叡智の三猿

~森羅万象を情報セキュリティで捉える~

MFAの使用を必須条件に

Salesforceは、2022年2月1日より、製品 へのアクセスに MFA(多要素認証) の使用を必須条件とすることにしました。ヘビーユーザーであるわたしにとってインパクトでした。Salesforceは、顧客関係管理(CRM)のソリューションを提供する SaaSタイプのクラウドサービスです。

やや古い情報ですが、Salesforceは世界のCRM市場の売上20%を占めるトップ企業です。勢いのある会社で、昨年はビジネスチャットツールで有名なSlackを買収したことも話題になりました。この世界的なクラウドベンダーがMFAを必須にする影響は大きいはずです。
www.sbbit.jp

認証は本人の真正性(なりすましがされていないこと)を確かめることです。認証の手段はパスワードや公開鍵、デジタル署名など様々ですが、認証する要素を軸として、以下のように分類されます。これを認証の3要素と呼びます。

要 素 認証方式の例
記 憶 パスワード認証/暗証番号(PINコード)等
所 持 端末認証/ICカード認証 等
属 性 生体認証(指紋認証/顔認証 等)

SalesforceでMFAを使用すると、下図のようにいままではIDとパスワードでログインが出来たものが、もうひと手間増えます。あらかじめ、自分が持っているスマートフォンSalesforce Authenticatorというアプリをインストールして、Salesforceのログイン情報との関連づけをしておきます。そうすると、スマートフォンにログインの承認依頼が来て、承認すれば晴れてSalesforceが使えるようになります。パスワードはその人の記憶に基づく認証方式で、Authenticatorでの承認は所持しているスマホに基づく認証方式です。記憶と所持という2つの要素を使っていることから、これを多要素認証といいます。英語でAuthenticateとは、信頼できることを証明する、本物であることを証明するという意味のようです。

Salesforceで多要素認証

また、サードパーティの認証アプリケーションも利用可能です。Google AuthenticatorやMicrosoft AuthenticatorといったOTP(ワンタイムパスワード)アプリを利用している場合には、Salesforce認証にもそれを利用することが可能なようです。

多要素認証と似た言葉で多段階認証があります。多段階認証は言葉のとおり、複数の段階を踏む認証方法のことです。上にあげたSalesforceの認証は、はじめにパスワードによる認証を行ってから、Authenticatorを使って承認します。この順番は決まっていて、両方をいっぺんにすることはできません。ですので、Salesforceの認証は複数の段階(二段階)を踏むので、多段階認証です。多要素認証であり多段階認証でもあります。

一方、銀行のATMはどうでしょうか。ATMで現金を引き出すには、その人が所持しているキャッシュカードを入れて、その人が記憶している暗証番号をいれます。そして、カードと暗証番号による認証は同時に行われ、現金が引き出されます。ですので、ATMによる現金の引き出しは、多要素認証ですが、多段階認証ではありません。

そうすると、理屈上は多要素認証ではないが、多段階認証ではあるという認証方式も存在するはずです。江戸時代の忍者は、敵か味方をわけるために合言葉が使用されたようです。火といえば煙、山といえば林、谷といえば水、海といえば塩、花といれば実という具合だそうです。この記憶に基づく合言葉を複数つかえば、それは多要素認証ではないが、多段階認証ということになります。

味方か敵か

現代であれば、ログインのパスワードが二段階に分かれ、第一のパスワードを潜り抜けたら、第二のパスワードを要求されるシステムがあるとしたら、それが当てはまります。ただ、わたしはそのようなシステムで思い当たるものがありません。ひとつしか認証要素がなくて、多段階認証のシステムは使いにくいんだろうと思います。