ver.1サポートサイト

マイエリアの「セキュリティに関する設定」とはどのような機能ですか?

最終更新日:2021年05月18日

認証に関する設定やセキュリティに関する設定をすることができます。

関連するページ
マイエリア
安全なスパイラルアプリケーションの作り方(機能グループ別)

1. セッション維持時間

マイエリアにログイン後、指定した時間を過ぎた場合、自動的にログアウト状態にすることができます。
初期値は「60分」です。5~60分まで5分刻みで選択できます。
※認証方法「識別キー(認証方法4:非認証)」を選択した場合、セッション維持時間は「60分」です。

2. 二段階認証

従来のIDやパスワード等によるログインに加え、スマートフォンアプリ、メール、SMS等登録者端末で
確認できる認証コードを利用したログインを設定できます。
二段階認証の機能詳細はこちらをご確認ください。

3. 自動ログイン

自動ログイン機能を有効にすると、ログインフォームに「ログインしたままにする(デフォルト表示)」が表示され、
次回ログイン時に自動ログインすることができます。
同一端末を複数人で利用する場合、他人のアカウントでログインできる可能性がありますので、ご注意ください。

自動ログイン期間は最大で「31日」まで選択できます。
また、自動ログイン期間中であっても、スパイラル操作画面から有効になっている自動ログインアクセスを全て遮断することができます。

自動ログイン有効時の注意事項

・ログインユーザーが「ログインしたままにする」にチェックを入れない場合は、60分間アクセスがないとログアウトします。
セッション維持時間を設定している場合も60分に設定されます。
また、チェックを入れてログインした場合は、スパイラルで設定した自動ログイン有効期間、ログイン状態が維持されます。
・同一のパソコンを複数人で利用する環境(インターネットカフェや図書館など)においては自動ログインが有効の場合、
ログイン者本人とは異なる人がログイン後のコンテンツを閲覧できる状況が起こりえます。
本機能をご利用になる場合は、エンドユーザー向けに当該リスクを喚起するなど、リスクを前提にご利用ください。
・本機能利用における事故やトラブル等が発生した場合は、全てユーザーの責任とし、株式会社パイプドビッツは一切の責任を負いません。

4. ログインロック

ログインロック

連続してログインできなかった回数でログインロックする時間を設定できます。
ログインロックを解除したい場合やログインエラー履歴を確認したい場合は、[ロック状態の確認][エラー履歴の確認]をクリックしてください。

ログインロック解除

識別キーを確認し、[ロック解除]をクリックしてください。

5. パスワード強度

最強・強・中・弱・制限なしから選択できます。
強度の条件の詳細はこちらをご確認ください。

パスワード再登録ページ、パスワード変更ページ、パスワード登録ページにはパスワード強度メーターが設置されます。
※1.13.2以前に作成したマイエリアでパスワード強度メーターを設定していないものに関してはデフォルトデザインから必要部分を追記してご利用ください。

6. FIDO認証

スマートフォンや指紋認証キーなどFIDO2対応認証器を利用することで、指紋や虹彩等の生体情報でログインを行うことができます。FIDO認証の機能詳細はこちらをご確認ください。

7. IPアドレスによるアクセス制限

マイエリアへアクセス可能なIPアドレスを設定することができます。
IPアドレスによるアクセス制限を「制限する」に設定した場合、許可したIPアドレス以外からマイエリアへアクセスすることはできません。
アクセスが制限されている場合は「その他のエラーページ」が表示されます。

※ IPアドレスによるアクセス制限はログインページも制限されます。

8. 接続元URLによるアクセス制限

マイエリアへアクセス可能な接続元のURLを設定することができます。
接続元URLによるアクセス制限を「制限する」に設定した場合、許可した接続元URL以外からマイエリアへアクセスすることはできません。
アクセスが制限されている場合は「その他のエラーページ」が表示されます。

※ 接続元URLによるアクセス制限はログインページのみ制限されます。
※ マイエリアURLと同じドメインのURLは接続を制限できません。

9. コンテンツに関するセキュリティ設定

クロスサイトスクリプティング対策及びクリックジャッキング対策を行えます。
やむを得ない場合を除き、「設定する」にチェックし、
「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェックすることを推奨します。

クロスサイトスクリプティング対策

(1)クロスサイトスクリプティングとは

Webアプリケーションの脆弱性、もしくはその脆弱性を利用した攻撃のことです。
攻撃者は、悪意のあるスクリプトの入ったページに利用者を誘導し、スクリプトを実行させます。

(2)「クロスサイトスクリプティング対策」にチェックした場合

設定すると、レスポンスヘッダに以下の要素が追加され、危険なスクリプトがブロックされます。
X-XSS-Protection:1; mode=block

クリックジャッキング対策

(1)クリックジャッキングとは

Webページの利用者にとって意図しない動作をさせる攻撃のことです。
攻撃者は、利用者が開くWebページに透明化した悪意のあるページやボタンを重ねて、利用者にとって意図しないクリックをさせます。

(2)「クリックジャッキング対策」にチェックした場合

設定すると、レスポンスヘッダに以下の要素が追加され、対象ページを他のページ内に設置しても表示されません。
X-Frame-Options:SAMEORIGIN

(3)「クリックジャッキング対策」にチェックした場合のiframeの利用

iframeを利用している場合、対象ページを異なるドメインのiframeの中に設置するとページが表示されなくなります。
例えば、スパイラル以外のWebページにて、iframeを使って、マイエリアに設置したページを読み込んでいる場合、
マイエリアに設置したページは表示されません。

ページが表示されない際の表示

・Google Chromeの場合 :iframe内が真っ白になります。
・Safariの場合     :iframe内が真っ白になります。
・InternetExplorerの場合:iframe内に「このコンテンツはフレーム内で表示できません」というエラーが表示されます。

画面イメージ

(下の画像はGoogle Chromeの場合です。ブラウザによって表示が異なります。)

初期値

作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップに新規作成)
・チェックなし

(1.12.4バージョンアップに新規作成)
・「設定する」
・「クロスサイトスクリプティング対策」および「クリックジャッキング対策」にチェック

10. 非SSL(http)でのアクセス

非SSLでの接続についての設定です。
1.13.4のバージョンアップ以降、非SSL(http)での登録は「許可しない」しか設定ができません。

非SSL(http)でのアクセスを許可しない場合

ページを表示する際、httpsでしかアクセスできません。
非SSL(http)でアクセスしようとするとエラーになります。

初期値

作成時の初期値が、スパイラルver1.12.4リリース前とリリース後で異なります。
(1.12.4バージョンアップに新規作成)
・「許可する」

(1.12.4バージョンアップに新規作成)
・チェックなし