SFAのセキュリティの重要性とは?多要素認証について解説
Check!
- SFAを利用する際は、機密情報や顧客情報を守るためセキュリティ強化が必須である
- 多要素認証は、パスワード以外にデバイス認証や生体認証を組み合わせた認証方法である
- 巧妙化し続けるサイバー攻撃には、Salesforce Authenticatorが有効である
インターネットの利用が当たり前となった現代では、SFAなどのクラウドサービスを利用する場合、今まで以上に不正アクセスや情報漏洩などのセキュリティを強化する必要があります。本記事では、セキュリティの重要性やSFAの多要素認証について分かりやすく解説します。
おすすめ記事
SFAの多要素認証(MFA)とは
多要素認証(MFA = Multi-Factor Authentication)とは、複数の認証要素を使用してアカウントのセキュリティを強化する認証機能です。単一要素の認証よりも、パスワードの推測や盗難・不正アクセスなどのセキュリティリスクを抑えられます。
MFAの認証方法には、パスワードやメールの認証コード以外にも、指紋や静脈などを判別する生体認証やデバイスが持つ識別子でアクセスの可否を判断するデバイス認証があります。セキュリティトークンによる一時的な認証コードを使う方法も有名です。
近年、CRM(顧客管理システム)やSFA(営業支援システム)などをクラウドベースで提供する世界的なサービス「Salesforce」においてMFAが必須になりました。Salesforceでは、MFAスマートフォンアプリ「Salesforce Authenticator」を提供しています。
二段階認証と多要素認証の違い
認証要素を種類分けすると、知識認証(パスワードや生年月日など)・所持認証(デバイスやUSBキーなど)・生体認証(指紋や静脈など)の3種類があります。これらの種類から異なる要素を組み合わせるのが多要素認証です。
一方で二段階認証とは、要素の組み合わせに関係なく、認証のステップ数が二段階であることを指します。不正にアクセスしようとする時、二段階認証では段階ごとの認証要素が同じ場合も有り得るため、その場合は突破が容易になります。
多要素認証では認証要素ごとに突破する必要があるため、多要素認証の方がセキュリティレベルが高いです。
SFAにおけるセキュリティの重要性
SFAでは営業活動に関する重要な情報や顧客情報を扱うため、セキュリティ対策は万全であることが重要です。致命的な被害をもたらす脅威にはアクセス権を持たない第三者が不正に情報を盗んだり改ざんする不正アクセス以外にもさまざまなものがあります。
例えば、正当なユーザーの視覚情報を盗んでアクセスするアカウントの乗っ取りや、偽のウェブサイトやメールから機密情報をだまし取るフィッシング攻撃があります。また、SFAに浸入して被害をもたらすサイバー攻撃も危険です。
これらの脅威に共通しているのは、何かしらの方法で認証を突破していることです。そのためMFAによってセキュリティを強化できます。サイバー攻撃に関しては侵入検知システムやパッチの適用などによって、よりセキュリティを高められます。
SFAにおけるログイン認証の種類
不正アクセスの危険性を回避するためには、セキュリティ効果の高い認証方法を選ぶことが大切です。ここではSFAにおけるログイン認証の種類について解説します。
\気になる項目をクリックで詳細へジャンプ/
SFAにおけるログイン認証の種類
ID/パスワード
一般的に広く普及している認証方法には、ユーザーIDを識別子として対応するパスワードを入力して認証する方法があります。ユーザーにとって馴染みやすく利用しやすく、またアカウント管理やパスワードリセットのプロセスも容易で柔軟性が高い点がメリットです。
一方で注意点として、パスワードの選択は、長く複雑なパスワードや定期的な変更が推奨されます。また、パスワードの保管方法も安易に他人と共有されないように気をつけなければなりません。
認証キー・認証コード
ユーザーがログインする際に、ランダムに生成された認証キー・認証コードを入力する認証方法も有名です。認証キーの生成はハードウェアやソフトウェアなどセキュリティトークンが行う場合もあれば、クラウドベースのシステムではメールで送られる場合もあります。
メリットとしては、認証キー・認証コードは一度きりの使用や短期間の有効期限によって、第三者による不正アクセスから保護します。また、通常は前述のID/パスワードの認証と組み合わされる場合が多く、二段階認証によってセキュリティが強化されます。
一方で、ハードウェアトークンのようにデバイスに依存している場合、紛失や故障によってアクセスできなくなるリスクがあります。また、頻繁にログインしたり、社外でログインしたりする場合には手続きが煩雑になりやすいのも注意すべきポイントです。
端末ID
ユーザーが利用するコンピュータデバイス(端末)が持つ固有の端末ID(識別子)で認証を行う方法は、同じ端末による再認証が省略されます。そのため、初回以降のログインプロセスが簡略化でき、便利なログイン方法として知られています。
頻繁にログインする場合には認証の手間がなく快適ですが、セキュリティ面での利点もあります。端末IDは個々のデバイスで固有のため、システムが許可していない他のデバイスから使用することはできず、不正アクセスやアカウント乗っ取りから保護できます。
注意点としては、アクセス権を持たない他者が自分のデバイスを不正に使用しないように端末を管理する必要があり、通常は他の認証要素と組み合わせて使用します。またデバイスの故障や紛失の際の対策も講じておかなければなりません。
IPアドレス
前述の端末IDの認証に似ているログイン方法に、ユーザーがアクセスするデバイスのIPアドレスで認証を行う方法があります。端末自体の正当性を確認する端末IDと異なり、IPアドレスによる認証は、ネットワークからのアクセスを制御します。
特定のIPアドレスのみを許可している場合、追加の認証ステップ(パスワードや認証コードの入力など)はないため、アクセスが高速化するメリットを得られます。
ただし多くのユーザーはダイナミックIPアドレスであり、IPアドレスが定期的に変更されるため、アクセスできなくなる可能性があります。静的IPアドレスを使ったり、他の認証方法と組み合わせるなど柔軟性を持たせないと不便な認証方法です。
外部の認証アプリケーション
外部の認証アプリケーションを使用してログインする方法では、ユーザーはアプリケーションに登録して、ログイン時に生成される認証コードを入力して認証を行います。アプリケーションはパソコンやモバイル端末などで利用可能です。
時間ベースで生成される認証コードは、不正アクセスやパスワード漏洩のリスクが低く、協力なセキュリティを発揮します。また他の認証方法よりも比較的簡単な点もメリットで、モバイル端末で利用する場合は、オフラインでも認証可能です。
注意点としては、デバイスの故障や紛失に備えて、バックアップや復旧手順の保存などの対策が必要です。また、セキュリティや信頼性はアプリケーションに依存するため、慎重に判断してアプリケーションを選ぶことをおすすめします。
シングルサインオン(SSO)
通常は複数のシステム・クラウドサービス・アプリケーションなどを利用する時は、それぞれ個別にログインする必要があります。シングルサインオン(SSO)とは、一つの認証手段で関連するアプリケーションやサービスへのアクセスを可能にする認証方法です。
利用するアプリケーションやサービスの多さに関係なく、一つの認証手段でログインできるため、利便性の高さが魅力です。社内においてはセキュリティをアカウントの一元管理がしやすいメリットもあります。
一方で、SSOを実装するためには、利用するアプリケーションやシステムが対応していなければいけません。また、セキュリティが不十分な場合、第三者に認証の情報やアクセス権が漏洩するリスクもあるため、信頼できるSSOサービスを選ぶことが重要です。
セキュリティの強度がSFA選びのポイント
SFAの中には、強力な認証方法やアクセス制御を採用しているものや、フィッシング攻撃やマルウェアからの保護機能を提供するものもあります。SFAが扱う機密情報や顧客情報を守るためには、SFA選びのポイントをしっかり押さえておきましょう。
製品ごとにセキュリティ機能は異なる
SFAのセキュリティ機能は製品ごとに異なります。自社のビジネスニーズやシステムとの相性はもちろん、セキュリティポリシーと適合しているかどうかの確認が重要です。
例えば、セキュリティ機能として、さまざまなユーザーの利用が想定される場合は、ユーザーごとのアクセス権を設定できるSFAが推奨されます。また、パスワードの長さ・文字種・再利用の禁止など強力なパスワードポリシーが設定できた方が理想的です。
他にもデータの暗号化やログ監視などの機能もあり、製品によって機能の有無や機能の仕様が異なるため、事前に必ず確認しておきましょう。
セキュリティが強化されたSFA導入のメリット
セキュリティレベルの高いSFAは、アクセス制御や暗号化などによって権限のない第三者による不正アクセスや情報漏洩の防止に寄与するメリットがあります。
アクセス制御の利点はアクセス権を与えるユーザーの選択によって、内部統制の強化にもつながります。ログ監視も個別のユーザーのアクションを追跡できるため内部統制の強化に寄与します。
クラウドベースのSFAでも、セキュリティの強化されたSFAが多く登場しているため、モバイル端末からのアクセスで利便性も向上しています。
Salesforce製品では多要素認証が必須化されている
SalesforceはCRMやSFAなどで世界的にシェアされており、2022年からはMFAが必須となったことで注目を集めました。SalesforceにおけるMFAの要件を満たす方法には以下の4つの方法があり、それぞれ解説します。
\気になる項目をクリックで詳細へジャンプ/
Salesforce製品では多要素認証が必須化されている
シングルサインオン
シングルサインオンを利用してSalesforceにアクセスする場合は、シングルサインオンの製品でMFAを有効化することで、SalesforceのMFAの必須化要件に対応できます。
シングルサインオンでは、他のサービスやシステムにアクセスする際にも同じ認証手段で簡略的にアクセスできるのがメリットです。管理者のアカウント管理の負担も軽減します。
セキュリティキー
セキュリティキー(U2F)はUSBメモリ形状の物理的な鍵です。パスワードに加えて使用することでMFAの必須化要件に対応します。初回ログイン時にセキュリティキーを登録するだけなので簡単です。U2Fはバッテリーが不要で、認証の手間が少ないのがメリットです。
サードパーティ認証アプリケーション
Salesforceでは後述する専用のMFAアプリケーションもありますが、Salesforce以外の認証アプリケーションを利用することもできます。外部の認証アプリケーションは「RFC-6238」規格に準拠していればSalesforceのMFAの要件を満たします。
認証自体は簡単で、また時間ベースで生成される認証コードのため、セキュリティ強度が高い点もメリットです。
SalesforceAuthenticator
Salesforceのプラットフォームに対応したスマートフォンアプリに、Salesforce Authenticatorがあります。iOS・Android両方に対応しており、ログイン時のプッシュ通知にて本人確認ができます。
Salesforce Authenticatorでは、アカウント乗っ取り対策として、第三者が自分のアカウントでログインしようとしてもスマートフォンで拒否可能です。アプリをスマートフォンにインストールする以外は、ログイン時の手間もほとんど変わらない点がメリットです。
まとめ
SFAは、企業にとって重大な情報を扱うシステムであるため、MFAを始めとする堅牢なセキュリティ対策を講じることが大切です。
SFAを導入する際は、ビジネスニーズだけでなくセキュリティ対策にも着目しましょう。多要素認証が必須化されたSalesforce製品を始め、安心できる製品を見つけてください。
この記事に興味を持った方におすすめ