20210227 Salesforce 多要素認証の話 / 20210227 Salesforce MFA

Transcript

1. None

2. 注意事項 • この資料は2021/2/22週の資料、Salesforce動作に沿っています。 ◦ 情報は常に更新されますので、何か設定される際は最新情報をご確認ください。 ◦ この資料を参考にしたことによってトラブルが発生しても一切の責任を負いかねます。 • この資料はSalesforce Platformでのスマホアプリによる多要素認証を対象に

   します。 ◦ Commerce Cloud や Quip での多要素認証、YubiKeyによる認証手順は （検証できないので）対象外です。 • この資料には、一部に個人的な予想・推測が含まれます。 ◦ 実際の行動は必ずセールスフォース・ドットコム社の公開情報を参考にしてください。

3. 今回のテーマ • 2021年2月、まだゲストユーザのアクセス制御が原因による情報漏洩問題 の印象が残っている中、 セールスフォース・ドットコム社の通知で激震走る…！ 2022/2/1からSalesforce製品のアクセスには 多要素認証(MFA)を必須化します！ 多要素認証ってな に？ 具体的にどうすればいいの？

   対応しないとどうなるの？

4. 今回のテーマ • 今回はこの多要素認証(MFA)必須化について、 ◦ 多要素認証ってなに？ ◦ Salesforceで多要素認証に対応するにはどうすればいいの？ ◦ 対応しないとどうなるの？ といった質問に、現時点の公開情報から分かる範囲で発表します。

   • 今後多要素認証必須化の情報はどんどん変わっていくと思われます。 あくまで現時点の情報、ということでご容赦ください。

5. 1 多要素認証って なに？

6. 多要素認証とは • ログインしようとしている人が、本当にそのアカウントの持ち主かを確認す ることを認証といいます。 • 認証方式には、以下3つがあります。 ◦ ユーザが知っていること（知識情報） ▪ ID/パスワードによる認証

   など ◦ ユーザが持っているもの（所持情報） ▪ SMS認証、メール認証、スマホアプリ認証 など ◦ ユーザ自身の特徴（生体情報） ▪ 指紋認証、顔認証 など 参考資料 • https://www.nri-secure.co.jp/blog/multi-factor-authentication • https://trustlogin.com/wp/trustlogin_whitepaper02.pdf この3方式のうち、2つ以上の方式を 組み合わせて認証することを 多要素認証といいます。 現時点でも、 デバイスの有効化（初めてSalesforce にログインする端末での認証）では ユーザ名・パスワード認証の他、 SMS・メール認証が行われます。

7. Salesforceにおける多要素認証 • Salesforceで使用できる多要素認証用ツールは以下の通りです。 ◦ Salesforce Authenticator モバイルアプリケーション ◦ Google Authenticator、Microsoft

   Authenticator、Authyなどの時間ベースのワンタイム パスワード認証アプリケーション ◦ YubiKeyなどのU2F または WebAuthn をサポートするセキュリティキー

8. Salesforceにおける多要素認証 • Salesforce Authenticator ◦ セールスフォース・ドットコム社が提供している、多要素認証用モバイルアプリケーション ◦ メリット ▪ ワンタイムパスワードを入力しなくても、

   スマホ通知の「承認」タップでログイン可能 ▪ Lightning Loginにてパスワード入力なしの ログインが可能 ◦ デメリット ▪ 新規にアプリをインストールする必要がある ▪ 社用携帯でMDMが適用されている場合、 インストールできない可能性あり

9. Salesforceにおける多要素認証 • Google Authenticator、Microsoft Authenticator、Authyなどの時間ベース のワンタイムパスワード認証アプリケーション ◦ セールスフォース・ドットコム社以外のサードパーティが提供しているワンタイムパスワー ド認証アプリも利用可能 ◦

   メリット ▪ これらのアプリは他システムへの認証にも使えるため、1アプリで複数システムの 多要素認証に対応可能 ◦ デメリット ▪ Lightning Loginや通知の「承認」タップによるログインができず、必ずワンタイムパ スワードを入力する必要がある ▪ 登録できるのは1アプリのみ。Google Authenticator、Microsoft Authenticatorを両 方登録、といったことはできない。

10. Salesforceにおける多要素認証 • YubiKeyなどの U2F または WebAuthn をサポートするセキュリティキー ◦ USBでPCに接続し、ボタンを押すと認証できる ◦

    指紋による生体情報認証ではなく、セキュリティキー所持による 所持情報認証 ◦ メリット ▪ スマホがなくても多要素認証に対応可能 ◦ デメリット ▪ 多くの会社では新規購入する必要があると思われる ▪ 社用PCがUSB接続禁止の場合は利用不可 画像引用元 https://www.yubico.com/%E3%8 3%97%E3%83%AD%E3%83%80%E3 %82%AF%E3%83%84/?lang=ja

11. Salesforceにおける多要素認証 • Salesforceでは、現在はユーザ名・パスワードによる認証（知識情報）でロ グインできていますが、これに加えてもう1つの認証方法を追加することで 多要素認証となります。 知識情報 ユーザ名・ パスワード + 所持情報

    Salesforce Authenticator Google Authenticator 他 サードパーティ認証アプリ 生体情報 YubiKey か 現状 対応方法 なし

12. Salesforceにおける多要素認証 • Salesforceでは、現在はユーザ名・パスワードによる認証（知識情報）でロ グインできていますが、これに加えてもう1つの認証方法を追加することで 多要素認証となります。 知識情報 ユーザ名・ パスワード 所持情報 Salesforce

    Authenticator 生体情報 YubiKey + か SMS認証、メール認証 は脆弱なのでダメ！ (FAQより抜粋) Google Authenticator 他 サードパーティ認証アプリ 現状 対応方法 なし

13. 2 Salesforceの 多要素認証必須化 とは？

14. セールスフォース・ドットコム社からの発表 • 2022年2月から、Salesforce製品にアクセスするには多要素認証を必須化し ます、とセールスフォース・ドットコム社が発表。 • 現時点の公開情報から、この多要素認証必須化を言い換えると…、 …になります。（セールスフォース・ドットコム社の公開情報ではここまではっ きり書いていませんが） 多要素認証に対応していないユーザは 2022/2/1からSalesforce製品にアクセスできません！

15. 多要素認証必須化の対象 • ただ、どのようなユーザ/アクセス方法であっても多要素認証必須、という 訳ではありません。 • ユーザ区分 ◦ 内部ユーザ：システム管理者、標準ユーザなどのユーザ →対象 ◦

    外部ユーザ：コミュニティ、ヘルプポータル、Eコマースサイトのみアクセス可能なユーザ →対象外 ◦ Chatter Free、Chatter Externalユーザ：ユーザライセンスがChatter FreeかChatter Externalのユーザ →対象外

16. 多要素認証必須化の対象 • ただ、どのようなユーザ/アクセス方法であっても多要素認証必須、という 訳ではありません。 • ログイン区分 ◦ ユーザインターフェース： login.salesforce.com などのログイン画面からログインする、

    Salesforceモバイルアプリからログインする →対象 ◦ API：Data Loader など、APIを使用するツールからログインする →対象外 ◦ SSO（Single Sign On）*１: 外部サービスのログイン情報を使用してSalesforceにログイン する →対象外 *1：SAML または OpenID Connect 標準プロトコルに基づいた統合 SSO ソリューションを使用する必要あり

17. 多要素認証必須化の対象 • ただ、どのようなユーザ/アクセス方法であっても多要素認証必須、という 訳ではありません。 • つまり…、 ◦ システム管理者、標準ユーザなどのユーザ が ◦

    login.salesforce.com などのログイン画面からログインする、Salesforceモバイルアプリか らログインする 場合のみ多要素認証必須となります。 （のみ、と書きましたがSalesforce利用時は大体この形式だと思います）

18. 3 多要素認証必須化 に対応するには？

19. 多要素認証を検証するには • ログイン時に多要素認証を必須にする設定自体は現時点でも可能です。 • 現時点の対応方法は以下いずれかです。 ◦ プロファイルの「ユーザインターフェースログインの多要素認証」にチェックを入れる。 ◦ 権限セットを作成し、「ユーザインターフェースログインの多要素認証」にチェックを入れ、 個別にユーザに割り当てる。

    • この他にプロファイルの設定にて、「ログインに必要なセッションセキュリテ ィレベル」を「高保証」に設定する方法もありますが、この場合はAPIログイ ン、SSOログインも多要素認証必須化になるので注意です。 検証結果メモ • https://sfblog.markhammer.net/entry/2021/02/22/090000

20. 実際に多要素認証必須状態でログインしてみる • Salesforce Authenticator の場合 ◦ 1回目（多要素認証情報登録前） ▪ ユーザ名・パスワード入力後に右の画面が 表示されたらSalesforce

    Authenticatorアプリを起動 ▪ アプリ側の「アカウントを追加」をタップすると英単語が 2つ表示されるので、それを「2語の語句」に入力して 「接続」をクリック

21. • Salesforce Authenticator の場合 ◦ 2回目以降（多要素認証情報登録後） ▪ ユーザ名・パスワード入力後に スマホ側へ通知が届くので、 「承認」をタップする

    実際に多要素認証必須状態でログインしてみる

22. 実際に多要素認証必須状態でログインしてみる • Google Authenticator等サードパーティ製アプリの場合 ◦ 1回目（多要素認証情報登録前） ▪ ユーザ名・パスワード入力後画面から 「別の検証方法を選択」 →「認証アプリケーションからの確認コードを使用」

    →QRコードをスキャンして確認コードを入力し、「接続」をクリック
23. None

24. 実際に多要素認証必須状態でログインしてみる • Google Authenticator等サードパーティ製アプリの場合 ◦ 2回目（多要素認証情報登録後） ▪ ユーザ名・パスワード入力後画面に アプリに表示されるワンタイムパスワードを入力し、 「検証」をクリック

25. 5 おわりに

26. 参考ケース: TLS1.0無効化 • TLS1.0無効化とは、2017年に実施された「Salesforceにアクセスする際は TLS1.1以上の暗号化を必須とする」対応のこと。 • 実際のタイムライン（ブラウザからの本番組織ログインに対する適用日程） 2015/6 2016年上旬 にTLS1.0を

    無効化します 2016/1 2017年前半 にTLS1.0を 無効化します 2016/3 2017/3/5に TLS1.0を 無効化します 2016/11~2017/1 対応を 促進するための リマインダ送付 2017/2 2017/7/22に TLS1.0を 無効化します 2017/7 TLS1.0 無効化 実施 参考資料 • https://archive.vn/RjYU2 • https://archive.vn/NAxKf

27. 今後の予想 • 本当に現時点の発表通り、2022/2/1から多要素認証を必須化するの？ ◦ スケジュール通り実施するかもしれませんし、TLS1.0無効化のように延期を繰り返すかも しれません。 ◦ 個人的には「多要素認証対応不可顧客への救済策確定後に実施（救済策確定するまで 延期）」する、と予想します。 ▪

    ただ全顧客に多要素認証用端末を配るのは無理なので、救済策は「多要素認証必須化タイミン グを顧客が選べるようにする」か「SMS・メール認証を例外的に認める」辺りを予想。 ◦ 多要素認証必須化をなかったことにする、というのも可能性は0ではないが…。 ▪ 一応Spring‘17でメールアドレス変更時の多要素認証必須化をなかったことにした実例あり。 ◦ 上記はあくまで予想なので、実際の行動はセールスフォース・ドットコム社の予定通りの スケジュールで必須化する前提で行動することを強く推奨します。

28. 参考文献 • Salesforce 多要素認証に関する FAQ ◦ (日本語版) https://help.salesforce.com/articleView?id=000352937&language=ja&mode=1&type=1 ◦ (英語版)

    ※最新情報は英語版のため、こちらを参照することを強く推奨。 https://help.salesforce.com/articleView?id=000352937&language=en_US&mode=1&type=1 • Salesforceへ安全にアクセスするために知っておくべき情報〜多要素認証 ◦ https://successjp.salesforce.com/blog/operation-guide/CSG-0000061 • 多要素認証のシステム管理者ガイド ◦ https://www.salesforce.com/content/dam/web/en_us/www/documents/white-papers/2fa-admin-rollout-guide- ja.pdf

29. ご清聴 ありがとうございました