YubiKeyなど推奨製品4選と設定手順を完全解説
Salesforceの多要素認証(MFA)にセキュリティキーを導入する方法
Salesforceの多要素認証(MFA)義務化への対応は完了していますか?パスワード単体でのログインが許容されなくなった今、フィッシング耐性が最も高い認証手段として「セキュリティキー」が注目されています。
本記事では、IT担当者が社内稟議を通すための背景情報から、管理者・ユーザー双方の設定手順、そして厳選した推奨セキュリティキー4製品まで、実務で即使える情報を網羅します。
Salesforceの多要素認証(MFA)でセキュリティキーが必要な理由
MFA義務化の経緯と現在地
Salesforceは2022年2月1日より、ユーザー名とパスワードのみによる直接ログインに対してMFAを必須化しました。この措置は顧客情報・ユーザーアカウントの保護を目的とした、利用規約レベルの要件です。未対応の場合、契約違反に該当する可能性があるため、IT担当者として早急な対応が求められます。
なぜ「セキュリティキー」が最適解なのか
MFAの認証手段には、Salesforce Authenticator(スマートフォンアプリ)やTOTP(ワンタイムパスワード)アプリも選択肢として存在します。しかしセキュリティキーには、他の手段にはない決定的な優位性があります。
| 認証方式 | フィッシング耐性 | デバイス不要 | FIDO2準拠 |
|---|---|---|---|
| セキュリティキー(FIDO2/WebAuthn) | ✅ 高い | ✅ | ✅ |
| Authenticatorアプリ | ⚠️ 中程度 | ❌ | ❌ |
| SMS / メールOTP | ❌ 低い | ❌ | ❌ |
FIDO2/WebAuthn規格に基づくセキュリティキーは、認証情報がキー本体に格納され、ネットワーク経由で送信されません。フィッシングサイトに誘導されても認証情報が漏洩しない仕組みは、ソーシャルエンジニアリング攻撃が高度化する昨今において、他の認証方式では代替できない強固な防御を提供します。
SalesforceのMFAにセキュリティキーが選ばれる3つの理由
理由1:Salesforce利用規約への準拠
Salesforceの多要素認証(MFA)に対応する方法はいくつかありますが、組織での導入の場合、セキュリティキーの利用が最もシンプルです。
理由2:フィッシング耐性による情報漏洩リスクの最小化
セキュリティキーを導入することにより、他のMFA手段を上回るフィッシング耐性とセキュリティ強度を導入できます。
理由3:スマートフォン不要の運用
工場・医療現場・データセンター・ゲーム開発現場など、私用業務用問わずスマートフォンを持ち込めない現場でも簡単に導入できます。
【2026年最新】セキュリティキー導入手順
Salesforceへのセキュリティキー導入は、管理者設定とユーザー登録の2フェーズで進めます。
フェーズ1:管理者設定(Salesforce組織全体の有効化)
前提条件: システム管理者権限を持つアカウントでSalesforceにログインしていること。対応ブラウザ(Chrome / Edge / Firefox 最新版)を使用していること。
Step 1: MFA設定画面へ移動
[設定] → [クイック検索] → 「多要素認証」と入力 → [多要素認証] を選択
Step 2: セキュリティキー認証を有効化
[設定] → [ID検証] → [Salesforce組織へのすべての直接UIログインに多要素認証(MFA)が必要]を選択し保存
Step 3: プロファイルまたは権限セットへの適用
特定のユーザーグループから段階的に展開する場合は、権限セットを使用してロールアウトの範囲を絞ることを推奨します。全社一斉適用の場合は組織全体のMFA設定を有効化してください。
Step 4: バックアップ認証手段の設定
セキュリティキー紛失時のリカバリを考慮し、Salesforce AuthenticatorアプリなどのバックアップMFAを必ず組み合わせて設定します。複数のセキュリティキーを1ユーザーに登録できるよう周知することも重要です。
フェーズ2:ユーザー側のセキュリティキー登録手順
準備物: USB-A / USB-C / NFC対応のFIDO2準拠セキュリティキー(製品選定はこちら)
Step 1: セキュリティキーを準備する
USB接続の場合はPCのUSBポートに接続。NFC対応デバイスでモバイルからログインする場合は、NFCアンテナ部分をデバイスにかざす準備をします。
Step 2: SalesforceにID/パスワードでログインする
通常通りユーザー名とパスワードを入力してログインを試みます。
Step 3: 初回MFA登録画面でセキュリティキーを登録する
[別の認証方法を使用] → [セキュリティキーまたは組み込み認証システム] を選択
→ 画面の指示に従いキーに触れる(タッチ認証)またはNFCタップ
→ キーの登録完了
Step 4: 2回目以降のログイン認証フロー
ユーザー名・パスワード入力 → MFA画面でセキュリティキーを選択
→ キー挿入またはNFCタップ → ログイン完了
⚠️ 運用上の注意点
- 対応ブラウザ(Chrome / Edge / Firefox 最新版)以外では動作しない場合があります
- キーを忘れると認証できないため、バックアップ手段の周知徹底が必要です
- 紛失時は管理者によるキーリセットと、バックアップ認証でのログインが必要です
- 複数のセキュリティキーを同一アカウントに登録しておくことを強く推奨します
【YubiKey等】推奨セキュリティキー4選
Salesforce MFAに対応するには、FIDO2 / FIDO U2F準拠のセキュリティキーが必要です。以下の4製品はいずれも規格要件を満たしており、用途・環境・予算に応じて選定できます。
1. YubiKey(ユビキー)|デファクトスタンダードの信頼性
選定ポイント
FIDO2 / FIDO U2F に完全準拠し、Salesforce MFA要件を公式にサポート。USB-A・USB-C・NFCの複数インターフェースをラインアップしており、Windows / macOS / Android / iOS を問わず動作します。バッテリー不要で耐久性が高く、数百のサービスに対して1本のキーで対応できるため、Salesforce以外のSaaS認証もまとめて一元管理したい企業に最適です。
2. ATKey Pro(エーティーキー プロ)|指紋認証で本人確認を強化
選定ポイント
FIDO2準拠に加え、指紋センサーを内蔵した生体認証セキュリティキー。キーを挿入するだけでなく、登録した指紋との照合を経て初めて認証が完了するため、キーの紛失・盗難リスクを大幅に低減します。「キーを持っている」だけでなく「本人である」を証明できる三要素認証に近い強度を求める企業に向いています。
3. Idem Key(アイデムキー)|FIDO2 レベル2・IP68・FIPS140-2 L3 取得の最強セキュリティキー
選定ポイント
FIDO2 / FIDO U2F対応のセキュリティキー。USB接続とNFCの両方に対応しており、デスクトップからモバイルまでシームレスに使用可能です。FIDO2 PIN機能をサポートし、PINは4から63文字の長さで設定可能最大30個のFIDO2レジデントキーを保存できます。
4. VinCSS Touch1(ビンCSS タッチワン)|指紋認証対応の新興ブランド
選定ポイント
FIDO2 / FIDO U2F準拠の指紋認証セキュリティキー。USB-A / USB-Cインターフェースに対応し、Salesforceを含むFIDO2対応サービスで利用可能です。新興ブランドならではのコスト競争力が特長で、多数のユーザーへ一括配布する際の調達コストを抑えたい企業に向いています。大規模展開時の費用対効果を重視する場合に選択肢として有力です。
製品比較早見表
| 製品名 | FIDO2対応 | 指紋認証 | NFC対応 | こんな企業に向く |
|---|---|---|---|---|
| YubiKey | ✅ | 一部モデル | ✅ | 多サービス統合・実績重視 |
| ATKey Pro | ✅ | ✅ | ✅ | 紛失・盗難リスク低減 |
| Idem Key | ✅ | ✅ | ✅ | 操作性とセキュリティの両立 |
| VinCSS Touch1 | ✅ | ✅ | ✅ | 大規模導入・コスト重視 |
FAQ
よくあるご質問
IT担当者・セキュリティ担当者が抱く疑問に直接回答
Q1:SalesforceのMFAにセキュリティキーは必須ですか?
A:セキュリティキーは必須ではありませんが、Salesforceが認める最高水準のMFA手段です。Salesforce Authenticatorアプリや他のTOTPアプリも要件を満たしますが、フィッシング耐性の観点ではFIDO2準拠のセキュリティキーが最も堅牢です。スマートフォン不要の運用環境を求める場合も、セキュリティキーが最適な選択肢となります。
Q2:セキュリティキーをなくした場合、Salesforceにログインできなくなりますか?
A. 事前にバックアップ認証手段(Salesforce Authenticatorアプリなど)を設定している場合は、そちらでログインが可能です。設定していない場合は、Salesforce管理者がユーザーのセキュリティキー登録をリセットし、再登録を案内します。運用上のリスク軽減のため、1ユーザーにつき複数のセキュリティキーを登録しておくことを強く推奨します。
Q3:NFCとUSBはどちらを選ぶべきですか?
A. 用途と端末環境で判断します。デスクトップPC中心の業務環境はUSB接続で問題ありません。スマートフォンやタブレットからSalesforceにアクセスするケースが多い場合は、NFC対応モデルを選択することでモバイルログインにも対応できます。両対応のモデル(YubiKey、ATKey Pro、Idem Key等)を選べば環境を問わず使用できます。
Q4:対応ブラウザはどれですか?Internet Explorerは使えますか?
A. FIDO2 / WebAuthn対応ブラウザが必要です。**Google Chrome・Microsoft Edge・Mozilla Firefox(いずれも最新版)**での動作が確認されています。Internet ExplorerはWebAuthnに非対応のため使用できません。Salesforce利用環境のブラウザバージョンを事前に確認してください。
Q5:セキュリティキーは何本購入すればよいですか?
A. 1ユーザーにつき最低2本の登録を推奨します。1本を日常使い、もう1本をバックアップとして保管(社内の施錠できる場所など)する運用が一般的です。ユーザー数と紛失リスクを考慮して調達数を計画し、特に管理者アカウントは厳重に複数登録で保護してください。
Q6:SSO(シングルサインオン)環境でもセキュリティキーは必要ですか?
A. SSOを使用しており、Salesforceへの直接ログインが発生しない場合は、Salesforce側のMFA要件が免除される場合があります。ただし、MFAをIdP(IDプロバイダー)側で実施していることが条件です。詳細はSalesforceの公式ドキュメントおよびIdP提供元に確認することを推奨します。
まとめ:まずは無料相談で自社に最適な構成を確認しませんか?
Salesforceの多要素認証(MFA)にセキュリティキーを導入することで、義務化要件への対応と、フィッシング耐性に優れた最高水準のセキュリティを同時に実現できます。
本記事のポイントを整理すると:
- ✅ Salesforce MFAは2022年2月から義務化済み。未対応は契約リスクを伴う
- ✅ FIDO2準拠のセキュリティキーはフィッシング耐性が最も高いMFA手段
- ✅ 管理者設定とユーザー登録の2ステップで導入可能
- ✅ 用途・規模・予算に応じてYubiKey / ATKey Pro / Idem Key / VinCSS Touch1 から選択可能
- ✅ 紛失リスク対策として複数キーの登録とバックアップ認証の設定を忘れずに
「どの製品が自社環境に合うか判断できない」「管理者設定のサポートが必要」というお客様へ
当社では、Salesforceのセキュリティキー導入に関する無料相談を承っています。ユーザー数・業務環境・既存のIT構成をヒアリングし、最適な製品選定と導入フローをご提案します。
お電話でのご相談:03-4400-6707(平日 9:00〜18:00)
本記事はFIDO Alliance公式仕様およびSalesforce公式ドキュメントに基づいて作成しています。製品仕様・Salesforce設定UIは更新される場合があります。最新情報は各公式サイトをご確認ください。