多要素認証 (MFA)
この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。
最終更新日 2022年10月10日(月)
多要素認証 (MFA) は、フィッシング攻撃、資格情報スタッフィング、アカウントの乗っ取りなどの一般的な脅威に対するアカウントの保護を強化するための効果的な方法です。
Salesforce 製品にアクセスするには、すべての顧客が MFA を有効にする必要があります。 Heroku で SSO が有効になっている場合は、この記事の手順に従って Heroku MFA を有効にするのではなく、SSO プロバイダーで MFA を有効にします。 詳細は、こちらを参照してください。
クイックスタート
すでに MFA に精通している場合は、次の簡単な手順に従って MFA を有効にしてください。
- ご希望の MFA 検証方法を選択します。
- Salesforce Authenticator または電話にインストールされているサードパーティの認証アプリ、または
- Yubikey や Google の Titan キーなどのポータブルのセキュリティキー、または
- Touch ID や Windows Hello などの組み込みの認証システムを備えたデバイス
- [Account Settings] (アカウント設定) から開始し、
Setup Multi-Factor Authentication
を選択して、プロンプトに従います。
これで完了です。
プライマリの検証方法が利用できない場合にロックアウトされないように、少なくとも 1 つのバックアップ検証方法を設定することをお勧めします。
詳細は、以降の説明を参照してください。
MFA とは
MFA を使用する場合、ユーザーは、ログイン時に 2 つ以上の証拠、つまり要素を提供することにより、自分が本人であることを証明する必要があります。
1 つの要素は、ユーザーのユーザー名とパスワードの組み合わせです。追加の要素の要件は、認証アプリやセキュリティキーなど、ユーザーが所有している検証方法を使用することで満たされます。 ハッカーがユーザーのパスワードを盗んだとしても、ユーザーの検証方法にアクセスできないため、ハッカーはログインできません。
これはユーザーにとってどのような意味があるのでしょうか。
MFA を有効にした後に Heroku にログインするときは、通常どおりにメールとパスワードを入力してから、登録されたいずれかの検証方法を使用して MFA の検証を完了します。
MFA 検証は、スマートフォンで通知をタップしたり、モバイル認証アプリからコードを入力したり、指紋を使用するといった簡単な方法で行えます。
MFA の有効化と検証方法の登録
MFA を有効にするには、「Account Settings」 (アカウント設定) から行う方法と、Dashboard で MFA 有効化リマインダーに応答する方法の 2 つがあります。有効化プロセスの一環として、少なくとも 1 つの MFA 検証方法を登録します。
いつでもアカウントにアクセスできるように、複数の検証方法を登録することを強くお勧めします。たとえば、モバイル認証アプリを主要な検証方法として使用している場合は、モバイルデバイスを忘れたり紛失したりした場合に備えて、一時的なリカバリコードも生成することをお勧めします。
アカウント設定から
Account Settings (アカウント設定) から、
Setup Multi-Factor Authentication
を選択します。Add
をクリックして、選択した検証方法を選択し、画面の指示に従います。追加の検証方法を登録する場合は、繰り返してください。バックアップ検証方法を追加することを強くお勧めします。
Done
をクリックして、終了します。
新しい MFA 検証方法の追加を確認するメール通知が届きます。
MFA 有効化リマインダー
Heroku は、ダッシュボードにリマインダーを表示して、MFA を有効にするように通知する場合があります。 リマインダー画面で Continue
をクリックし、検証方法を選択すると、MFA を有効にできます。
このオプションを使用すると、検証方法として Salesforce Authenticator またはサードパーティの認証アプリのみを登録できます。
後で忘れずに、Account Settings (アカウント設定) からセカンダリの検証方法を追加してください。
MFA を使用したログイン
MFA を有効にした後で Heroku Dashboard にログインするときは、通常どおりユーザー名とパスワードを入力します。その後、登録された検証方法を使用して MFA 検証を完了するように求められます。たとえば、方法として Salesforce Authenticator を使用している場合は、電話で通知を受け取ります。通知をタップしてアプリで承認すると、ログインが完了します。 複数の検証方法を登録している場合は、使用したい検証方法を選択できます。
MFA を有効にした後で Heroku CLI にログインするには、最初にブラウザを開いて Dashboard にログインする必要があります。MFA 検証を Web ブラウザに技術的に依存しているため、--interactive
オプションは使用できません。
MFA 検証方法
次の MFA 検証方法のいずれか (またはすべて) を使用できます。
- Salesforce Authenticator - プッシュ通知を介した安全で高速かつ摩擦のない MFA のための Salesforce のモバイルアプリ
- サードパーティの認証アプリ - Google Authenticator または同様のサードパーティの認証アプリ
- セキュリティキー - Yubikey や Google の Titan キーなどの物理的なセキュリティキー
- 組み込みの認証システム - Windows Hello や Touch ID などのオペレーティングシステムの生体認証サービスを介した組み込みの検証
- リカバリコード - 他の検証方法が利用できない場合に、ユーザーがバックアップ目的で生成できる 1 回限り使用のコードのセット
- SMS (非推奨) - SMS 経由でテキストメッセージを受信できる電話。このオプションは、2021 年 1 月より前に 2FA が有効になっていて、バックアップとして携帯電話番号が設定されているユーザーのみが、2021 年 11 月まで利用できます。詳細情報
検証方法を管理する
複数の検証方法を登録することを強くお勧めします。 検証方法を追加または削除する場合:
- [Account Settings] (アカウント設定) から、
Manage Multi-Factor Authentication
を選択します。 - 検証方法を追加するには、選択した検証方法の
Add
をクリックし、画面の指示に従います。 - 検証方法を削除するには、ごみ箱アイコンをクリックして確認します。
Done
をクリックして、終了します。
各検証方法の追加情報は、MFA 検証方法を参照してください。
MFA が有効なユーザーのセッションの長さ
セキュリティ上の理由から、ユーザーは、制限された時間 Heroku Dashboard にログインしたままにすることができます。Web セッションのデフォルトの長さは 24 時間です。24 時間以内に Dashboard セッションでアクティビティが発生した場合は、セッションが自動的に 10 日まで延長されます。
Heroku CLI のデフォルトのセッションの長さは 30 日です。