2026年6月〜
Salesforce セールスフォース認証強化 2つの重大変更が発動
①特権ユーザー・管理者ユーザーに、フィッシング耐性MFAが必須となります
②一般ユーザーの除外適用がなくなり、MFAが必須となります
①特権ユーザー・管理者ユーザーに、フィッシング耐性MFAが必須となります
②一般ユーザーの除外適用がなくなり、MFAが必須となります
Salesforceは2022年2月より、全ユーザーに対してMFA(多要素認証)の使用を利用規約上の義務としてきました。
しかし2026年6月以降、さらに踏み込んだセールスフォース認証強化が自動適用されます。
|
ポイント ― 今回の変更で何が変わるか
これまでは、MFAの適用を利用規約上必須となっていましたが、2026年6月以降は特権ユーザー・管理者ユーザーに対して、従来のSalesforce AuthenticatorアプリやGoogle AuthenticatorなどのTOTPコードでは要件を満たさなくなります。 求められるのは「フィッシング耐性MFA」――フィッシングサイトに誘導されても認証情報が盗めない仕組みです。 |
従来のTOTPアプリはワンタイムコードを入力するものですが、攻撃者が、フィッシング用に準備した偽のSalesforceログイン画面を用意すれば、ユーザーが入力したコードをリアルタイムで盗用することが可能です(中間者攻撃)。フィッシング耐性MFAでは、認証情報がデバイス内で完結し、ネットワーク経由で送信されないため、この攻撃が根本的に無効になります。
特権ユーザー・管理者ユーザーが対応できるフィッシング耐性MFAは、大きく「PCへの組み込み認証」と「物理セキュリティキー」の2種類です。
| PCへの組み込み認証(ビルトイン) ・Windows Hello(顔認証・指紋認証) ・Touch ID / Face ID(Mac・iPhone・iPad) |
② 物理セキュリティキー(推奨) ・USBに差してタップするだけのハードウェアトークン ・FIDO2 / WebAuthn 準拠で最高水準のフィッシング耐性 ・スマートフォン持ち込み禁止の工場・医療現場にも対応 |
|
SSOをご利用の企業様へ
Microsoft Entra ID(旧Azure AD)やOktaなどSSOを経由している場合は、IdP(認証基盤)側でWindows Hello for BusinessやFIDO2セキュリティキーなどフィッシング耐性のある手段を特権ユーザー・管理者ユーザーに必須化し、AMR/ACRシグナルをSalesforceへ送信する設定が必要です。IT・情報システム部門への確認を推奨します。 |
FIDOアライアンスメンバーの製品であるセキュリティキー(SwissbitやYubicoなど)が、推奨されています。
当社取扱のSwissbit社製 iShield Key 2は、いずれもFIDO2対応でSalesforceのフィッシング耐性MFA要件を満たしています。
(1)認証方式のカバー範囲の広さ
FIDO2・PIV・スマートカード機能・TOTP・HOTP・物理アクセス(MIFARE等)をこれ1本でカバー。FIDO対応アプリ、レガシーアプリ、Windowsログイン、物理入退室管理、電子署名まで行えるオール・イン・パッケージ。USB-A/Cの他、NFCに対応しているためモバイルや物理デバイスの認証器としても利用可能。パスキーは最大300件保存できます。
(2)Made in Germany
日本と同レベルの製造業大国での高いハードウェア品質。貿易規制などのサプライチェーンリスクもありません。
下記内容をご確認いただき、
是非ご参加いただけますよう、よろしくお願いいたします。
| Salesforce Authenticatorアプリではもう対応できないのですか? | 一般ユーザーは引き続きAuthenticatorアプリで要件を満たせます。ただし特権ユーザー・管理者ユーザー(システム管理者など高権限ユーザー)は2026年6月以降、フィッシング耐性MFAが必須となるため、セキュリティキーまたはWindows Hello / Touch ID等のビルトイン認証への移行が必要です。 |
| Windows HelloやTouch IDだけでも対応できますか? | はい、Windows Hello(顔認証・指紋認証)やTouch ID / Face IDはフィッシング耐性MFAの要件を満たします。ただし、Windows Hello未対応のPCや、共有PCを使う環境では物理セキュリティキーの方が管理・運用面で安定します。 |
| SSOを導入している場合はどう対応すればよいですか? | Entra ID(旧Azure AD)やOktaなどSSO経由でSalesforceにログインしている場合は、IdP側でWindows HelloやセキュリティキーをFIDO2で特権ユーザーに必須化する必要があります。 |
| iShield Keyの購入・見積もりはどこから? | 加賀ソルネット株式会社(Swissbit日本国内ディストリビューター)へまずはご相談ください。
Salesforceフィッシング耐性MFA対応をご支援いたします。 |
| お問い合わせ先 | swissbit-sales@solnet.ne.jp
TEL:03-5931-0100(ソルネットカンパニー SI営業部 SI営業課) |
iShield Key FIDO2の導入・大量調達・展開サポートは加賀ソルネット株式会社へ。
Swissbit日本国内ディストリビューターとして、ご要件に合わせた最適なプランをご提案します。