セキュリティ
INFO
管理者ユーザーのみこのページにアクセスできます。
Fanplayr は、お客様のアカウントとデータのセキュリティを複数の方法で維持しています。多くのセキュリティ設定は、特定のセキュリティ要件に合わせてアカウント管理者によってカスタマイズできます。このページには、各セキュリティ機能の説明と、管理者がセキュリティ機能を有効化および調整する方法に関する説明を含む、セキュリティ機能のリストが含まれています。セキュリティ設定ページは、ポータルのアカウント設定の左サイドバーにある「アカウント」タブの下にあります。
2要素認証
図1: 2FA
アカウント管理者は、アカウント全体に対して2要素認証(2FA)を有効にできます。3つの異なるオプションがあります。
- メール: 確認コードはメールで送信されます
- モバイル: 確認コードはSMSで送信されます
- なし: ユーザーが2要素認証を無効にできるようにします
2FAが有効な場合、「メール」または「モバイル」のいずれかを選択する必要があります。「なし」が選択されている場合、各ユーザーは自身の2FAを無効にすることができます。それ以外の場合、各ユーザーはログイン時に2FAの使用を強制されますが、管理者が許可しているかどうかによって、ユーザーは「メール」または「モバイル」のいずれかを選択する能力があります。
パスワードの強制変更
図2: パスワード変更
「パスワードの強制変更」設定を有効にすると、アカウント上のすべてのユーザーが一定の頻度でパスワードを変更するようになり、漏洩したパスワードがアカウントのセキュリティを危険にさらす可能性を大幅に減らすことができます。2つのカスタマイズ可能な値があります。
- パスワード有効期間: パスワード変更間の日数(最低30日)
- リマインダー日数: パスワード変更が必要となる前にユーザーにパスワード変更を警告する日数(最低1日)
現在の日付がパスワード有効期間の終了前の「リマインダー日数」の範囲内になると、ユーザーはログインするたびに現在のパスワードの有効期間が終了に近づいていることを示すメッセージが表示されます。パスワードを変更するたびに、ユーザーのパスワード有効期間はここで設定された値にリセットされます。
例えば、「パスワード有効期間」が30に設定され、「リマインダー日数」が5に設定されているとします。ユーザーは最後のパスワード変更から(またはこの設定が最初に有効化されてから)30日以内にパスワードをリセットする必要があります。8月1日にパスワードが変更された場合、ユーザーは8月31日までにパスワードをリセットする必要があります。8月26日から8月31日の間に、ユーザーはログインするたびにパスワードを変更する時期であることを示すメッセージが表示されます。パスワードが変更されず、ユーザーが9月1日にログインした場合、システムはユーザーにパスワードの変更を強制します。
パスワード再利用ポリシー
図3: パスワード再利用
パスワード再利用ポリシーを有効にすると、ユーザーは以前のパスワードを再利用できなくなります。強制パスワード変更と同様に、このセキュリティ機能は、漏洩したパスワードを介してユーザーのアカウントにアクセスされる可能性を低減します。カスタマイズする値は1つだけです。
- 禁止するパスワード数: 新しいパスワードを作成する際に比較する以前のパスワードの数(最低1)
この設定が有効になっている場合、パスワードリセットプロセスは、新しく作成されたパスワードをユーザーの以前のパスワードの所定の数と比較し、新しいパスワードが異なることを確認します。新しく作成されたパスワードが以前のパスワードのいずれかと一致する場合、ユーザーは新しい異なるパスワードを作成するよう促されます。
パスワードの複雑さ
図4: パスワードの複雑さ
ユーザーの新しいパスワードを作成する際、アカウント管理者はパスワードが以下の要件を満たすよう求めることができます。
パスワードの長さ
この値は、新しいパスワードを作成する際の最小パスワード長として機能します。ユーザーは、この設定で設定された値よりも短いパスワードを作成することはできません。値が設定されていない場合でも、Fanplayrはパスワードが少なくとも8文字の長さであることを強制します。
記号の必須化
この設定を有効にすると、新しいパスワードに以下のリストから記号を含める必要があります。
~`!@#$%^&*()-[]{}|_+=\"':;<,>.?/
数字の必須化
この設定を有効にすると、新しいパスワードに数字を含める必要があります。
大文字と小文字の必須化
この設定を有効にすると、新しいパスワードに少なくとも1つの大文字と1つの小文字を含める必要があります。
ユーザーアカウントのロック
ユーザーのアカウントがロックされる方法はいくつかあり、それらの方法は以下に説明されています。ユーザーのアカウントがロックされた場合、ロックを解除するためにアカウント管理者に連絡する必要があります。管理者のアカウントがロックされた場合、ロックを解除するためにFanplayrに連絡する必要があります。
ログイン失敗
図5: ログイン失敗
アカウント管理者は、ユーザーのログイン試行回数が多すぎる場合に、ユーザーのアカウントを自動的にロックするように選択できます。
- ログイン失敗回数: アカウントがロックされるまでにユーザーがログインに失敗した回数(最低3回)
- リセット分数: 最後の試行から失敗回数がリセットされるまでの分数(最低5分)
この設定が有効になっている場合、ユーザーはログイン時にパスワードを正しく入力するために所定の回数の機会が与えられます。次の試行でアカウントがロックされます。
ユーザーのアカウントがまだロックされていない限り、「リセット分数」で指定された時間が経過すると、ユーザーのログイン失敗回数はリセットされます。例えば、試行回数が3回、リセット分数が5分に設定されているとします。ユーザーがパスワードを2回誤って入力した場合、システムはその値をゼロにリセットする前に5分間待機します。その5分以内にユーザーが再度パスワードを誤ると、アカウントはロックされます。
ユーザーアカウントの非アクティブ
図6: ログインなし
アカウント管理者は、ユーザーが一定の日数ログインしていない場合に、ユーザーのアカウントを自動的にロックするように選択できます。
- 日数: ユーザーのアカウントがロックされるまでにログインしない日数(最低7日)
- 警告日数: アカウントロックの前にユーザーにメールで警告する日数(最低1日)
この設定が有効になっている場合、ユーザーは設定された期間内に少なくとも1回ログインする必要があります。そうしないとアカウントがロックされます。この設定で指定されているように、アカウントの非アクティブ期限が近づくと、Fanplayrはこのユーザーに、アカウントがまもなくロックされる可能性があることをリマインダーメールで送信します。
ロックされたユーザーのロック解除
アカウント管理者は、ポータルのアカウントユーザーページでユーザーアカウントのロックを解除できます。ロックされたユーザーは、赤いロックアイコンと共にリストに表示されます。「ロック解除」ボタンをクリックすると、特定のユーザーが再度ログインして以前と同様にポータルを使用できるようになります。
自動ログアウト
図7: 自動ログアウト
アカウント管理者は、ユーザーが一定期間サイトで非アクティブであった場合、アカウント上のユーザーをポータルから自動的にログアウトさせるように決定できます。
- 分数: ポータルがユーザーを自動的にログアウトさせ、ログイン画面にリダイレクトするまでの時間
ログアウトの30秒前に、ユーザーにログアウトする旨の警告が表示されます。
管理者セキュリティログ
Fanplayrは、アカウント管理者がセキュリティログを閲覧する方法を提供します。ログは、上記の設定と共にアカウントセキュリティ画面で閲覧できます。各ログには、ユーザー名、イベント、ユーザーのIP(利用可能な場合)、およびイベント発生時刻が含まれます。以下のイベントがログに記録されます。
- ログイン
- ログアウト
- アカウント切り替え(代理店ユーザー)
- パスワード変更
- パスワード変更リクエスト
- ログイン失敗 - 非アクティブ
- ログイン失敗 - パスワード変更必須
- ログイン失敗 - パスワード誤り
- ログイン失敗 - 試行回数超過
- アカウントロック - 非アクティブ
- アカウントロック - 試行回数超過
- アカウントロック - パスワード変更必須
- ユーザーのロック解除(管理者ユーザー)