フォローする

2020.07.17 「Salesforce のセキュリティ機能について:(3 - 最終回)シングルサインオンの補足とデバイス管理について」

≪  2020.07.10 「Salesforce のセキュリティ機能について:(2)セキュリティの観点から見た「シングルサインオン」と「私のドメイン」」

2020.07.31 「Salesforce - Summer '20 新機能をチェック(1):新機能チェックの前に "直近で廃止になる機能" を確認しましょう 【重要】」

 

 

お世話になっております。
ウフル カスタマーサポート Salesforce 担当の 後藤 でございます。

 

皆様いかがお過ごしでしょうか。 

毎週ご覧いただいている皆様は、「冒頭の挨拶はまたコロナ関連でしょ」とお思いかと存じますが、現在テレワークで自宅作業中の筆者、基本的に NHK を小さい音量で掛けながら作業をしているのですが、「本日の東京都の感染者が280名」とのニュース速報が飛び込んできたので、やはりこれを書かざるを得ません。

 

東京都 新たに286人感染確認 感染者数1日で最多に 新型コロナ 
https://www3.nhk.or.jp/news/html/20200716/k10012518311000.html

 

5月末に緊急事態宣言が解除され、6月はずっと出社して仕事をしておりましたが、この状況では再びテレワーク中心の形態に戻るはずで(実際弊社でも「極力テレワークで」とのお達しが出ております)、これはお客様にも共通だと思いますので、本カスタマーサポート通信でも、テレワーク環境で勤務されているお客様の利益になるような情報の提供ができるよう、今後も意識していきたいと考えます。

 

さて、「Summer '20 リリースまでの繋ぎ」として始めました「Salesforce のセキュリティ機能を深掘りする」シリーズですが、今週末に Summer '20 が一ヶ月の延期を経て待望のリリースとなるため、今回が最終回となります。

前回の「シングルサインオン編」について、以下のような声がございました。

 

「Salesforce が ID プロバイダ(IdP)になるより、外部 IdP をキーに Salesforce をサービスプロバイダ(SP)にしているケースの具体例を知りたいです」

 

確かに先週の記事を見返すと、両面を満遍なく取り上げるつもりが、「Salesforce を IdP にする設定」についての説明に偏重していたように思えます。

今回は先週の補足として、Salesforce を SP にして外部 ID プロバイダでログインを管理する設定についてのお話から始めさせていただきます。

 

先週の記事はこちらからご覧ください。

 

2020.07.10 「Salesforce のセキュリティ機能について:(2)セキュリティの観点から見た「シングルサインオン」と「私のドメイン」」
https://csminfo.uhuru.jp/hc/ja/articles/900001715226

 

 

 

 

* 外部 ID プロバイダで Salesforce のログインを管理する

 

 

先週の記事では、「二つの Developer Edition (DE) 組織を取得して、片方を IdP、もう片方を SP として設定する」方法をご案内しました。

 

Salesforce 同士を SAML で接続する方法は、「複数の独立した組織を管理する上で、システム管理者が主管理組織にログインすることで、他の被管理組織への認証を行う」といった限定されたケースでのみ使用されますが、Salesforce を IdP として、SP を Salesforce 以外の組織にするパターンは、以下のようなシナリオで一般的に用いられます。

 

  • Salesforce へのログインによって、G Suite への認証を行う
  • Salesforce へのログインによって、Dropbox や Box などクラウドストレージサービスへの認証を行う
  • Salesforce へのログインによって、Zoom や WebEx などのオンライン会議サービスへの認証を行う

 

クラウドストレージや会議サービスは AppExchange によって Salesforce 内に埋め込まれて使用することが多く、G Suite 連携についてもカレンダー共有機能など、SSO を活用することで、セキュリティ的な意味合いに加えて、利便性の向上という意味でも大きなアドバンテージになります。

連携アプリケーションが AppExchange で提供されている場合、先週ご説明したような SAML の設定を行わずに連携が出来ることが多いです。(管理パッケージの中に設定や証明書が含まれています)

Sales Cloud と Pardot を組み合わせて使用しているお客様の場合も、「Sales Cloud を IdP として、Pardot を SP として」使用しているとも言えます。

 

一方、既に完成されたシステムがあり、そちらに Salesforce の機能を寄せていく場合は、一般的に「既存システムが IdP、Salesforce が SP」の形を取ります。

先週ご案内した検証ハンズオンの構築例に対し、SP 側の Salesforce 設定はそのまま、IdP 側を Salesforce 以外のシステムに置き換え、ユーザログイン管理(パスワードの設定、IP アドレス制限、端末制限)を IdP に委ねるというものです。

一般的には以下のシナリオで用いられます。

 

  • Windows Server ベースの社内ネットワークにて Active Directory (AD) をキーとした認証システムに Salesforce を組み込む
  • ログイン認証の管理をメインとしたクラウドベースのセキュリティプログラムに Salesforce をはじめとする各サービスのログイン管理を委ねる

 

Salesforce のヘルプを見ると、「Salesforce が IdP、外部サービスが SP」の例は多々記載がありますが、「外部サービスが IdP、Salesforce が SP」の例は、上記で述べた「AD の認証システムに組み込む」しか記載がありません。

 

ID プロバイダとサービスプロバイダの設定例
https://help.salesforce.com/articleView?id=identity_provider_examples.htm&type=5

 

Microsoft AD FS を ID プロバイダとして使用した Salesforce への SSO の設定
https://help.salesforce.com/articleView?id=identity_provider_examples_3p_adfs.htm&type=5

 

但し、大企業などで既に AD を使用されている場合、Salesforce を SP にして AD の認証と統合することは、セキュリティ面でも大きな利点となりますし、AD を導入するほどの規模ではないお客様の場合でも、Salesforce を IdP にして G Suite などを SP として寄せていくよりも、セキュリティ管理サービスをひとつ IdP として導入し、Salesforce も G Suite も等しく SP として設定した方が、より堅牢なセキュリティ管理を実現できる可能性が十分ございます。

このようなサービスは「アイデンティティ(ID)管理」ソリューションもしくはプラットフォームと呼ばれ、いくつかのベンダーから提供されています。

Salesforce だけではすべてをカバーすることが難しい、例えば「特定のユーザが特定のデバイスを用いてのログイン」に限定するような認証などを、これらのサービスは可能にします。

 

もちろん、Salesforce 自体にも標準でアイデンティティ管理機能は備わっています。

「どこまで標準でカバーできるか、どのような場合外部 ID 管理ソリューションが必要か」を明確にするため、Salesforce の ID 管理機能、特に「デバイス管理」の面でどのようなものがあるかを改めて確認しましょう。

 

 

 

* Salesforce 標準のセキュリティ管理機能でデバイス管理はどこまで可能か

 

 

Salesforce のログイン管理機能は、基本的に以下の要素を用います。

 

  • 組織の信頼済み IP 範囲
    ⇒ 範囲外の場合「ID の検証」が発生(プロファイルで制限を掛けていない場合のみ)
  • プロファイルの「制限された IP 範囲」
    ⇒ 登録 IP 範囲外の場合無条件でログインがブロック
  • プロファイルの「ログイン制限時間帯」
  • モバイルアプリケーション(iPhone および Android)使用の許可
    ⇒ 接続アプリケーション管理でプロファイルおよび権限セットで許可設定
  • 2要素認証およびワンタイムパスワードによる認証
    ⇒ 主に Salesforce Authenticator を併用

 

実は標準機能では「デバイスごとの許可設定」は、現時点では存在していません。

「モバイルアプリケーションの使用を許可するか否か」の設定はありますが、「私物のデスクトップまたはノートPCからのアクセス」を制限するには、プロファイルベースでの IP アドレスの制限を掛けて、社外ネットワーク 以外からのアクセスをブロックするしか方法はありません。

組織の信頼済み IP アドレス範囲外からのアクセスの場合は、ブロックではなく「ID の検証」、つまり「5桁の確認コード」がメールで送られ、これをログイン画面に入力すれば、社外ネットワークから私物 PC でもアクセスが可能になってしまいます。

最近は社内メールシステムも G Suite の Gmail などクラウドベースが主流となっており、特に制限を掛けていない限り自宅 PC や私物スマートフォンからもアクセス可能で、最近のテレワーク運用の関係から制限を敢えて掛けていないケースが大半だと考えられますので、「確認コードが受信できないようにする」というのも難しいと思われます。

 

閑話休題、ちょっとモバイル関係のお話を。

 

モバイルデバイスの許可は接続アプリケーションで行いますが、アクセス制限を掛けたとしても、モバイル Web ブラウザからのアクセスは可能でした。

今週末の Summer '20 リリースで、モバイル Web ブラウザからのアクセスが廃止になり、モバイル Web でアクセスしようとすると、「アプリケーションをインストールしてください」メッセージが表示され、App Store や Google Play へのアクセスを促されますが、事前に Sandbox 環境で検証したところ、ある条件を満たさないと「Salesforce Classic フルサイトでログインできてしまう」ことが確認できました。

 

Salesforce モバイル Web 環境の廃止
https://help.salesforce.com/articleView?id=000349471&language=ja&mode=1&type=1

 

スマートフォンで Classic フルサイトを表示すると、あまりにも文字が小さく実用に即しませんが、ピンチアウトで拡大すればレコードの参照については充分なレベルになり、「モバイル経由のアクセスをブロック」の目的を果たせなくなります。

Classic フルサイトでアクセスさせず、モバイル Web ブラウザからのアクセスを完全にブロックするには、以下のようにプロファイルの設定を行います。

 

  • 「Lightning Experience ユーザ」権限を有効にします。
  • 「Salesforce Classic にとどまる」権限を無効にします。
  • 「Salesforce Classic に切り替えるオプションを非表示 」権限を有効にします。

 

つまり、当該ユーザが Salesforce Classic を完全に使えないようにしてしまえば、スマートフォンの「モバイルアプリケーション以外のアクセス」をブロックでき、先述の「接続アプリケーションでモバイルアプリケーションの使用を許可しない」設定によって、モバイルデバイスからのアクセスを完全に防ぐことが可能になります。

 

以上、モバイルアクセスについての余談でした。
では、Salesforce のデバイス管理機能の話に戻りましょう。

 

先ほど「ID の検証と有効化」について、確認コードの通知メールが受信できる環境にいる限りはどこでも有効化が可能となっていると述べました。

有効化された IP アドレスとユーザエージェントについては、管理メニューの「有効化」に記録され、システム管理者が意図的にエントリを削除するか、端末の Cookie が削除または無効にならない限りは、ID の検証を追加で要求されることなく引き続きのログインが可能になります。

 

 

同様に「セッション管理」にて現在ログイン中のユーザとエージェントの一覧が表示されます。

もし現在進行形で組織のポリシーに合致しないログインが行われている場合、システム管理者はセッションを強制終了させることができます。

 

 

しかし、これらの作業はすべて手動で行う必要があり、予め「特定のユーザ、かつ特定のデバイスのログインをブロックする」機能は、現行バージョンの Salesforce では提供されていません。

 

・・・実は、デバイス管理機能のベータ提供は既に始まっています。

 

デバイス管理 (ベータ)
https://help.salesforce.com/articleView?id=security_device_management.htm&type=5

 

===============================================
デバイス管理によって、データのセキュリティの制御を強化できます。
どのデバイスが Salesforce 組織にアクセスしているかを追跡して監視できます。
紛失したデバイスまたは盗難にあったデバイスからのアクセスおよび関連付けられた更新トークンを取り消すことができます。
また、組織へのデバイスのアクセス方法を定義するプロセスおよびポリシーを作成することもできます。たとえば、ログインを承認する前にデバイスからの承認要求を必要とすることができます。
===============================================

 

ヘルプを見る限りでは、冒頭に述べた「特定のデバイスに限定してログインを許可する」要件を満たせそうです。

但し、やはり「ベータ」ですから、いつ正式リリースになるかはまだ分かりません。

今回の挨拶のネタにもさせていただきましたが、「テレワークは待ってくれない、今すぐセキュリティを強化したい」お客様も少なくないはず、正式リリースまで待てというのはナンセンスです。

 

そこで、先述の「アイデンティティ (ID) 管理ソリューション」の出番になります。

Trailhead の「モバイルデバイス管理」のモジュールでも、以下のように言及されています。

 

モバイルデバイス管理について
https://trailhead.salesforce.com/ja/content/learn/modules/salesforce1_security/salesforce1_security_devices

 

===============================================
MDM ソリューションについて 

MDM は、複数のモバイルオペレーティングシステムやサービスプロバイダにわたって展開されているモバイルデバイスを企業が監視、管理および保護するためのセキュリティソフトウェアです。
ほとんどの MDM ソリューションはエンドツーエンドのセキュリティを提供しており、モバイルアプリケーション、ネットワーク、データおよびデバイスそのものが単一のソフトウェア製品で管理されます。
市場には多くの MDM ソリューションがあり、そのすべてがほぼ同じ機能を持っています。MDM ソフトウェアで実行できる一般的なことをいくつか示します。

  • アプリケーションをユーザのデバイスに転送する。アプリケーションを展開する前に設定することもできます。たとえば、カスタムログイン設定を Salesforce アプリケーションに転送できます。
  • 特定のアプリケーションに VPN を要求する。
  • 詳細なセキュリティおよびコンプライアンス設定を制御する。たとえば、OS レベルでパスコードを要求したり、画面キャプチャを無効にしたり、ユーザに写真を撮らせないようにできます。
  • ユーザ認証を迅速化するため、またはログインプロセスの第 2 要素として X.509 証明書を使用する。
  • コンテンツ共有権限を制御する。

===============================================

 

つまり、「Salesforce 標準の管理機能でセキュリティ要件的に不十分な場合は、サードパーティのセキュリティ管理ソリューションを併用しましょう」と、Salesforce 公式で謳われている、というわけです。

上記の Trailhead モジュールは「モバイル管理」の章なので必然的にモバイルに限定した話になっていますが、社外で使う(私物も含め)デスクトップやノート PC も、「組織外からのアクセス」なので、考え方は全く同じです。
「MDM = ID 管理ソリューション(のモバイルに関する部分)」と認識すればわかりやすいと思われます。

シングルサインオン(SAML)で ID 管理サービスと Salesforce (およびその他のクラウドサービス)を接続し、ID 管理サービス側を IdP、Salesforce などを SP に設定します。
ユーザは ID 管理サービスの認証を経ないと Salesforce に接続できない設定となるため、必然的に ID 管理サービス側でユーザのアクセスを制御することになります。
ID 管理サービス側で、会社所有端末を事前に認証しておき、それをユーザに貸与し、テレワークの際に持ち帰るよう指示します。
ID 管理サービス側で設定されたユーザ名とパスワードを知っていても、認証された端末以外からのログインはブロックされます。

これにより、Salesforce 単体では実現が難しい、「デバイスごとの厳格なログイン認証」が実現可能になります。

 

ID 管理サービスは様々なベンダーからリリースされていますが、弊社でも取り扱い可能なものがございますので、導入について関心ございましたら、お気軽にご相談いただけると幸いでございます。

 

 

=================================================

「Salesforce のセキュリティ機能」について、3週にわたってお送りしてまいりました。

システム管理者の皆様にとっても比較的敷居が高いと思われる、「シングルサインオン」と「デバイスセキュリティ」について集中的に取り上げ、筆者自身も大いに知見を習得することができましたが、ご覧の皆様にとっては如何でしたでしょうか。

冒頭のご挨拶でも述べたとおり、再びテレワークが求められる傾向が強まっていくと想像されますので、これを機に「セキュリティを強化したい」というお客様のニーズに、本記事がお役に立てれば幸いでございます。

 

次週は後半が連休となり、営業日が3日となるため、カスタマーサポート通信はお休みを頂きます。

翌週となる7月最終週に、予告いたしました通り Summer '20 新機能の第一弾(Sales Cloud & Pardot 編)をお送りする予定です。

 

今後ともウフル カスタマーサポートを引き続きご愛顧いただきますよう、何卒よろしくお願い申し上げます。


Salesforce・Googleの運用・サポートでお困りなら

 カスタマーサポートへお問合せください。


コメント

 
 
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています