セキュリティ
Fanplayrはお客様のアカウントとデータを複数の方法で保護しています。多くのセキュリティ設定は、特定セキュリティ要件に合わせてアカウント管理者によってカスタマイズできます。このページには、セキュリティ機能のリストが記載されており、それぞれの説明と、管理者がセキュリティ機能を有効化および調整する方法が説明されています。セキュリティ設定ページは、ポータルアカウント設定の左サイドバーにある「アカウント」タブ内にあります。
二要素認証
Figure 1: Two-Factor Authentication
アカウント管理者は、アカウント全体に対して二要素認証(2FA)を有効にできます。3つの異なるオプションがあります。
- Email: 認証コードがEメールで送信されます
- Mobile: 認証コードがSMSで送信されます
- None: ユーザーが二要素認証を無効にできるようにします
2FAが有効な場合、「Email」または「Mobile」のいずれかを選択する必要があります。「None」が選択されている場合、各ユーザーは自身の2FAを無効にすることができます。それ以外の場合、各ユーザーはログイン時に2FAの使用を強制されますが、管理者が許可しているかどうかに応じて、ユーザーは「Email」または「Mobile」のいずれかを選択できます。
パスワードの強制変更
Figure 2: Force Password Change Settings
「パスワードの強制変更」設定を有効にすると、アカウント上のすべてのユーザーが一定の頻度でパスワードを変更することが保証され、漏洩したパスワードがアカウントのセキュリティを危険にさらす可能性を大幅に減らすことができます。カスタマイズ可能な値は2つあります。
- Password Validity Period (パスワード有効期間): パスワード変更間の日数(最低30日)
- Reminder days (リマインダー日数): パスワード変更が必要となるまでの警告が表示される日数(最低1日)
現在のパスワード有効期間の終了まで「リマインダー日数」の値の範囲内に入ると、ユーザーはログインするたびに、現在のパスワード有効期間の終了が近づいていることを示すメッセージが表示されます。パスワードを変更するたびに、ユーザーのパスワード有効期間はここで設定された値にリセットされます。
例として、「パスワード有効期間」が30日、「リマインダー日数」が5日に設定されていると仮定します。ユーザーは、最後のパスワード変更から(またはこの設定が最初に有効になってから)30日以内にパスワードをリセットする必要があります。パスワードが8月1日に変更された場合、ユーザーは8月31日までにパスワードをリセットする必要があります。8月26日から8月31日の間、ユーザーはログインするたびにパスワードの変更時期が来ていることを示すメッセージが表示されます。パスワードが変更されず、ユーザーが9月1日にログインした場合、システムはユーザーにパスワードの変更を強制します。
パスワード再利用ポリシー
Figure 3: Password Re-use Settings
パスワード再利用ポリシーを有効にすると、ユーザーは以前のパスワードを再利用できなくなります。強制パスワード変更と同様に、このセキュリティ機能は、漏洩したパスワードを介してユーザーのアカウントにアクセスされる可能性を低下させます。カスタマイズできる値は1つだけです。
- Disallow Number of Passwords (使用不可とするパスワード数): 新しいパスワード作成時に比較する以前のパスワードの数(最低1)
この設定が有効な場合、パスワードリセットプロセスは、新しく作成されたパスワードをユーザーの過去の指定された数のパスワードと比較し、新しいパスワードが異なることを確認します。新しく作成されたパスワードが以前のパスワードのいずれかと一致した場合、ユーザーは新しい異なるパスワードを作成するよう促されます。
パスワードの複雑さ
Figure 4: Password Complexity Settings
ユーザーの新しいパスワードを作成する際、アカウント管理者は、パスワードが以下の要件に準拠することを必須にできます。
パスワードの長さ
この値は、新しいパスワードを作成する際の最小パスワード長として機能します。ユーザーは、この設定で設定された値よりも短いパスワードを作成することはできません。値が設定されていない場合でも、Fanplayrはパスワードが少なくとも8文字の長さであることを強制します。
記号の必須化
この設定を有効にすると、新しいパスワードに以下のリストの記号が含まれていることが必須になります。
~`!@#$%^&*()-[]{}|_+=\"':;<,>.?/
数字の必須化
この設定を有効にすると、新しいパスワードに数字が含まれていることが必須になります。
大文字・小文字の必須化
この設定を有効にすると、新しいパスワードに少なくとも1つの大文字と1つの小文字が含まれていることが必須になります。
ユーザーアカウントのロック
ユーザーアカウントがロックされる方法はいくつかあり、それらを以下に説明します。ユーザーのアカウントがロックされた場合、そのユーザーはアカウント管理者に連絡してロックを解除してもらう必要があります。管理者のアカウントがロックされた場合、その管理者はFanplayrに連絡してアカウントのロックを解除してもらう必要があります。
ログイン失敗
Figure 5: User Account Locking After Failed Logins
アカウント管理者は、ユーザーがログイン試行に失敗しすぎた場合に、ユーザーのアカウントを自動的にロックするように選択できます。
- Number of failed logins (ログイン失敗回数): アカウントがロックされるまでにユーザーがログインに失敗した回数(最低3)
- Reset minutes (リセット分数): 最後の試行から失敗回数がリセットされるまでの分数(最低5)
この設定が有効な場合、ユーザーはログイン時にパスワードを正しく入力するために、所定の回数だけチャンスが与えられます。次の試行でアカウントがロックされます。
ユーザーのアカウントがまだロックされていない限り、ユーザーのログイン失敗回数は「リセット分数」で指定された時間が経過した後にリセットされます。例えば、試行回数が3回、リセット分数が5分に設定されていると仮定します。ユーザーがパスワードを2回誤って入力した場合、システムはその値をゼロにリセットする前に5分間待機します。ユーザーがその5分以内にパスワードをもう一度誤って入力した場合、アカウントはロックされます。
ユーザーアカウントの非アクティブ化
Figure 6: User Account Locking After Inactivity
アカウント管理者は、ユーザーが一定の日数ログインしていない場合に、ユーザーのアカウントを自動的にロックするように選択できます。
- Days (日数): ユーザーアカウントがロックされるまでのログインなしの日数(最低7)
- Warnings days (警告日数): アカウントロック前にEメールでユーザーに警告する日数(最低1)
この設定が有効な場合、ユーザーは設定された期間内に少なくとも一度ログインしないと、アカウントがロックされます。この設定で指定されているように、アカウントの非アクティブ期限が近づくと、Fanplayrはこのユーザーに、アカウントがまもなくロックされる可能性があることを知らせるリマインダーEメールを送信します。
ロックされたユーザーの解除
アカウント管理者は、ポータルのアカウントユーザーページでユーザーアカウントのロックを解除できます。ロックされたユーザーは、リストに赤い鍵のアイコンと共に表示されます。「ロック解除」ボタンをクリックすると、特定のユーザーが再度ログインして以前と同様にポータルを使用できるようになります。
自動ログアウト
Figure 7: Automatic Logout
アカウント管理者は、ユーザーが一定期間サイトで非アクティブであった場合に、アカウントのユーザーをポータルから自動的にログアウトさせることを決定できます。
- Minutes (分): ポータルがユーザーを自動的にログアウトさせ、ログイン画面にリダイレクトするまでの時間
ログアウトする30秒前に、ログアウトする旨の警告がユーザーに表示されます。
管理者セキュリティログ
Fanplayrは、アカウント管理者がセキュリティログを閲覧する方法を提供します。ログは、上記の設定と並んでアカウントセキュリティ画面で閲覧できます。各ログには、ユーザー名、イベント、ユーザーのIP(利用可能な場合)、およびイベント発生時刻が含まれます。以下のイベントがログに記録されます。
- ログイン
- ログアウト
- アカウント切り替え(代理店ユーザー)
- パスワード変更
- パスワード変更リクエスト
- ログイン失敗 - 非アクティブ
- ログイン失敗 - パスワード変更必須
- ログイン失敗 - パスワードが誤り
- ログイン失敗 - 試行回数超過
- アカウントロック - 非アクティブ
- アカウントロック - 試行回数超過
- アカウントロック - パスワード変更必須
- ユーザーのロック解除(管理者ユーザー)