3.マイエリア セキュリティ
最終更新日:2024年10月30日
目次
機能概要
マイエリアの「認証」と「セキュリティ」に関する設定を行うことができます。
①セッション維持時間
マイエリアにログイン後、指定した時間を過ぎた場合、自動的にログアウト状態にする設定ができます。
②二段階認証
マイエリアへのログイン時の認証に二段階認証を設定することができます。
二段階認証方式は「アプリ認証」「メール認証」「SMS認証」から選択することが可能です。
二段階認証の機能詳細はこちらをご確認ください。
※「SMS認証」を利用する場合、別途契約が必要です。
③自動ログイン
自動ログイン機能を有効にすると、ログインフォームに「ログインしたままにする(デフォルト表示)」が表示され、次回ログイン時に自動ログインすることができます。
同一端末を複数人で利用する場合、他人のアカウントでログインできる可能性がありますので、ご注意ください。
④ログインロック
連続してログインできなかった回数でログインロックする時間を設定できます。
ログインロックを解除やログインエラー履歴の確認をすることも可能です。
⑤パスワード強度
弱・中・強・最強から選択できます。
強度の条件の詳細はこちらをご確認ください。
⑥FIDO認証
マイエリアへのログイン時の認証にFIDO認証を設定することができます。
FIDO認証の機能詳細はこちらをご確認ください。
※FIDO認証を利用する場合、FIDO2に対応した端末が必要です。
⑦IPアドレスによるアクセス制限
IPアドレスによるアクセス制限の設定ができます。
IPアドレスによるアクセス制限を行うと許可したIPアドレス以外からフォームの表示と登録を行えなくなります。
⑧接続元URLによるアクセス制限
接続元URLによるアクセス制限の設定ができます。
接続元URLによるアクセス制限を行うと許可した接続元URL以外からフォームの表示と登録を行えなくなります。
⑨コンテンツに関するセキュリティ設定
クロスサイトスクリプティング対策及びクリックジャッキング対策を行えます。
やむを得ない場合を除き、「設定する」にチェックし、「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェックすることを推奨します。
⑩非SSL(http)での登録
非SSLでの接続についての設定です。1.13.4のバージョンアップ以降、非SSL(http)での登録は「許可しない」しか設定ができません。
1.セッション維持時間
セッション維持時間の初期値は「60分」です。
5~60分まで5分刻みで選択できます。
※認証方法「4 : 会員識別キー ( 非認証 : IDログイン )」を選択した場合、セッション維持時間は「60分」です。
2.二段階認証
従来のIDやパスワード等によるログインに加え、スマートフォンアプリ、メール、SMS等登録者端末で
確認できる認証コードを利用したログインを設定できます。
二段階認証の機能詳細等はこちらをご確認ください。
3.自動ログイン
・自動ログインを有効にする場合
フラグを「無効」から「有効」に変更します。
自動ログイン機能を有効にすると、ログインフォームに「ログインしたままにする(デフォルト表示)」が表示され、
次回ログイン時に自動ログインすることができます。
フラグを「有効」に変更を行うと以下ポップアップが表示されます。
注意事項を確認の上、「はい。自動ログインを有効にします。」にチェックを入れ「選択」ボタンを押下します。
「有効」に変更した後に有効期間の指定が可能となります。
最大は「31日」です。
※不正アクセス検知などの問題発生時に「ログインしたままにする」にチェックを入れてログインした全ての自動ログインを遮断したい場合は
「有効になっている自動ログインアクセスを全て遮断」から有効になってる自動ログインアクセスを遮断することが可能です。
※自動ログインの設定を変更した場合、ログインページの編集が必要です。ログインページの機能詳細についてはこちらをご確認ください。
自動ログイン有効時の注意事項
・ログインユーザーが「ログインしたままにする」にチェックを入れない場合は、60分間アクセスがないとログアウトします。
セッション維持時間を設定している場合も60分に設定されます。
また、チェックを入れてログインした場合は、スパイラルで設定した自動ログイン有効期間、ログイン状態が維持されます。
・同一のパソコンを複数人で利用する環境(インターネットカフェや図書館など)においては自動ログインが有効の場合、
ログイン者本人とは異なる人がログイン後のコンテンツを閲覧できる状況が起こりえます。
本機能をご利用になる場合は、エンドユーザー向けに当該リスクを喚起するなど、リスクを前提にご利用ください。
・本機能利用における事故やトラブル等が発生した場合は、全てユーザーの責任とし、当社は一切の責任を負いません。
4.ログインロック
初期値は失敗回数:「5回」、ロック時間:「30分間」です。
失敗回数は1~5回の間で指定ができ、ロック時間は最大「24時間」まで指定することが可能です。
ログインロックの設定画面ではロック状態の確認とエラー履歴の確認が可能です。
・ロック状態の確認
「ロック状態の確認」を押下します。
ログインロック中のメンバーの一覧を確認できます。
右側「歯車」のマークからログインロックの解除が可能です。
・エラー履歴の確認
「エラー履歴の確認」を押下します。
ログインのエラー履歴を確認できます。
※ログインに失敗した時間やログインロックを解除した時間等を確認することが可能です。
ログインロックが発生した場合
ログインロックが発生すると、「3070 : 現在ログインが制限されています」と表示されます。 対処方法は以下の2種類です。
・ロック時間の経過後に再度ログインを試す
・管理画面からログインロックを解除する
※必要に応じて、対処方法をログインロックページに記載する等の対応を行ってください。
(例)「3070 : 現在ログインが制限されています」が表示された場合、30分後に再度ログインをお試しください。
エラーが解消しない場合、管理者へお問い合わせください。」
5.パスワード強度
パスワード登録・再登録ページで入力するパスワード強度の指定が可能です。
強度は5種類の中から選択ができ、選んだ強度によってチェック方法が異なります。
強度の条件の詳細はこちらをご確認ください。
パスワード再登録ページ、パスワード変更ページ、パスワード登録ページにはパスワード強度メーターが設置されます。
※1.13.2以前に作成したマイエリアでパスワード強度メーターを設定していないものに関してはデフォルトデザインから必要部分を追記してご利用ください。
7.IPアドレスによるアクセス制限
マイエリアへアクセス可能なIPアドレスを設定することができます。
IPアドレスによるアクセス制限を「制限する」に設定した場合、許可したIPアドレス以外からマイエリアへアクセスすることはできません。
アクセスが制限されている場合は「その他のエラーページ」が表示されます。
・制限するに変更する場合
選択肢を「制限する」に変更後にIPアドレスを追加する欄に設定を行いたいIPアドレスを入力し「追加」ボタンを押下します。
許可するIPアドレスは一覧から確認が可能です。
※ IPアドレスによるアクセス制限はログインページも制限されます。
※ IPアドレス制限の設定数に上限はありません。
8.接続元URLによるアクセス制限
マイエリアへアクセス可能な接続元のURLを設定することができます。
接続元URLによるアクセス制限を「制限する」に設定した場合、許可した接続元URL以外からマイエリアへアクセスすることはできません。
アクセスが制限されている場合は「その他のエラーページ」が表示されます。
・制限するに変更する場合
選択肢を「制限する」に変更後にURLを追加する欄に設定を行いたいURLを入力し「追加」ボタンを押下します。
許可するURLは一覧から確認が可能です。
※ 許可するURLは前方一致で判定します。
※ 許可するURLは http:// または https:// を省略可能で、省略した場合は http://,https:// どちらでもアクセスを許可します。
※ マイエリアURLと同じドメインのURLは接続を制限できません。
9.コンテンツに関するセキュリティ設定
クロスサイトスクリプティング対策及びクリックジャッキング対策を行えます。
やむを得ない場合を除き、「設定する」にチェックし、
「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェックすることを推奨します。
クロスサイトスクリプティング対策
(1)クロスサイトスクリプティングとは
Webアプリケーションの脆弱性、もしくはその脆弱性を利用した攻撃のことです。
攻撃者は、悪意のあるスクリプトの入ったページに利用者を誘導し、スクリプトを実行させます。
(2)「クロスサイトスクリプティング対策」にチェックした場合
設定すると、レスポンスヘッダに以下の要素が追加され、危険なスクリプトがブロックされます。
X-XSS-Protection:1; mode=block
クリックジャッキング対策
(1)クリックジャッキングとは
Webページの利用者にとって意図しない動作をさせる攻撃のことです。
攻撃者は、利用者が開くWebページに透明化した悪意のあるページやボタンを重ねて、利用者にとって意図しないクリックをさせます。
(2)「クリックジャッキング対策」にチェックした場合
設定すると、レスポンスヘッダに以下の要素が追加され、対象ページを他のページ内に設置しても表示されません。
X-Frame-Options:SAMEORIGIN
(3)「クリックジャッキング対策」にチェックした場合のiframeの利用
iframeを利用している場合、対象ページを異なるドメインのiframeの中に設置するとページが表示されなくなります。
例えば、スパイラル以外のWebページにて、iframeを使って、マイエリアに設置したページを読み込んでいる場合、
マイエリアに設置したページは表示されません。
ページが表示されない際の表示
・Google Chromeの場合 :iframe内が真っ白になります。
・Safariの場合 :iframe内が真っ白になります。
・InternetExplorerの場合:iframe内に「このコンテンツはフレーム内で表示できません」というエラーが表示されます。
画面イメージ
(下の画像はGoogle Chromeの場合です。ブラウザによって表示が異なります。)
初期値
作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップ前に新規作成)
・チェックなし
(1.12.4バージョンアップ後に新規作成)
・「設定する」
・「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェック
10.非SSL(http)でのアクセス
非SSLでの接続についての設定です。1.13.4のバージョンアップ以降、非SSL(http)での登録は「許可しない」しか設定ができません。
非SSL(http)でのアクセスを許可しない場合
ページを表示する際、httpsでしかアクセスできません。
非SSL(http)でアクセスしようとするとエラーになります。
初期値
作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップ前に新規作成)
・「許可する」
(1.12.4バージョンアップ後に新規作成)
・チェックなし
11.APIによるマイエリアログイン時の注意点
・APIでarea/login/requestメソッドを実行した際には、マイエリアで設定している「IPアドレスによるアクセス制限」は無効となります。