Mark Hammer's Blog

SalesforceやTrailheadに関する情報を投稿しているブログです。

MFA必須化に対する1年前の予想の答え合わせと今後の予想

ポエム

SalesforceのMFAが2022/2/1より契約上必須になりました。
これをご覧いただいている皆様は既にMFAを対応されましたでしょうか。
ちなみに私は利用者10人未満の組織を管理してますが、無事MFA対応を完了しました。

1年前の予想の答え合わせ

さて、私は1年前にSalesforce Saturday 赤坂にてMFAについてLTをしました。

多要素認証の話 by @markhammer


この時に「本当に2022/2/1にMFAを必須にするのか?」について、【「MFA対応不可顧客に対する救済策が確定後に実際の必須化を行う(救済策確定まで延期)」と予想します。】と書きました。
ちなみにこの当時は「2022/2/1からMFAを必須にします」とは言われてましたが、「MFA必須化って具体的に何するの?」という質問に対するSalesforce社の回答はなかったんですね。
なので、ここで書いた「実際の必須化」とは、機能的にSalesforceログイン時にMFAを強制する制限を加えることを指します。

で、実際は

  • 2022/2/1から契約上はMFAを必須にします。これ以降MFAを使用していないユーザは「契約違反」となります。
  • ただししばらくはMFAを使用していなくても契約違反状態ではありますがSalesforce自体は利用できます。
  • 今後は2023年までにMFAを対象組織に強制適用する予定です。ロードマップはありますが確定していません。

となりました。
正直この発表を見たときは「契約違反状態だが強制適用はしない、そういうのもあるのか!」と思いました。
まぁ「機能的な制限の適用は延期する」という意味では予想的中としていいでしょう。

今後の予想

ここでは「現時点でMFAを有効化していないユーザに何らかのペナルティはあるのか」という疑問について予想します。
というのも、FAQでも以下のように2022/2/1時点でMFAを適用しなかったユーザに対する明確な回答はないんですね。

MFA 要件の期限 (2022 年 2 月 1 日) に間に合わないとどうなりますか?
2022 年 2 月 1 日までに MFA を有効にしていないお客様は、契約上の義務を遵守していないことになります。法務部門と相談のうえ、要件の期日までに MFA を有効化しないことによる帰結について理解しておくことをお勧めします。
一部のお客様にとって MFA は大きな変更になる可能性があります。MFA 要件に関する Salesforce の目標はお客様のビジネスを守ることで、MFA はお客様の会社のセキュリティ面やコンプライアンス面への影響を回避するための方策となるものです。この要件を満たすことに関して懸念がある場合は、Salesforce の担当者にお問い合わせください。Salesforce がお客様と協力して解決策を模索します。

で、MSAとかを読みながら「実際に発生し得るペナルティとは何か?」を考えた結果、自分の中で結論が出たのでここに書きます。

注意書き

  • この予想は現時点で確認できた情報を基にした私個人の見解で、Salesforce社とは無関係です。
  • この予想はマスターサブスクリプション契約(以下MSA)下でSalesforceを利用していることを前提としています。特殊な契約を結んでいる場合は適用されません。
  • この予想は契約違反状態のままSalesforceを使い続けることを肯定するものではありません。
  • 免責事項の通り、この投稿に沿って行動したことにより損失や損害などの被害が発生したとしても、当ブログ及び筆者は責任を負いません。あくまで読み物としてご覧ください。

今後の予想

MFA適用ロードマップに記載された「MFA 適用予定日」(ログイン時にMFAを強制する&システム管理者がMFA強制を解除する機能を削除する日)までMFAに対応しなかったとしても、Salesforce社によるペナルティはない。

理由

まず、MFA必須化が何をもって「契約上の義務」となっているかを記載します。
Salesforce Notices and License Informationには、MFA必須化のために以下文言が追加されています。

MFA Requirement for Using the Covered Services
Starting February 1, 2022, Salesforce will begin requiring customers to enable Multi-Factor Authentication (MFA) for all Covered Services, unless otherwise approved by Salesforce in accordance with Salesforce internal policies and procedures. Customer must satisfy the MFA requirement by either: (1) enabling Multi-Factor Authentication for all users who log in to Customer’s Covered Services through the user interface or (2) ensuring MFA is enabled for all users who use Single Sign-On (SSO) to access Customer’s Covered Services, by using the SSO provider’s MFA services or, where supported, by turning MFA on in Salesforce products. Further information on MFA, including acceptable verification methods for MFA, can be found here.

(以下DeepLによる翻訳に手を入れたもの)

対象サービスを利用するためのMFA要件
2022年2月1日より、SalesforceはSalesforceの社内ポリシーおよび手続きに従ってSalesforceが別途承認した場合を除き、すべての対象サービスにおいて多要素認証 (MFA) を有効にするようお客様に要求します。お客様は、以下のいずれかにより、MFA 要件を満たす必要があります。(1) ユーザインタフェースを通じてお客様の対象サービスにログインするすべてのユーザに対して多要素認証を有効にする、または (2) シングルサインオン (SSO) を使用してお客様の対象サービスにアクセスするすべてのユーザに対して、SSO プロバイダの MFA サービスを使用して、またはサポートされる場合は Salesforce 製品で MFA をオンにして、MFA が有効になっていることを確認します。MFA の許容される検証方法など、MFA の詳細については、こちらをご覧ください。

そして、MSAには以下の記載があります。

「本ドキュメンテーション」とは、該当する本サービスの、 https://www.salesforce.com/company/legal/trust-and-compliancedocumentation/ に掲載されている Trust and Compliance という表題(「トラスト及びコンプライアンス」「信頼とコンプライアンス」等と表示される場合があります)の文書、並びに該当する本サービスの利用ガイド及びポリシーで、随時更新され help.salesforce.com 経由で、又は該当する本サービスにログインすることによってアクセス可能なものを意味します。

前述した「Salesforce Notices and License Information」は「Trust and Compliance Documentation」に含まれているので、MSAでいう「本ドキュメンテーション」に含まれます。
続いてSalesforceユーザの責任に関する条項は以下です。

3.3 お客様の責任。
お客様は、以下の義務を負います。
(a) 本ユーザの本契約、本ドキュメンテーション及び本注文書の遵守について責任を負うこと
(中略)
お客様もしくは本ユーザによる上記に違反した本サービスの利用によって、SFDC のサービスのセキュリティ、完全性、可用性が脅かされると判断した場合には、SFDC は、直ちに本サービスを停止することができます。ただし、SFDC は、当該停止前にお客様に通知し、お客様に当該違反又は脅威を是正する機会を与えるよう、その状況における商業上合理的な努力を行います。

つまり、FAQでいう「契約上の義務」及び違反時のペナルティは以下になります。

  • Salesforceユーザは「本ドキュメンテーション」に記載された「MFA 要件を満たす」というルールの遵守について責任を負う。
  • MFA要件を満たさない(=上記に違反した本サービスの利用)ことによりSalesforce社が「セキュリティ、完全性、可用性を脅かす」と判断した場合、Salesforce社はサービスを停止することができる。
  • ただし、Salesforce社はサービス停止前にユーザに対し、当該違反又は脅威を是正する(本件ではMFA要件を満たす)機会を与えるよう商業上合理的な努力を行う。

つまり、Salesforce社は商業上合理的な努力を行う前にサービス停止することはない、ということです。
では「商業上合理的な努力」とは何か、ですが、まずは「ユーザに対しMFA要件を満たすよう様々な方法で依頼、呼びかけをする」ことでしょう。
それでもMFAに対応しなかった場合、もしサービス停止するのであれば「XX年XX月XX日までにMFA対応しない場合はサービスを停止する」といった最後通告がSalesforce社より送られるはずです。

しかし、仮にサービス停止するのであればMFA適用ロードマップを用意するでしょうか。
「MFA 適用予定日」に適用される内容は「ログイン時にMFAを強制する&システム管理者がMFA強制を解除する機能を削除する」です。つまりこれで強制的にMFA要件を満たさせることができます。
方法はともかく、MFA要件を満たしたのであればルールは遵守されたことになりますのでサービス停止にはならないはずです。
となるとサービス停止にするのは「MFA 適用予定日」前でなければなりませんが、「MFA 適用予定日」までにMFA適用していないユーザをサービス停止するのであれば、「MFA 適用予定日」時点では全ユーザがMFA適用済みなのですから、「ログイン時にMFAを強制する&システム管理者がMFA強制を解除する機能を削除する」必要もないです。

また、サービス停止以外のペナルティですが、MSAの「3.3 お客様の責任」節にサービス停止以外のペナルティが記載されていない以上、それ以外のペナルティはないと思います。*1
よって、「今後の予想」節の通り「MFA 適用予定日」まで対応しなくてもペナルティはない、という予想になりました。

おわりに

「MFAは契約上の義務」、「2022/2/1時点でMFA対応しなかったら契約違反」とはずっと言われてきましたが、「対応しなかったらどうなるの?ペナルティはあるの?」に対する回答は今までSalesforce社からもらったことがありません。
ということでMSA等を読んで上記の結論に至ったわけですが、私は法律等の専門家でもありませんので、注意書きに書いたようにあくまで読み物として扱ってください。

皆さんはルールを守ってSalesforceログイン時はMFAを導入しましょう。

皆さんはルールを守ってSalesforceログイン時はMFAを導入しましょう。

大事なことなので2回書きました。

*1:何か見逃した条項がある or 今後MSAにペナルティを追記する可能性はありますが