多要素認証（MFA：Multi-Factor Authentication）とは、Webサービスやクラウドサービスへログインする際に、2つ以上の認証方法を併用する手法のことです。従来はサービスの利用者に割り当てられたIDとパスワードを使用してログインする手法が一般的でした。しかし、IDとパスワードのみの認証には、第三者へ流出した際に簡単に不正アクセスされてしまうリスクがあります。

そこで、2つ以上の認証方法を併用することによってセキュリティレベルを引き上げ、Webサービスやクラウドサービスへ安全にログインできるようにすることを目的として導入されるのが多要素認証です。ここでは、クラウドサービスの利用実態や基本の3要素、多段階認証との違いについて解説します。

クラウドサービスの利用実態

総務省が公開している「令和3年版 情報通信白書」によると、クラウドサービスを一部でも利用している企業の割合は68.7%であり、7割近くに達しています。このように、企業のクラウドサービス利用は進んでおり、多くの現場でサービスへのログインが必要不可欠な状況にあります。

クラウドの普及が進んでいることから、今後も企業のクラウド利用率が高まる可能性は高く、ますますセキュリティレベルの維持・向上が重要になると想定されます。こういった状況において、利用中のクラウドサービスのセキュリティ対策を十分に行い、安全に業務を行える環境を整えることは重要です。

総務省｜令和3年版 情報通信白書｜企業におけるクラウドサービスの利用動向
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd242140.html

基本的3要素

認証には、次の「基本的3要素」があります。多要素認証においては、3つの要素の中から2つ以上の要素を組み合わせてログインを行います。

● 知識情報
● 生体情報
● 所持情報

知識情報とは、パスワードや秘密の質問、PINコードなどの「ログインするユーザーが知っていれば使える情報」を指しています。数字やアルファベットを組み合わせたパスワードや、事前に設定した秘密の質問への回答などが該当します。

生体情報は、指紋認証や顔認証、虹彩認証をはじめとした生体認証を指します。人間一人一人が違う特徴を持つ生体認証を用いることで、個人を高い精度で識別できます。

所持情報とは、所有している「モノ」を指します。スマートフォンや社員証など、モノに登録されている個人の認証情報を使用して認証する点が特徴です。

多段階認証との違い

多要素認証と似た言葉に「多段階認証」がありますが、多要素認証と多段階認証は性質が異なるものです。

前述のように、多要素認証は知識情報、生体情報、所持情報の3つの基本要素の中から2つ以上の認証方法を組み合わせて認証を行う方法です。仮に1つの認証方法が突破されたとしても、もう1つの要素が明らかにならない限りは不正アクセスを防止できます。

例えばパソコンのログインに社員証（所持情報）とパスワード（知識情報）が必要な場合、社員証を紛失しても、パスワードが流出しなければ不正アクセスはできません。

一方の多段階認証は、段階的に認証を行う方法です。「指紋認証を行った後で顔認証を行う」「パスワードを入力した後で秘密の質問に回答する」などの手順で、セキュリティレベルを向上させることが可能です。

多段階認証においては、3つの基本要素のうち1種類を用いますが、多要素認証と多段階認証を組み合わせてさらにセキュリティレベルを引き上げることもあります。

多要素認証が有効なセキュリティ対策として注目される中で、SalesforceはMFAを必須としました。なぜMFAを必須とするに至ったのか、その理由と要件を解説します。

MFA必須化の理由

SalesforceがMFAを必須化した理由は、世界的なセキュリティリスクの深刻化にあります。近年ではサイバー攻撃が増加しており、ビジネスを妨げたり、消費者の情報を悪用したりする例が後を絶ちません。

また、リモートワークが普及するに従って、従来のようなオンプレミス環境からクラウド環境に移行する企業は増えており、これに伴うセキュリティリスクへの対策が求められるようになりました。このような流れを受けて、SalesforceではMFAを必須化し、より強固なセキュリティの実現を図っています。

MFAの要件

前述のように、SalesforceではMFAの利用が必須となっています。ログイン時には複数の認証要素を利用し、セキュリティレベルの高い認証を行わなければなりません。SalesforceにおけるMFAを有効にするためには、次の2つの方法があります。

● Salesforce製品上で直接認証を行う
● SSO（シングルサインオン）製品を使用する

Salesforce製品上で直接認証する場合は、セキュリティキー、Salesforce Authenticator（認証用アプリ）、サードパーティの認証アプリケーションを利用する方法があります。

SSOを使用する場合はSalesforce上で特別な設定を行う必要はなく、SSO製品側で設定を行うことでMFAを利用できます。

社内で利用しているスマートフォンやタブレットなどのデバイス単位でアクセス制限を行うなら、Salesforceの認証にデバイス認証をプラスできる「verifycloud」がおすすめです。ここでは、verifycloudのサービス概要や機能、特徴をご紹介します。

概要

verifycloudとは、デバイス単位でSalesforceのアクセス権を付与できるアクセス制御サービスです。Salesforceに備わっている標準のセキュリティ設定に「デバイス認証」を加えることで、デバイス単位でのコントロールを可能にします。

verifycloudでアクセス制御を行うと、許可した端末以外のSalesforceへのログインをブロックすることができます。社員の私用パソコンやスマートフォンなどからのログインを防止するだけでなく、サイバー攻撃による不正アクセスからSalesforce内の情報資産を守ることも可能です。従来はVPN（仮想プライベートネットワーク）を構築しなければ実現できなかったデバイス認証を、手軽かつ低コストで実現できます。

機能

前述の通り、verifycloudはデバイス単位でSalesforceのアクセス制御を行えます。社外から接続するデバイスを制限しつつ、社内ネットワークからのアクセスについては、IPアドレスの範囲を指定して許可を設定することができます。

特徴

verifycloudの認証はWebブラウザやSalesforceのCookie情報を参照して行うため、VPNが不要です。また、専用ブラウザをインストールする必要はなく、Google ChromeやSafariなど、一般に広く使用されているブラウザのほか、Salesforceアプリなども利用できます。

まとめ

多要素認証を導入することで、社内のセキュリティを高めて、より安全に業務を行うことが可能になります。数多くのクラウドサービスに先駆けてMFAを必須化したSalesforceに、今後は他のSaaSアプリケーションも追随していく可能性が非常に高いと考えられます。MFA必須化の時代に対応するため、早期に認証基盤をMFAに対応させていく必要があるといえるでしょう。