Okta Japanはこのほど、オンラインで「Okta×Yubikeyによる多要素認証実装セミナー~SalesforceのMFA必須化にいかに備えるか~」をテーマに多要素認証(MFA)の必須化に備えた事例に関するウェビナーを開催した。

来年2月にSalesforceのMFAが必須化

米Saleforceでは、2022年2月にMFAの必須化を予定している。セールスフォース・ドットコム ソリューション・エンジニアリング統括本部 Cloud Specialist & Architect本部 Security Specialistの大橋尚美氏は、MFAが必須化となる理由について「まず、時代背景としてサイバー攻撃手法の多様化と範囲の拡大が挙げられる。クラウド化により、従来の境界防御モデルでは安全性を担保しきれない環境に変わりつつあるほか、日本でもランサムウェアやVPN環境での情報漏えいなど、境界防御では防ぎきれない事例が報告されている。こうした状況に対応するためには境界防御の先にあるクラウド時代のセキュリティとして、ゼロトラストモデルに加え、IAM(Identity and Access Management)の強化は対策要素の1つなっており、具体的な施策としてMFAが推奨されている」と話す。

セールスフォース・ドットコム ソリューション・エンジニアリング統括本部 Cloud Specialist & Architect本部 Security Specialistの大橋尚美氏

セールスフォース・ドットコム ソリューション・エンジニアリング統括本部 Cloud Specialist & Architect本部 Security Specialistの大橋尚美氏

サイバー攻撃手法の多様化と範囲の拡大に伴いゼロトラストとMFAが注目されている

サイバー攻撃手法の多様化と範囲の拡大に伴いゼロトラストとMFAが注目されている

昨年来からの新型コロナウイルスに対応した新たなリモートワーカーのセキュリティを維持するためにセキュリティは、かつてなく重要になっている。こうした、MFA必須化の動きは米国のバイデン大統領が2021年5月に連邦政府のサイバーセキュリティ対策として、MFAと暗号化に対応する大統領令に署名し、民間ではGoogleなどがMFA必須化に関する検討を開始している。

一方、日本ではIPAが発表した組織における情報セキュリティ10大脅威の第2位に「標的型攻撃による機密情報の窃取」がランクインしており、攻撃者は新型コロナウイルスの感染拡大による社会の変化や、それに伴うテレワークへの移行という過渡期に便乗し、状況に応じた巧みな手口で金銭や機密情報などを窃取しているという。

また、第3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」など、そのほかの脅威も相まって窃取されたユーザーID/パスワードによる不正アクセスのリスクは、IP制限などで閉じた環境下においても増加している。

認証要素は、パスワードといったユーザーが知っている情報の「知識要素」と、ユーザーが所有しているものに付随する情報の「所有要素」の2つが代表的だ。MFAは知識要素と所有要素を加えることで二要素(多要素)となり、達成することができる。

MFAでは、標的型攻撃やフィッシング、ビッシング、スミッシング、スピアフィッシング、キーロガー、クレデンシャルスタッフィング、ブルートフォース攻撃、中間者(MITM)攻撃など代表的な攻撃の防止を可能としている。

MFAの概要

MFAの概要

MFAで防げる脅威は現状ではMFAでなければ防げない脅威

大橋氏は「ただ、クライアントPCが乗っ取られてしまった場合、IP製品やVPN製品で対策を講じていても侵入を許してしまっている以上、MFAを代替する対策にはならないため、MFAで防げる脅威は現状ではMFAでなければ防げない脅威だ」と説く。

Salesforceのプラットフォームはインフラ、ネットワーク、アプリケーションの各レイヤにおいて各種セキュリティの運用管理を実施し、組織の入口・出口の対策を講じており、有償オプションの「Salesforce Shield」は組織内部のセキュリティを高められるという。

Salesforceのプラットフォームは各レイヤでセキュリティを担保しているという

Salesforceのプラットフォームは各レイヤでセキュリティを担保しているという

大橋氏は「インフラとネットワークは当社が完璧なものを提供している一方で、アプリケーションは機能として正しく使えば万全である、というものを提供している。このような考え方をセールスフォースのセキュリティパートナーシップと呼び、ユーザーと当社による責任共有モデルを定めている」と述べた。

セールスフォースのセキュリティパートナーシップ

セールスフォースのセキュリティパートナーシップ

MFA必須化の要件を満たす方法としては、すべてのユーザーに対する「MFAの有効化」または「SSOの適用」となる。MFAの有効化はユーザーインタフェースを介して同社製品(パートナーソリューションを含む)にログインするユーザーに対して行う。また、SSOの適用については同社製品(同)へのログインにフェデレーション方式(SAMLまたはOpenID Connect)のSSOを適用し、SSOプロバイダのMFAを使用するというものだ。

MFA必須化の要件を満たす方法

MFA必須化の要件を満たす方法

Salesforceで二要素目の認証として利用可能な方法は「Salesforce Authenticatorモバイルアプリケーション」「サードパーティ認証アプリケーション」「セキュリティキー」の3つとなり、メール、SMS、電話をMFAの要素として許可していない。

Salesforce MFAの認証要素

Salesforce MFAの認証要素

大橋氏は「メールのログイン情報は漏えいしやすいほか、テキストメッセージと電話は傍受される恐れがあるためメール、SMSテキストメッセージ、および電話はMFA検証方法として許可されていないほか、攻撃者がモバイルデバイス、セキュリティキーをコントロールすることは、メールアカウントへの侵入や携帯電話のハッキングより困難だ」との認識を示す。