宅で位置情報の承認を済ませておけば、以後、その場所でモバイル端末からSalesforceにログインする際、これまで通りのIDとパスワードだけで、MFA環境のデータ通信が可能になるのです。
SalesforceのMFAは、サードパーティ製のTOTP(ワンタイムパスワードによる認証方式)や、U2Fセキュリティキーを用いたデバイス認証方式にも対応していますが、導入しやすさや初期設定の簡易さ、バックアップ認証などの面から、Salesforce導入企業の多くがAuthenticatorを選んでいるようです。
「多要素認証(MFA)」の必要性について
リモートワーク環境を導入したい、または拡大したいが、なかなか踏み切れない…という企業や組織が、いまだに数多くあります。リモートワークに踏み切れない大きな要因の1つが、情報セキュリティ問題です。
業務関連情報が記録されているノートパソコンやタブレット、スマホなどを社外に持ち出すことにより、端末の紛失や盗難などによる情報漏洩リスクが高まることを警戒する企業・組織が多いのです。フリーWi-Fiなどを使って職場のシステムに接続したために、通信を傍受されてデータを盗まれる被害も多数発生しています。社内システムにアクセスするためのログインIDとパスワードが漏れてしまうと、なりすましなどの不正アクセスを防ぎにくくなります。
多要素認証(MFA)による通信環境の構築は、相応の手間とコストが必要なので、二の足を踏むシステム管理者も少なくはないようですが、不正アクセスの手口は年々高度化しています。とくにSalesforceの場合、自社の顧客リストや営業履歴などの情報がシステム内に入力されているため、不正アクセスされると自社だけではなく、すべての取引先に損害を与えてしまう危険性があります。
情報セキュリティ関連の脅威が加速度的に大きくなっている現在、IDとパスワードだけで情報を守るのは困難です。Salesforceが多要素認証(MFA)を必須化したのも、当然の成り行きと言えるでしょう。
「Authenticator」を使用した多要素認証の設定方法を解説
Salesforce Authenticatorによる多要素認証の設定方法は複数あるのですが、本稿では直接ユーザログインしてMFAを有効化する設定方法について紹介します。
権限セットを使用した設定方法
(1)「権限セット」を新規作成し、多要素認証の設定を行います。まず、「システム権限」から「ユーザインターフェースログインの多要素認証」権限をONにします。
その後、新規権限セット作成画面にて、以下の内容を定義します。
- ●表示ラベル:権限の内容がわかるように定義
- ●API参照名:表示ラベルの英語名などを設定
- ●セッションの有効化が必要:セッションの有効化を設定していて利用する場合にはこちらをチェックします。
<権限セット①>
(2)次に、作成した権限セット「多要素認証権限」に対してシステム権限を付与します。編集画面では「ユーザインターフェースログインの多要素認証」にチェックをして保存。
<権限セット②>
<権限セット③>
権限変更の確認画面が表示されたら「保存」ボタンをクリックします。
<権限セット④>
その後、利用ユーザの数に応じて「割り当ての管理」を実行します。ユーザ一覧から多要素認証を行うユーザを選択して、「割り当て」ボタンをクリックすると指定したユーザに権限セットが割り当てられます。
<権限セットの付与①>
<権限セットの付与②>
<権限セットの付与③>
(3)利用するモバイル端末のOSに合わせ、App StoreまたはGoogle Playストアで「Salesforce Authenticator」を検索し、インストールします。
<アプリインストール画面①>
(4)インストールが完了したら「Salesforce Authenticator」を開き、右上の「ツアーをスキップ」をタップ。モバイルデバイスの電話番号を入力し、送信をタップします。
<Salesforce登録2>
(5)ショートメッセージサービス(SMS)にメッセージが届いたら、メッセージ内のリンクURLをタップ。以下の画面が表示されます。
<Salesforceテキストメッセージ>
<ショートメッセージ画面>
(6)SMS認証完了後、Salesforce Authenticatorのアプリケーションに戻ります。パソコンでSalesforceのログイン画面を開き、多要素認証が設定されたユーザアカウントでユーザ名とパスワードを入力してログインします。
<スマホログイン1>
<PCでSalesforceログイン画面を開く>
(7)以下の「Salesforce Authenticatorを接続」画面が表示されます。この画面をパソコンで開いた状態で、スマホまたはタブレットのSalesforce Authenticatorアプリケーションの「アカウントを追加」を実行します。
<SalesforceAuthenticator接続画面>
<スマホログイン2>
(8)以下のように2つのワードが表示されるので、表示されたワードをパソコン画面に入力して接続をクリックします。
Salesforce Authenticatorアプリに以下の接続要求のメッセージが表示されるので、アカウントの接続画面でユーザ名とサービスを確認、間違いがなければ「接続」をクリックします。
<スマホログイン3>
<スマホログイン4>
(9)接続すると「アカウントが追加されました」のメッセージが表示され、「ロケーションの許可」、「位置情報へのアクセス」が表示されるので、許可するかしないかを選択します。
<ロケーション許可1>
<ロケーション許可2>
(10)Salesforce Authenticatorで接続許可すると、パソコン画面は自動的にログインし、ホーム画面へ移行します。
<接続許可後ホーム画面>
ユーザプロファイルを使った設定方法
「権限セット」を使って多要素認証の設定を行う以外に、プロファイルの設定からもMFAの認証設定ができます。手順は次の通りです。
(1)「プロファイル一覧」を表示し、多要素認証を行うユーザが利用しているプロファイルの編集を行います。複数のプロファイルが対象となる場合は、この手順を繰り返し実施します。
<ユーザプロファイル(1)>
(2)プロファイル画面で「編集」ボタンをクリック。プロファイルの編集を行ったら、「ユーザインターフェースログインの多要素認証」にチェックを入れます。
<ユーザプロファイル(2)>
(3)上記設定で当該プロファイルを利用しているユーザは、次回からのログインに多要素認証が必要となります。
<ユーザプロファイル(3)>
Salesforce Authenticatorユーザのログイン方法を解説
設定が完了したら、次はログイン方法について解説します。まず、初回のログイン手順です。
(1)パソコンのブラウザからユーザ名とパスワードを入力し、Salesforceにログインします。
<PCでSalesforceログイン画面を開く>
(2)「アカウントを追加」をタップします。
<アカウントを追加>
(3)「2語の語句」が表示されます。
※この画面の「pure ethics」は一例です。
<2語の語句>
(4)パソコンの画面の「2語の語句」を入力し、接続ボタンをクリックします。
<ユーザプロファイル(4)PC画面の2語の語句を入力>
(5)Salesforce Authenticatorが「アカウントの接続」に切り替わるので、「接続」をタップします。
<アカウントの接続>
(6)アカウントが追加されたことを確認し了解をタップします。
<アカウントの追加了解>
(7)パソコン画面が、「モバイルデバイスを確認」から完了アイコン画面に切り替わります。
<ユーザプロファイル(7) モバイルデバイスを確認>
これで、初回のログインが完了しました。2回目以降は次の通りです。
(1)パソコンのブラウザからユーザ名とパスワードを入力し、Salesforceにログインします。
<PCでSalesforceログイン画面を開く>
(2)Salesforce Authenticatorが「Salesforceにログイン」に切り替わりますので承認をタップ。
<Salesforceにログイン>
(3)パソコン画面が、「モバイルデバイスを確認」から完了アイコン画面に切り替わります。
<ユーザプロファイル(7) モバイルデバイスを確認>
Salesforce Authenticatorを使用する際の注意点
不正アクセスを防ぐ上で、Salesforce Authenticatorをはじめとする多要素認証システムの導入は、非常に有効な手段と言えます。一方で、不正アクセスを防ぐための厳重なアクセス制御が施されているシステムですから、初期設定の段階から正しい手順で作業を進め、利用開始後にイレギュラーな事象が発生した場合(ログインできない、承認されたモバイル端末を紛失したなど)も、Authenticatorのマニュアルに則ったやり方で対処することが重要です。
たとえば、Salesforceを使用する組織内の全ユーザが、MFAの準備を済ませていない状態でMFAを有効にすると、全員がログインできない状態が発生します。このトラブルを防ぐためには「一般ユーザを有効化」→「テスト用ユーザを有効化」→「操作方法の開示」→「本稼働」の順でMFAを有効化する必要があります。
また、モバイルデバイスの時刻とパソコンの時刻および公式時刻とは常に一致している必要があり、一致していない場合、無効なトークンエラーが生成されます。無効な試行が10回行われると、システムが1時間ロックされます。
ユーザが、外出先でスマホとタブレットを使用しているような場合、1つのアカウントで2個のデバイスの認証アプリケーションに同時接続しようとしても接続できません。一度に接続できる認証アプリケーションはユーザログインあたり1つだけなので、別のデバイスのアプリケーションに接続する場合、現在のデバイスからアカウントへの接続を解除しなければなりません。
この他、Authenticatorの利用開始後、対応が不明な状態が発生した場合は、Salesforceの公式FAQで確認するようにしましょう。
*多要素認証の設定やアクセス制御、権限設定などセキュリティについて解説しているこちらの資料「Salesforceアクセス制御 権限設定のポイント」と併せてご活用ください。
まとめ
今回は、Salesforce Authenticatorの設定・使用方法をご紹介しました。それでも難しい、わからない…といったお困りごとがありましたら、ご相談ください。
当社には300名(23年5月時点)を超える専門コンサルタントが在籍し、お客様側の視点からSalesforceのサポートサービスを行っています。効率的なSalesforceの活用を、当社のカスタマーサクセスチームがサポートいたしますので、ぜひ無料相談からお問い合わせください。
Salesforceでお悩みなら、
まずはお気軽に
お問い合わせください
<Salesforce登録1>