Salesforce 組織の多要素認証の実装

コントロール名

Salesforce 組織での多要素認証 (MFA) の適用

推奨設定

直接ログイン、シングルサインオン (SSO)、API アクセスなど、すべてのユーザー認証パスに MFA を適用します。

制御の概要

MFA では、パスワード以外の要素が追加され、アカウント侵害のリスクが大幅に軽減されます。Salesforce では、直接ログイン、SSO ベースの認証、API アクセスの MFA 適用がサポートされ、環境全体のユーザー、インテグレーション、機密データを保護できます。

設定されていない場合のセキュリティリスク

MFA を使用しない場合、アカウントはパスワードでのみ保護されます。パスワードが盗まれたり、推測されたり、再利用されたりすると、不正アクセスの可能性が大幅に高まります。これは、特権ユーザーや API インテグレーションに特に当てはまります。

脅威のシナリオ

フィッシングベースのログイン情報の盗難、パスワードのブルートフォース攻撃、システム全体で再利用されるログイン情報の侵害、盗まれたログイン情報またはトークンを使用した不正な API アクセス。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

リスクの重要度は、認証方法、ユーザー権限レベル、組織の公開状況、およびアクセスが UI、SSO、API のどれで行われたかによって異なります。

より高いリスク

本番組織、Sandbox または開発者組織、SSO プロバイダーセッションに MFA がない場合、または追加の認証要件なしで API アクセスを許可する場合、MFA は適用されません。

低リスク

• 直接ログイン MFA: MFA は、本番組織、Sandbox 組織、トライアル組織、開発者組織ですべての直接ユーザーログインで有効になっています。
• SSO MFA の適用: MFA は、SSO プロバイダーで適用されるか、Salesforce 高保証認証ポリシーを介して適用されます。
• API MFA 保護: API ベースのアクセスとクライアントアプリケーションを保護するために「API ログインの MFA」権限が有効になっています。
• Privileged User Coverage (特権ユーザー補償): MFA は、すべての管理者ユーザーと高権限ユーザーに例外なく適用されます。

ビジネスと統合に関する考慮事項

ユーザーは、MFA とユーザー母集団、自動化ツール、インテグレーションとの互換性を評価する必要があります。API ベースのワークフローでは、引き続き強力なセキュリティ制御を維持するサービスアカウントまたは権限ベースの例外が必要になる場合があります。

推奨される修復

すべての直接ログイン、SSO、API アクセスで MFA を義務付けます。定期的にポリシーを監査し、特権ユーザーのカバー率を確認します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Reviewでは、ログイン方法全体のMFA適用を評価することで、認証情報ベースのリスクを最小限に抑え、Salesforceセキュリティ ベースラインとZero Trust標準を満たすことができます。