多要素認証への対応のお願い(2024/05/09 更新)
2024/05/09 更新:「MFA必須化適用予定日」の「MFA設定の強制有効化(設定を無効化できません。)」が廃止され、[設定]作業時の警告に変更されました。
「自動有効化」の確認方法について、追記しました。
2024/03/19 更新:「MFAとして使用できる要素一覧」のPC端末から、サポート終了に伴い「Authy」を削除しました。
2024/02/13 更新:「MFA必須化適用予定日」の「OEM契約の場合」にて、MFA設定が強制有効化される日程について追記しました。
2023/11/16 更新:「MFA必須化適用予定日」に自動有効化後の猶予期間について追記しました。
「MFA必須化適用予定日を過ぎた後のお客様の影響」にMFA自動有効化後の猶予期間、MFAの除外ユーザについて追記しました。
「MFAを一時的に無効化する」を追加しました。
2023/04/26 更新:「MFA必須化適用予定日」を更新しました。
より安全にSalesforceへアクセスするために「多要素認証」設定のご検討をお願いいたします。
<目次>
概要
昨今、セキュリティの重要性は高く、データの機密性、完全性、および可用性がビジネスにとって不可欠です。
それに伴い、LMISの基盤である、Salesforce Lightning Platform(旧:Force.com)でもセキュリティ強化が進んでおります。
上記基盤の提供元であるセールスフォース・ドットコム社ではログインに関して多要素認証を必須化する対応を発表しました。
この変更により、LMISのログインに関しても多要素認証が必須になるため、お客様においては、本お知らせの内容をご確認の上、ご対応いただきたく存じます。
本対応の詳細については、Salesforceヘルプ「多要素認証 (MFA) への対応のお願い」を参照してください。
本内容は今後大きく変更はされませんが、一部お知らせの内容が変わる可能性があります。その際は改めて通知いたします。
多要素認証(MFA)とは
システムのログイン認証をするのにパスワードのみの認証では、セキュリティが低く様々な攻撃を受けます。
その対応策として、複数の要素を2つ以上組み合わせることで、セキュリティを向上させる方法を多要素認証(以降MFAと記載します)と言います。
「複数の要素」の代表例として、ユーザが知っている「パスワード」やユーザが所有する「モバイル端末」、「セキュリティキー」が使用されます。
一般的には、「パスワード」と「モバイル端末」、「パスワード」と「セキュリティキー」といった組み合わせで認証行為を行ってログインをします。
MFA必須化適用予定日
MFAが必須化となる方針に伴い、設定が義務付けられたのち、組織に対してMFAの設定が強制的に有効化されます。それぞれの対応は以下の日程で順次適用されます。
LMISの契約方法により適用時期が異なります。
OEM契約の場合(LMIS契約時にSalesforceを利用開始されたお客様)
日程 | お客様の影響(環境に適用される内容) |
|---|---|
2023年11月15日 | Salesforce 製品へのアクセスに MFA を使用することが義務付けられます。 ※2023年11月15日時点ではMFAの設定は強制有効化されません。 |
2024年1月12日~2月10日 | 組織に対してMFA設定の強制有効化が実行されます。(設定を無効化できます。) 2024/02/13 追記:MFA設定が強制有効化される時期は、組織によって異なります。 |
2024年6月16日 | 本番組織のMFAが無効となっている場合、すべてのシステム管理者には、[設定]での作業時に警告が表示されます。 |
ISV契約の場合(元々ご契約していたSalesforce環境へLMISを導入頂いたお客様)
日程 | お客様の影響(環境に適用される内容) |
|---|---|
2022年2月1日 | Salesforce 製品へのアクセスに MFA を使用することが義務付けられます。 ※2022年2月1日時点ではMFAの設定は強制有効化されません。 |
2023年1月~2024年2月予定 | 組織に対してMFA設定の強制有効化が実行されます。(設定を無効化できます。) |
2024年6月16日 | 本番組織のMFAが無効となっている場合、すべてのシステム管理者には、[設定]での作業時に警告が表示されます。 |
上記のMFA必須化適用予定日については、Salesforceヘルプ「多要素認証 (MFA) 適用ロードマップ」を参照してください。
お客様のセキュリティ向上のためにも最初の適用時に合わせてMFAの設定をする事を推奨いたします。
MFA必須化適用予定日を過ぎた後のお客様の影響
影響を受けるログイン方法を以下に記載します。
ログイン方法によってMFAが強制的に有効になるログインとならないログインがあります。
本MFAの対応がされるログイン(MFAをしてログインしなければいけない)
ログイン方法 |
|---|
LMISへのログイン(ブラウザ) |
LMISへのログイン(モバイルアプリケーション) |
LMISへのログイン(シングルサインオン) |
本MFAの対応がされないログイン(MFAをしなくてもログインできる)
ログイン方法 |
|---|
LMIS/セルフサービスポータルのログイン |
LMISコンシェルジュのログイン |
データローダでのログイン※1 |
連携ツールでのログイン※2 |
※1:「OAuth」でログインする場合はMFAが求められます。データローダのログイン方法については、マニュアル「運用管理ガイド データローダをダウンロードする」を参照してください。
※2:連携ツールに関しては、マニュアル「コンフィグレーションガイド 運用ツール等からのファイル登録・出力の利用」を参照してください。
MFA猶予期間にMFAを使用せずにログインする
MFAの猶予期間に、MFAを使用せずにログインする手順を説明します。
MFAをユーザー名とパスワードを使用してログインします。
登録画面の下部にある、[MFAを設定せずにログイン]のリンクをクリックします。
以上で、MFAの猶予期間に、MFAを使用せずにログインする手順は完了です。
お客様側でご確認いただきたい事項
MFAの要素として使用できるのは以下になります。
MFAとして使用できる要素一覧
要素 | 使用するアプリケーションや対応規格 |
|---|---|
モバイル端末 | Salesforce Authenticatorアプリケーション |
サードパーティの認証アプリケーション(Google Authenticator、Microsoft Authenticator など、TOTPアルゴリズム※1に対応しているもの) | |
セキュリティキー | U2F または WebAuthnをサポートするセキュリティキー(Yubico の YubiKey、Google の Titan セキュリティキーなど) |
PC端末 | サードパーティの認証アプリケーション(Google Chrome機能拡張「Authenticator」など、PC端末にインストールできるTOTPアルゴリズム※1に対応しているもの) |
生体認証 | デバイスの組み込み Authenticator サービス (Windows Hello, Touch ID, Face ID など) |
※1:TOTP アルゴリズムとは、ワンタイムパスワードと呼ばれるもののうち時間に基づいてワンタイムパスワードが生成される認証形式のものです。
※上記の要素を使うメリットやデメリットについてはSaleseforceヘルプ「多要素認証の検証方法」を参照してください。
セキュリティ上のベストプラクティスとして、モバイル認証アプリまたはセキュリティキーを使用することを推奨します。
上記機器の用意が難しい場合はPC端末を使いMFAを行う事も可能です。(この場合はPC端末の1要素しか使用しないため、MFAとしてのセキュリティが完全には担保されません)
上記要素の導入が可能なお客様につきましては、以下の「お客様側で実施いただく作業」をご確認し準備を進めていただくようお願いいたします。
お客様側で実施いただく作業
本MFAの対応がされるログイン方法に関して、MFAの適用作業を完了いただくようお願いいたします。
本MFAの対応がされるログインについては「MFA必須化適用予定日を過ぎた後のお客様の影響」を参照してください。
手順を実施する前にシステム管理者がユーザごとにMFAとして使用する要素を決定し、配布などを行います。
使用可能な要素については「MFAとして使用できる要素一覧」を参照してください。
その後の設定手順やMFAでのログイン方法については、「多要素認証の設定・実施手順方法」を参照してください。
MFAを一時的に無効化する
SalesforceによってMFAが自動有効化された後、30日間の猶予期間でMFAに向けて準備する時間が足りない場合、システム管理者はMFAを一時的に無効にできます。
無効化手順について説明します。
[設定]の[クイック検索]ボックスに「ID」と入力し、[ID検証]をクリックします。
「Salesforce組織へのすべての直接UIログインに多要素認証(MFA)が必要」チェックボックスを選択解除します。
[保存]ボタンをクリックし、変更内容を保存します。
これで、MFAを一時的に無効化する手順は完了です。