Salesforce 組織でユーザーが使用できる MFA 検証方法の設定

コントロール名

多要素認証 (MFA) 検証方法の設定

推奨設定

組み込み Authenticator、ハードウェアセキュリティキー、証明書ベースの認証を優先し、フィッシング詐欺に強い MFA 検証方法を有効にします。

制御の概要

Salesforce では、ログイン時またはデバイスの有効化時に ID を検証できるように、複数の MFA 検証方法をサポートしています。これらの方法は、生体認証やハードウェアセキュリティキーなどの耐フィッシング認証から、SMS ベースのパスコードなどの弱い方法まで多岐にわたります。強力な検証方法を選択することで、ログイン情報の盗難やソーシャルエンジニアリング攻撃のリスクを大幅に軽減できます。

設定されていない場合のセキュリティリスク

強力な MFA 検証方法が有効になっていない場合、ユーザーはより脆弱なオプションやフィッシング耐性の低いオプションに頼る可能性があります。これにより、不正アクセスにつながる可能性があるフィッシング、ログイン情報のリプレイ、SIM スワップ、ソーシャルエンジニアリング攻撃に対する感受性が高まります。

脅威のシナリオ

ワンタイムパスコードを取得するフィッシング攻撃、SMS ベースの MFA を狙う SIM スワップ攻撃、オリジンバインド認証の欠如によるセッションハイジャック、証明書検証のないユーザーまたはシステムのなりすまし。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

リスクの重要度は、ユーザー種別 (内部と外部)、アクセス権限レベル、Experience Cloud サイトの公開状況、および認証方法がフィッシングに強いかどうかによって異なります。

より高いリスク

使用可能なのは SMS ベースの MFA のみ、フィッシング詐欺に強い Authenticator が有効になっていない、ハードウェアセキュリティキーがサポートされていない、またはシステム間認証に証明書ベースの検証がない。

低リスク

この制御は、次のいずれか 1 つ以上を実装する場合、低リスクと見なすことができます。

• 組み込み Authenticator: Touch ID、Face ID、Windows Hello などのデバイスベースの生体認証が有効になっている。
• ハードウェアセキュリティキー: WebAuthn (FIDO2) または U2F セキュリティキーがサポートされ、ユーザーが採用しています。
• 証明書ベースの認証: 安全なユーザーまたはシステム認証のために相互証明書検証が適用されます。
• SMS の使用制限: SMS ベースの MFA は外部ユーザーのみに制限され、可能な場合は追加の保護策で補完されます。
• MFA 検証時にユーザー検証が必要: MFA 検証時に、ユーザー検証を適用してユーザーを検証するように設定されます。

ビジネスと統合に関する考慮事項

MFA 方法を選択するときは、ユーザーエクスペリエンス、デバイスの互換性、外部ユーザー母集団、規制要件を考慮する必要があります。対外 Experience Cloud サイトでは、より強力な認証方法の段階的な採用が必要になる場合があります。

推奨される修復

組み込み Authenticator とハードウェアセキュリティキーを有効にし、必要に応じて証明書ベースの認証を設定し、SMS ベースの MFA を制限または段階的に廃止し、MFA 方式の採用と使用を定期的に確認します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Reviewでは、お客様がフィッシング詐欺に強い認証を採用し、IDベースの攻撃のリスクを軽減し、Salesforceが推奨するセキュリティ ベースラインとZero Trustの原則に準拠することができるようにMFA検証方法が評価されます。