多要素認証のシステム管理者ガイド

多要素認証のシステム

管理者ガイド

MFA の準備を整えて Salesforce ユーザにロールアウト

⽬次

第 1 章

多要素認証の使⽤を開始しましょう! 4 MFA とは何か? それが重要な理由は? 5 多要素認証のしくみ

6 MFA for Salesforce

7 Salesforce の MFA 検証⽅法 8 ➣ Salesforce Authenticator 9 ➣ サードパーティ認証アプリケーション 10 ➣ セキュリティキー 11 実装の検証⽅法の選択 第 2 章

MFA for Salesforce の実装 13 MFA の推奨パス 14 多要素認証アシスタントの利⽤ 15 ロールアウトの計画 16 稼働開始の準備ができたら xxx xxx 17 ユーザに対する MFA の有効化 18 ➣ MFA 権限セットの作成 19 ➣ ユーザへの権限セットの割り当て 20 MFA 稼働時のユーザエクスペリエンス 21 ➣ Salesforce Authenticator: ユーザが登録およびログインする⽅法 23 ➣ サードパーティ認証アプリケーション: ユーザが登録およびログインする⽅法 24 ➣ セキュリティキー: ユーザが登録およびログインする⽅法 第 3 章 MFA の確実な導⼊ 26 ロールアウトの成功の測定 27 ユーザおよび継続的な運⽤のサポート 第 4 章 詳細情報 29 その他のリソース バージョン 2020.10

© Copyright 2000-2020 salesforce.com, inc. All rights reserved.Salesforce ならびにその他の名称および標章は、 salesforce.com, inc. の登録商標です。ここで使⽤されているその他の標章はその所有者の商標である場合があります。

多要素認証の使⽤を開始しましょう!

MFA は Salesforce アカウントへのアクセスを保

護するために効果的な⽅法であることを確認

MFA とは何か? それが重要な理由は?

セキュリティの状況が変化し、ユーザログイン情報を侵害する脅威

がより⼀般的になるにつれ、ビジネスと顧客を保護するための強⼒

なセキュリティ対策を実装することが重要になります。

多要素認証は、許可されていない アカウントアクセスを防⽌し、 Salesforce データを保護するため に役⽴つ、⾮常に簡単かつ効果的 な⽅法です。

MFA for Salesforce は追加費⽤な しで使⽤できます。

ユーザ名とパスワードのみでは、許可されていないアカウン

トアクセスに対する⼗分な保護は提供されません。

多要素認証 (MFA) は、フィッシング攻撃、

クレデンシャルスタッフィング、アカウ

ントの乗っ取りなどの脅威に対する保護

を強化します。

知っているもの 持っているもの

多要素認証のしくみ

MFA では、ユーザはログインするときに 2 つ以上の証拠

(要素) を提供し、本⼈であることを証明する必要があります。

1 つの要素は、ユーザが知っていること (ユーザ名と

パスワードの組み合わせなど) です。他の要素は、

ユーザが所有している検証⽅法 (認証アプリケーシ

ョン、セキュリティキーなど) です。

ユーザアクセスを複数の異なる種別の要素に結び

付けることで、悪意のある⼈物が Salesforce 環境

に⼊り込むことがはるかに難しくなります。ユー

ザのパスワードが盗まれたとしても、ユーザが物

理的に所有する要素を攻撃者が推測または偽装で

きる確率は⾮常に低くなります。

ユーザ名 ************** ログイン

MFA for Salesforce

Salesforce は、強いセキュリティとユーザの利便性のバ

ランスが取れたシンプルで⾰新的な MFA ソリューション

を提供しています。

ビジネスの要件とユーザのニーズは多様であるため、

モバイルアプリケーションやハードウェアデバイスな

どのさまざまな検証⽅法から選択できます。

また、MFA 実装の管理を⽀援するために、次のようなさ

まざまなツールとリソースが⽤意されています。

•

使⽤状況を監視するためのレポートとダッシュボード

•

検証⽅法を紛失したり忘れたりした場合にユーザがア

クセスできる、仮の確認コード

このガイドを使⽤して、次の Salesforce Platform 上に構築された製品の MFA を設定します。 • Sales Cloud • Service Cloud • Analytics Cloud • B2B Commerce • Experience Cloud

• Industries 製品 (Consumer Goods Cloud、 Financial Services Cloud、Government

Cloud、Health Cloud、Manufacturing Cloud、 Philanthropy Cloud)

• Marketing Cloud - Audience Studio • Marketing Cloud - Pardot

• Platform

• Salesforce Essentials

MFA は、Salesforce Classic と Lightning Experience で使⽤できます。 MFA はすべてのエディションで使⽤できます。

Salesforce の MFA 検証⽅法

MFA では、Salesforce ログインプロセスに他の認証ステップが追加されます。

1. ユーザは通常どおり、ユーザ名とパスワードを⼊⼒します。

2. その後、ユーザは検証⽅法を指定するように求められます。

Salesforce は、ユーザが所有する検証⽅法を提供する必要があります。

これらの⽅法のいずれかまたはすべてを許可できます。

X

_X

Salesforce Authenticator アプリケーション サードパーティ TOTP 認証ア プリケーション U2F セキュ リティキー 例: Google Authenticator Microsoft Authenticator Authy 例: Yubico の YubiKey Google の Titan セキュリティキー ⾼速で無料の認証 メールのログイン情報は漏洩しやすく、 テキストメッセージと電話は傍受され る可能性があるため、メール、SMS テ キストメッセージ、および電話は MFA 検証⽅法として許可されていません。 攻撃者が実際のモバイルデバイスや物 理的なセキュリティキーをコントロー ルすることは、メールアカウントへの 侵⼊や携帯電話番号のハッキングより はるかに困難です。

Salesforce Authenticator: ⾼速でストレスのない無料の MFA

Salesforce Authenticator モバイルアプリケーションをログインプロセスに統合すると、 MFA が容易になります。ユーザは簡単にインストールして Salesforce アカウントに接 続できます。 ユーザがログインすると、モバイルデバイスでプッシュ通知を受け取ります。その通知 をタップして SalesforceAuthenticator を開くと、次の情報が表⽰されます。 • 承認が必要なアクション • アクションを要求しているユーザ • アクションを要求しているサービス • ユーザが使⽤しているデバイス • 要求元の場所 この情報を使⽤して、ユーザはすばやく⾃信を持って認証要求を承認または拒否できます。 また、信頼できる場所から作業する場合、追加の認証⼿順を⾃動化することもできます。 ユーザのモバイルデバイスが接続されていない場合でも、Salesforce Authenticator によって⽣成された 6 桁の TOTP コードを使⽤してログインできます。

サードパーティ認証アプリケーション

Salesforce は、OATH 時間ベースのワンタイムパスワード (TOTP) アルゴリズム (RFC 6238) に基づいて⼀時コードを⽣成する、サードパーティ認証アプリケーシ ョンの使⽤をサポートしています。 この種別の検証⽅法を使⽤してログインするには、ユーザが TOTP 認証アプリケーショ ンからコードを取得し、Salesforce ログインプロセス中にそのコードを⼊⼒します。

バックグラウンド

TOTP 認証アプリケーションは、(ユーザ、および Salesforce などのサービスのみが 知っている) 秘密鍵と、現在の時刻に基づいて⼀時コードを⽣成します。コードは 30 秒間有効で、その後新しいコードが⽣成されます。 TOTP 認証アプリケーションは、ユーザの携帯電話にデータまたはインターネット接 続がない場合でもコードを⽣成できます。 無料バージョンを含む、多数の使⽤可能 なアプリケーションがあります。次のオ プションがあります。 • Google Authenticator • Microsoft Authenticator • Authy ➤ヒント: ユーザが個⼈またはビジネス⽤の TOTP アプリケーションをすでにインストール している場合、同じアプリケーションを Salesforce ログイン⽤に設定できます。

セキュリティキー

セキュリティキーは、インストールするものや⼊⼒するコードがないため使いやすく、 ⼩型の物理デバイスです。これは、ユーザがモバイルデバイスを持っていない場合や、 施設内で携帯電話の使⽤が許可されていない場合に最適なオプションです。 セキュリティキーにより、MFA ログインが⾼速になります。ユーザは単に次の⼿順を実 ⾏します。 1. キーをコンピュータに接続する 2. キーのボタンを押して、ID を検証する

バックグラウンド

Salesforce は、FIDO U2F と互換性があるセキュリティキーをサポートしています。 この標準は強⼒な公開鍵暗号化を使⽤して、中間者 (man-in-the-middle) 攻撃やマ ルウェアからユーザを保護します。セキュリティキーのバックグラウンドで何が⾏わ れているかについての詳細は、FIDO U2F サイトを参照してください。 セキュリティキーには、キーと Salesforce 間の仲介として機能するサポート対象ブ ラウザが必要です。 サポートされるフォーム要素: USB-A、USB-C、Lightning U2F キーでサポートされるブラウザ: Chrome バージョン 41 以降 セキュリティキーオプションには、 Yubico の YubiKey や Google の

実装の検証⽅法の選択

Salesforce Authenticator サードパーティ認証アプリケーション セキュリティキー ユーザが Salesforce アカウントに簡単に接続で きる、スマートでシンプルなモバイルアプリケー ション。 OATH TOTP アルゴリズムに基づいて、アプリケー ションが⼀意の仮の確認コードを⽣成します。 公開鍵暗号化を使⽤する物理デバイス。 フォーム要素: iOS および Android のモバイルアプリケーショ ン フォーム要素: 複数のオペレーティングシステムで使⽤可能なアプ リケーション フォーム要素:

FIDO U2F 標準をサポートする USB および Lightning デバイス ユーザエクスペリエンス: •⾼速アクセス⽤にユーザの携帯電話にプッシュ 通知を配信 •リアルタイムの詳細を参照して要求の有効性を 確認 •_{信頼できる場所からの認証を⾃動化} •タップで不正な要求を拒否 •接続できない場合に TOTP コードを⽣成 ユーザエクスペリエンス: •多様なアプリケーションから選択 •接続は不要 ユーザエクスペリエンス: •⾼速で使いやすい •不正なリクエストを認識して拒否 •接続は不要 •_{バッテリーは不要} 考慮事項: •_{モバイルデバイスが必要} 考慮事項:•_{モバイルデバイスが必要} •コードを⼿動で⼊⼒するときに⼊⼒エラーが発⽣す る可能性がある •モバイルデバイスの時計が Salesforce と同期しな くなった場合、コードが無効になる可能性がある 考慮事項: •_{ブラウザサポートが必要} •ユーザがキーを置き去りにしたり、常に接続した ままにする可能性がある •デバイスを購⼊、保管し、ユーザに配布するため の運⽤オーバーヘッドが発⽣する コスト: 無料 コスト: 無料および有料オプション コスト: 約 $20 以上

MFA for Salesforce の実装

MFA の準備を整えてユーザにロールアウト

MFA の推奨パス

準備

どの検証⽅法がビジネスおよびユーザの要 件を満たしているかを評価します。 ユーザ、ロール、権限の⼀覧を作成して、 特権ユーザ (最優先ユーザ) を特定し、 プロジェクトの作業レベルを判断します。 ロールアウト、変更管理、実装、テスト、 ユーザサポート戦略を計画します。

ロールアウト

変更管理活動を開始し、MFA に向けたユーザ のエンゲージメントと準備を⾏います。 サポートチームと協⼒してアクセス復旧プロ セスを確⽴し、MFA の問題を処理できるよう にサポートチームをトレーニングします。 検証⽅法をユーザに配布します。 ユーザインターフェースログインの MFA を有効にします。 ユーザが検証⽅法を使⽤して登録および ログインすることを⽀援します。

管理

フィードバックを収集し、利⽤状況総計値 を監視して、ユーザが MFA を採⽤してい ることを確認します。 継続的な運⽤をサポートし、認証の問題に ついてユーザを⽀援します。 全体的なセキュリティ戦略を最適化します。

MFA をユーザに提供するためのワンストップショップ

多要素認証アシスタントの利⽤

アシスタントには、MFA の推奨パスが

⽰されます。

アクションの実⾏に役⽴つツールとリ

ソースを含む、ステップバイステップ

のガイダンスを使⽤できます。

⼿順がチェックリストで表⽰されるた

め、完了した作業と全体的な進⾏状況

を追跡できます。

アシスタントには、Lightning

Experience の [設定] からアクセスし

ます。

•

[設定] メニューで、[多要素認証ア

シスタント] をクリックします。

ロールアウトの計画

ロールアウトを成功させるには、プロジェクト計画に次の条件を含めます。

• 今後の変更をユーザに伝えます。 • キャンペーンや宣伝⽤資料で認 知度を⾼め、ユーザの賛同を得 ます。 • MFA の概念と、検証⽅法を取 得、登録、および使⽤して MFA にログインする⽅法につ いて、ユーザをトレーニングし ます。 • 稼働開始⽇の登録およびトラブ ルシューティング資料を作成し ます。 • 検証⽅法を紛失したり忘れた りしたユーザの⽀援など、継 続的な運⽤のためのポリシー とプロセスを確⽴します。 • 設定、トラブルシューティン グ、およびアクセス復旧⼿順 について、サポートチームを トレーニングします。 • 新⼊社員が最初から MFA を取 得できるように、新⼊社員研 修⼿順を更新します。

変更管理

ロールアウト戦略

サポートチーム

• 誰が MFA を使⽤する必要があ るかを決定します。システム管 理者やその他の特権ユーザを最 優先します。 • MFA をすべてのユーザに同時に ロールアウトするか、異なるグ ループに段階的に公開するかを 決定します。 ➤ ヒント: パイロットグループか ら開始し、ロールアウトプロセ スをテストして微調整すること をお勧めします。

稼働開始の準備ができたら

MFA を有効にしたら、各ユーザが独⾃の検証⽅法の設定を⾏います。推奨される稼働開始⽅法を次に⽰します。

ユーザ

登録プロセスの⼿順と共に、検証⽅法をユーザに配布する ことから開始します。MFA の稼働後にログインの遅延が発 ⽣することを回避するため、事前に少なくとも 1 つの⽅法 を登録しておくようにユーザに促します。 次に、すべてのユーザまたは⽬的のユーザのみに対して MFA を有効にし、ユーザインターフェースログインの MFA を有効にします。 各ユーザは、Salesforce アカウントに接続するための検証 ⽅法を登録する必要があります。ユーザは、次回ログイン したときにこれを⾏うように⾃動的に促されます (MFA が 有効化される前に検証⽅法を登録した場合は除く)。 その後すべてのログインで、ユーザはユーザ名とパスワー ドに加えてその⽅法を指定する必要があります。

+

システム管理者

ユーザに対する MFA の有効化

➤ ヒント: MFA を有効にする前に検証⽅法を配布して、 ユーザが検証⽅法の登録をすぐに開始できるように することをお勧めします。

必要なユーザ権限:

• 「アプリケーションのカスタマイズ」 • 「プロファイルの管理」 • 「ユーザの管理」 • 権限セット

1. セキュリティキーを使⽤している場合

は、組織でこのオプションを有効にし

ます。

2. 権限セットを介して、またはカスタム

プロファイルで直接、「ユーザイン

ターフェースログインの多要素認証」

ユーザ権限を割り当てます。

ユーザインターフェースログインの MFA の有効化は簡単です。

特定のユーザに対して MFA を有効にするために権限セットを使⽤す

る⽅法を詳しく⾒てみましょう。

MFA 権限セットの作成

1. [設定] から、[クイック検索] ボックスに「権限セット」 と⼊⼒し、[権限セット] を選択します。 2. [新規] をクリックします。 3. MFA 権限セットに必要な情報を⼊⼒します。 4. 権限セットライセンスを選択し、権限セットを使⽤する ユーザの種別を定義します。

権限セットを作成する⼿順は、次のとおりです。

5. [保存] をクリックします。 6. [システム権限] リンクをクリックし、[編集] をクリックします。 7. [ユーザインターフェースログインの多要素認証] までスクロールし、 権限のチェックボックスをオンにします。 8. [保存] をクリックし、選択内容を確認します。

ユーザへの権限セットの割り当て

1. [設定] > [権限セット] から、[MFA] 権限セットをク リックします。 2. [割り当ての管理] をクリックします。 3. [割り当てを追加] をクリックします。

権限セットを割り当てる⼿順は、次のとおりです。

4. 権限セットを割り当てるユーザを選択します。 5. [割り当て] をクリックします。

MFA 稼働時のユーザエクスペリエンス

ユーザインターフェースログインの MFA が有効になっている

場合、各ユーザは Salesforce にログインする前に、少なくと

も 1 つの検証⽅法を登録する必要があります。この登録プロ

セスにより、検証⽅法がユーザの Salesforce アカウントに接

続されます。

ユーザはいつでも検証⽅法を登録できます。MFA が有効化さ

れたときに検証⽅法の準備ができていない場合、ユーザは次回

ログインするときに検証⽅法を登録するように⾃動的に求めら

れます。ユーザは画⾯上の指⽰に従って、このプロセスを完了

できます。

登録とログインの⼿順は、各検証⽅法で若⼲異なります。

詳しく⾒てみましょう。

•

Salesforce Authenticator

•

サードパーティ認証アプリケーション

•

セキュリティキー

Salesforce Authenticator: ユーザが登録およびログインする⽅法

1. モバイルデバイスで、Apple Store または Google Play

からアプリケーションをダウンロードしてインストール します。 2. Salesforce ログイン画⾯で、ユーザ名とパスワードを ⼊⼒します。[Salesforce Authenticator を接続] 画⾯ が表⽰されます。

アプリケーションを登録して接続する⼿順は、次のとおりです。

4. Salesforce Authenticator を開き、[アカウントを追加] をタップ します。アプリケーションに 2 語の語句が表⽰されます。 5. [Salesforce Authenticator を接続] 画⾯で、[2 語の語句] 項⽬に語句を⼊⼒し、[接続] をクリックします。 6. Salesforce Authenticator で、要求の詳細が正しいことを確認し、 [接続] をタップします。

Salesforce Authenticator: ユーザが登録およびログインする⽅法

続き

アプリケーションを使⽤してログインする⼿順は、次のとおりです。

1. Salesforce ログイン画⾯で、通常どおりユーザ名とパスワードを⼊⼒します。 2. モバイルデバイスで、プッシュ通知に応答して Salesforce Authenticator を開きます。 3. Salesforce Authenticator で、要求の詳細が正しいことを確認し、[承認] をタップして Salesforce へのログインを完了します。

サードパーティ認証アプリケーション: ユーザが登録およびログインする⽅法

1. モバイルデバイスで、認証アプリケーションをダウンロードしてインス トールします。 2. Salesforce ログイン画⾯で、ユーザ名とパスワードを⼊⼒します。 3. [Salesforce Authenticator を接続] 画⾯の左下隅にある [別の検証⽅法を 選択] リンクをクリックし、[ワンタイムパスワードジェネレータ] を選択します。 4. 認証アプリケーションを開き、アプリケーション内の指⽰に従って新規ア カウントを追加します。 5. 認証アプリケーションを使⽤して、[認証アプリケーションを接続] 画⾯に 表⽰されている QR バーコードをスキャンします。 QR バーコードをスキャンできない場合は、セキュリティキーを⼿動で⽣ 成します。それを TOTP アプリケーションに⼊⼒します。 6. [認証アプリケーションを接続] 画⾯で、認証アプリケーションによって⽣ 成されたコードを [確認コード] 項⽬に⼊⼒し、[接続] をクリックしてロ グインします。

TOTP 認証アプリケーションを登録して接続する⼿順は、

次のとおりです。

1. Salesforce ログイン画⾯で、通常どおりユーザ名とパスワードを⼊⼒します。 2. 認証アプリケーションを開きます。 3. [ID を検証] 画⾯で、認証アプリケーションによって⽣成されたコードを [確認コード] 項⽬に⼊⼒し、[検証] をクリックして Salesforce へのログ インを完了します。

TOTP 認証アプリケーションを使⽤してログインする⼿順

は、次のとおりです。

セキュリティキー: ユーザが登録およびログインする⽅法

1. サポートされるブラウザで、Salesforce ログイン画⾯に移動し、ユーザ名 とパスワードを⼊⼒します。 2. [Salesforce Authenticator を接続] 画⾯の左下隅にある [別の検証⽅法を 選択] リンクをクリックし、[セキュリティキー] を選択します。 3. セキュリティキーをコンピュータに接続し、[登録] をクリックします。 4. ブラウザにプロンプトが表⽰されたら、セキュリティキーのボタンを押し てログインを終了します。

セキュリティキー登録して接続する⼿順は、次のとおりです。

1. サポートされるブラウザで、 Salesforce ログイン画⾯に移動し、 通常どおりユーザ名とパスワードを⼊⼒します。 2. [ID を検証] 画⾯が表⽰されたら、セキュリティキーを接続し、 [検証] をクリックします。 3. ブラウザにプロンプトが表⽰されたら、セキュリティキーのボタ ンを押してログインを終了します。

アプリケーションを使⽤してログインする⼿順は、

次のとおりです。

MFA の確実な導⼊

ユーザの MFA 環境を管理する

ロールアウトの成功の測定

「設定さえすれば後は何もしなくて OK」というものではありません。ユーザが MFA を採⽤し、必要なサポートを受け

ていることを注意深く監視します。Salesforce には、それに役⽴つ組み込みツールがあります。

ユーザフィードバックの収集と評価

• 定期的にユーザの状況を確認し、新しい MFA ログイン 要件についてユーザがどのように感じているかを理解し、 対処できる問題点があるかどうかを確認します。 • フィードバックを収集するには、Chatter でアンケート を実施するか、アンケートアプリケーショ ンを使⽤するか、フォーカスグループセッ ションをスケジュールします。

MFA 利⽤状況の監視

• ヘルプデスクのチケットとログを確認し、検証⽅法の登 録またはログインで繰り返し問題が発⽣しているかどう かを確認します。 • 経時的に採⽤を追跡し、毎⽇または毎⽉の Salesforce ログイン数の変化、誰がどの⽅法を使⽤しているかなど の使⽤パターンを分析します。 • 次のツールを使⽤して、使⽤状況データとインサイトを 取得します。 o ID 検証⽅法レポートまたはカスタムリストビュー

o AppExchange にある MFA Dashboard アプリケーショ ンを使⽤した総計値の監視

ユーザおよび継続的な運⽤のサポート

サポートチームと協⼒して、運⽤上の問題やユーザの⽇々のニーズに対応します。次のような考慮事項

があります。

• アカウントのロックアウトを含む、ログインと認証の問題の トラブルシューティングと解決。 • ユーザが検証⽅法を紛失したり忘れたりした場合、そのユー ザのアクセス復旧の⽀援。 • 新⼊社員研修の⼀環としての新⼊社員に対する MFA の有効化。 • セキュリティキーの検証⽅法をサポートしている場合、 セキュリティキーの在庫補充と配布。 MFA の問題を⽀援するサポートチームの強化 「ユーザインターフェースで多要素認証を管理」権限をサポート チームに割り当てます。この権限により、サポートスタッフは仮 の確認コードの⽣成、検証⽅法の切断、ID 検証アクティビティ の監視とレポート作成などの作業について、ユーザを⽀援できま す。詳細は、Salesforce ヘルプの「多要素認証の管理任務の委 任」を参照してください。 仮の確認コードによるアクセスの復旧 通常の MFA 検証⽅法がないユーザのために、⼀時コードを⽣成し ます。コードの有効期限が⽣成後 1 〜 24 時間後に切れるように 設定します。コードは有効期限まで繰り返し使⽤できます。詳細 は、Salesforce ヘルプの「仮の確認コードの⽣成」を参照してく ださい。

詳細情報

MFA の Trailblazer になる ̶ その他のリソースを確認

その他のリソース

MFA に関する詳細情報の⼊⼿

• Salesforce MFA FAQ

• Introduction to Salesforce Authenticator (Salesforce Authenticator の概要) (動画)

• Secure Account Access With MFA (MFA を使⽤したアカ ウントアクセスの保護) (Web セミナー)

「MFA – Getting Started」 Trailblazer Community

で MFA に関するディスカッションに参加しましょう!

MFA の実装に関するその他の詳細の確認

• Launch Multi-Factor Authentication (多要素認証の稼働開始) (動画) • _{多要素認証のロールアウト⽅法 (ヘルプ)} • 多要素認証 (ヘルプ)

Trailhead を使⽤した MFA についての学習

Identity の基本 ユーザ認証 セキュリティの基本

セキュリティに関する詳細情報の⼊⼿

• _{セキュリティ状態チェック} • _{Salesforce Shield} • Salesforce セキュリティガイド • _{セキュリティ ̶ Salesforce Trust サイト}