多要素認証の話
1.3K Views
February 27, 21
スライド概要
Salesforce Saturday 赤坂 #15 (2021/2/27)発表分
※この資料は2021/2時点の公開情報を用いて作成されています。現在のSalesforceの公開情報、動作とは異なる点がありますのでご了承ください。
主にSalesforceに関する資料をUPします
関連スライド
各ページのテキスト
多要素認証の話 Salesforce Saturday 赤坂 #15 (2021/2/27) Mark Hammer @Mar9Hammer https://sfblog.markhammer.net/
注意事項 ● この資料は2021/2/22週の資料、Salesforce動作に沿っています。 ○ 情報は常に更新されますので、何か設定される際は最新情報をご確認ください。 ○ この資料を参考にしたことによってトラブルが発生しても一切の責任を負いかねます。 ● この資料はSalesforce Platformでのスマホアプリによる多要素認証を対象に します。 ○ Commerce Cloud や Quip、YubiKeyによる認証は(検証できないので)対象外です。 ● この資料には、一部に個人的な予想・推測が含まれます。 ○ 実際の行動は必ずセールスフォース・ドットコム社の公開情報を参考にしてください。
今回のテーマ ● 2021年2月、まだゲストユーザのアクセス制御が原因による情報漏洩問題 の印象が残っている中、 セールスフォース・ドットコム社の通知で激震走る…! 2022/2/1からSalesforce製品のアクセスには 多要素認証(MFA)を必須化します! 多要素認証ってな に? 具体的にどうすればいいの? 対応しないとどうなるの?
今回のテーマ ● 今回はこの多要素認証(MFA)必須化について、 ○ 多要素認証ってなに? ○ Salesforceで多要素認証に対応するにはどうすればいいの? ○ 対応しないとどうなるの? といった質問に、現時点の公開情報から分かる範囲で発表します。 ● 今後多要素認証必須化の情報はどんどん変わっていくと思われます。 あくまで現時点の情報、ということでご容赦ください。
1 多要素認証ってな に?
多要素認証とは ● ログインしようとしている人が、本当にそのアカウントの持ち主かを確認す ることを認証といいます。 ● 認証方式には、以下3つがあります。 この3方式のうち、2つ以上の ○ ○ ○ ユーザが知っていること(知識情報) ■ ID/パスワードによる認証 など ユーザが持っているもの(所持情報) ■ SMS認証、メール認証、スマホアプリ認証 など ユーザ自身の特徴(生体情報) ■ 指紋認証、顔認証 など 参考資料 ● https://www.nri-secure.co.jp/blog/multi-factor-authentication ● https://trustlogin.com/wp/trustlogin_whitepaper02.pdf 方式を組み合わせて認証する ことを 多要素認証といいます。 現時点でも、 デバイスの有効化(初めて Salesforceにログインする端 末での認証)では ユーザ名・パスワード認証の 他、SMS・メール認証が行わ れます。
Salesforceにおける多要素認証 ● Salesforceで使用できる多要素認証用ツールは以下の通りです。 ○ Salesforce Authenticator モバイルアプリケーション ○ Google Authenticator、Microsoft Authenticator、Authyなどの時間ベースのワンタイムパ スワード認証アプリケーション ○ YubiKeyなどのU2F または WebAuthn をサポートするセキュリティキー
Salesforceにおける多要素認証 ● Salesforce Authenticator ○ ○ ○ セールスフォース・ドットコム社が提供している、多要素認証用モバイルアプリケーション メリット ■ ワンタイムパスワードを入力しなくても、 スマホ通知の「承認」タップでログイン可能 ■ Lightning Loginにてパスワード入力なしの ログインが可能 デメリット ■ 新規にアプリをインストールする必要がある ■ 社用携帯でMDMが適用されている場合、 インストールできない可能性あり
Salesforceにおける多要素認証 ● Google Authenticator、Microsoft Authenticator、Authyなどの時間ベース のワンタイムパスワード認証アプリケーション ○ ○ ○ セールスフォース・ドットコム社以外のサードパーティが提供しているワンタイムパスワード 認証アプリも利用可能 メリット ■ これらのアプリは他システムへの認証にも使えるため、1アプリで複数システムの多 要素認証に対応可能 デメリット ■ Lightning Loginや通知の「承認」タップによるログインができず、必ずワンタイムパス ワードを入力する必要がある ■ 登録できるのは1アプリのみ。Google Authenticator、Microsoft Authenticatorを両方 登録、といったことはできない。
Salesforceにおける多要素認証 ● YubiKeyなどの U2F または WebAuthn をサポートするセキュリティキー ○ ○ ○ ○ USBでPCに接続し、ボタンを押すと認証できる 指紋による生体情報認証ではなく、セキュリティキー所持による 所持情報認証 メリット ■ スマホがなくても多要素認証に対応可能 デメリット ■ 多くの会社では新規購入する必要があると思われる ■ 社用PCがUSB接続禁止の場合は利用不可 画像引用元 https://www.yubico.com/%E3%8 3%97%E3%83%AD%E3%83%80%E3 %82%AF%E3%83%84/?lang=ja
Salesforceにおける多要素認証 ● Salesforceでは、現在はユーザ名・パスワードによる認証(知識情報)でロ グインできていますが、これに加えてもう1つの認証方法を追加することで 多要素認証となります。 知識情報 ユーザ名・ パスワード 生体情報 所持情報 + Salesforce Authenticator YubiKey Google Authenticator 他 サードパーティ認証アプリ か 現状 対応方法 なし
Salesforceにおける多要素認証 ● Salesforceでは、現在はユーザ名・パスワードによる認証(知識情報)でロ グインできていますが、これに加えてもう1つの認証方法を追加することで SMS認証、メール認証は 脆弱なのでダメ! 多要素認証となります。 by SFDC 知識情報 ユーザ名・ パスワード 生体情報 所持情報 + Salesforce Authenticator YubiKey Google Authenticator 他 サードパーティ認証アプリ か 現状 対応方法 なし
2 Salesforceの 多要素認証必須化 とは?
SFDCからの発表 ● 2022年2月から、Salesforce製品にアクセスするには多要素認証を必須化 します、とSFDCが発表。 ● 現時点の公開情報から、この多要素認証必須化を言い換えると…、 多要素認証に対応していないユーザは 2022/2/1からSalesforce製品にアクセスできません! …になります。 (SFDCの公開情報ではここまではっきり書いていませんが)
多要素認証必須化の対象 ● ただ、どのようなユーザ/アクセス方法であっても多要素認証必須、という 訳ではありません。 ● ユーザ区分 ○ ○ ○ 内部ユーザ:システム管理者、標準ユーザなどのユーザ →対象 外部ユーザ:コミュニティ、ヘルプポータル、Eコマースサイトのみアクセス可能なユーザ →対象外 Chatter Free、Chatter Externalユーザ:ユーザライセンスがChatter FreeかChatter Externalのユーザ →対象外
多要素認証必須化の対象 ● ただ、どのようなユーザ/アクセス方法であっても多要素認証必須、という 訳ではありません。 ● ログイン区分 ○ ○ ○ ユーザインターフェース: login.salesforce.com などのログイン画面からログインする、 Salesforceモバイルアプリからログインする →対象 API:Data Loader など、APIを使用するツールからログインする →対象外 SSO(Single Sign On)*1: 外部サービスのログイン情報を使用してSalesforceにログインす る →対象外 *1:SAML または OpenID Connect 標準プロトコルに基づいた統合 SSO ソリューションを使用する必要あり
多要素認証必須化の対象 ● ただ、どのようなユーザ/アクセス方法であっても多要素認証必須、という 訳ではありません。 ● つまり…、 ○ システム管理者、標準ユーザなどのユーザ ○ が login.salesforce.com などのログイン画面からログインする、Salesforceモバイルアプリから ログインする 場合のみ多要素認証必須となります。 (のみ、と書きましたがSalesforce利用時は大体この形式だと思います)
3 多要素認証必須化 に対応するには?
多要素認証を検証するには ● ログイン時に多要素認証を必須にする設定自体は現時点でも可能です。 ● 現時点の対応方法は以下いずれかです。 ○ ○ プロファイルの「ユーザインターフェースログインの多要素認証」にチェックを入れる。 権限セットを作成し、「ユーザインターフェースログインの多要素認証」にチェックを入れ、 個別にユーザに割り当てる。 ● この他にプロファイルの設定にて、「ログインに必要なセッションセキュリ ティレベル」を「高保証」に設定する方法もありますが、この場合はAPIログ イン、SSOログインも多要素認証必須化になるので注意です。 検証結果メモ ● https://sfblog.markhammer.net/entry/2021/02/22/090000
実際に多要素認証必須状態でログインしてみる ● Salesforce Authenticator の場合 ○ 1回目(多要素認証情報登録前) ■ ユーザ名・パスワード入力後に右の画面が 表示されたらSalesforce Authenticatorアプリを起動 ■ アプリ側の「アカウントを追加」をタップすると英単語が 2つ表示されるので、それを「2語の語句」に入力して 「接続」をクリック
実際に多要素認証必須状態でログインしてみる ● Salesforce Authenticator の場合 ○ 2回目以降(多要素認証情報登録後) ■ ユーザ名・パスワード入力後に スマホ側へ通知が届くので、 「承認」をタップする
実際に多要素認証必須状態でログインしてみる ● Google Authenticator等サードパーティ製アプリの場合 ○ 1回目(多要素認証情報登録前) ■ ユーザ名・パスワード入力後画面から 「別の検証方法を選択」 →「認証アプリケーションからの確認コードを使用」 →QRコードをスキャンして確認コードを入力し、「接続」をクリック
実際に多要素認証必須状態でログインしてみる ● Google Authenticator等サードパーティ製アプリの場合 ○ 2回目(多要素認証情報登録後) ■ ユーザ名・パスワード入力後画面に アプリに表示されるワンタイムパスワードを入力し、 「検証」をクリック
5 おわりに
参考ケース: TLS1.0無効化 ● TLS1.0無効化とは、2017年に実施された「Salesforceにアクセスする際は TLS1.1以上の暗号化を必須とする」対応のこと。 ● 実際のタイムライン(ブラウザからの本番組織ログインに対する日程) 2015/6 2016年上旬 にTLS1.0を 無効化します 2016/1 2017年前半 にTLS1.0を 無効化しま す 参考資料 ● https://archive.vn/RjYU2 ● https://archive.vn/NAxKf 2016/3 2016/11~2017/1 2017/2 2017/7 2017/3/5に TLS1.0を 無効化しま す 対応を 促進するための リマインダ送付 2017/7/22 にTLS1.0 を無効化し ます TLS1.0 無効化 実施
今後の予想 ● 本当に2022/2/1から現時点の発表通り多要素認証を必須化するの? ○ ○ スケジュール通り実施するかもしれないし、TLS1.0無効化のように延期を繰り返すかもしれ ません。 個人的には多要素認証必須化は「対応不可顧客への救済策確定後に実施(救済策確定 するまで延期)」が最も可能性が高いと予想。 ■ ○ 多要素認証必須化をなかったことにする、というのも可能性は0ではないが…。 ■ ○ ただ全顧客に多要素認証用端末を配るのは無理なので、救済策は「多要素認証必須化タイミングを顧客が選 べるようにする」か「SMS・メール認証を例外的に認める」辺りを予想。 一応Spring'17でメールアドレス変更時の多要素認証必須化をなかったことにした実例はある。 上記はあくまで予想なので、SFDCの情報更新がなければ予定通りのスケジュールで必須 化する前提で行動することを強く推奨します。
参考文献 ● Salesforce 多要素認証に関する FAQ ○ (日本語版) https://help.salesforce.com/articleView?id=000352937&language=ja&mode=1&type=1 ○ (英語版) ※最新情報は英語版のため、こちらを参照することを強く推奨。 https://help.salesforce.com/articleView?id=000352937&language=en_US&mode=1&type=1 ● Salesforceへ安全にアクセスするために知っておくべき情報〜多要素認証 ○ ● https://successjp.salesforce.com/blog/operation-guide/CSG-0000061 多要素認証のシステム管理者ガイド ○ https://www.salesforce.com/content/dam/web/en_us/www/documents/white-papers/2fa-admin-rollout-guide-ja.p df
- https://help.salesforce.com/articleView?id=000352937&language=ja&mode=1&type=1
- https://help.salesforce.com/articleView?id=000352937&language=en_US&mode=1&type=1
- https://successjp.salesforce.com/blog/operation-guide/CSG-0000061
- https://www.salesforce.com/content/dam/web/en_us/www/documents/white-papers/2fa-admin-rollout-guide-ja.pdf
ご清聴 ありがとうございました