柳谷智宣のkintoneマスターへの道 第27回

ログイン設定をゆるくしたり厳しくしたりしてみた

kintoneの自動ログイン機能をユーザーによって使い分けてみる

　kintoneを使うためにログインする際のログイン名とパスワードはしっかり管理したい。そこで、今回はユーザーのログイン設定を一番ゆるくすると何が起きる可能性があるのか、設定を厳しくするとどんなことができるのかをまとめてご紹介したい。kintoneのセキュリティーをマスターするために、剛柔両方を身に着けておきたいところだ。

アカウント管理を一番ゆるくしてみる（非推奨）

　筆者はkintoneをブラウザーに常時表示しているのだが、翌日に見るとログアウトしており、パスワードを入力してログインしている。そこまで手間ではないのだが、ずっとログインしておきたいというニーズがあるかもしれない。そんなずぼらな人のために、セキュリティーを一番スカスカにしてみよう。もちろん、守りはその分薄くなるので非推奨だが、どれか1つくらいであれば使い勝手を考えてゆるくすることができるかもしれない。

　まずは、管理者アカウントでログインし、「cybozu.com共通管理」を開く。「システム管理」→「セキュリティ」→「ログイン」をクリックすると、ログインのセキュリティー設定がずらっと表示される。

　「ログイン名の入力」→「自動補完を有効にする」にチェックすると、ログイン画面でユーザー名一覧からの絞り込みができる。同じ端末を複数ユーザーで使っている場合は、簡単に切り替えられるので便利だ。しかし、もし第三者がPCに触れられる場合、労せずしてユーザー名の一覧をゲットできてしまう。

　次の「ログイン名とパスワードの保存」→「ログイン名とパスワードのWebブラウザーへの保存を許可する」をオンにすると、アカウント名やパスワードをブラウザーが記憶し、次回表示時に自動入力してくれるのだ。とても手間が省ける機能だが、その分リスクが増えているのは明白だろう。ちなみに、この機能はオフにしても、利用しているブラウザーや拡張機能によって、記録されていることがある。

　「自動ログイン」→「自動ログインをユーザーに許可する」にチェックすると、ブラウザーを閉じてもkintoneへのログイン状態が継続される。もう一度アクセスすれば、即表示できるので手間が省ける。しかし、画面を閉じて終了させたつもりになって席を離れ、その間にブラウザーの履歴からkintoneを表示できてしまうので、注意が必要だ。

「cybozu.com共通管理」→「システム管理」→「セキュリティ」→「ログイン」を開く

「自動補完を有効にする」にチェックするとユーザー名一覧が表示される

「ログイン名とパスワードのWebブラウザーへの保存を許可する」をオンにすると、入力の手間が省ける

　パスワードの設定では、複雑さに制限をかけず、文字数も3桁にすれば、「123」といった文字列も使えるようになる。本来、一定期間でパスワードは変更すべきで、有効期間を設けることで強制的に変更してもらうこともできる。しかし、これも面倒なら「無期限」にすることも可能。また、「アカウントロックアウト」を「ロックアウトしない」にしておけば、何度ログイン操作を失敗しても再チャレンジできるようになる。また、「ログイン名と同じパスワードの使用をユーザーに許可する」にチェックしておけば、ログイン名と同じ文字列をパスワードとして使えるようになる。絶対に忘れないだろうが、不正アクセスしようとしている輩も最初に試す文字列なので注意が必要だ。

パスワードの長さや複雑さを設定する

パスワードの有効期限を設定する

ログインを間違えたときにロックアウトするまでの試行回数を設定する

　「管理者が設定した仮パスワードの変更をユーザーに要求する」のチェックを外すと、管理者が付けたパスワードをそのまま利用することが可能で、最初の手間がかからなくなる。

「管理者が設定した仮パスワードの変更をユーザーに要求する」の設定もできる

　これを全部適用すると、とてつもなくログインの手間が減ることがわかるだろう。しかし、当然ながら、不正アクセスしようとしている人も同じように簡単にログインできるということでもある。第三者が触れる可能性があるPCなら、セキュリティーはできるだけ固めておこう。

運用ポリシーを厳しくしてセキュリティーを固める

　ユーザーがパスワードを忘れた場合、ログイン画面の「ログインでお困りですか？」というリンクをクリックすると、リセットすることができる。万一、メールアカウントが漏洩すれば、kintoneのアカウント情報も一緒に引き出される可能性はある。そこで、セキュリティ設定で、「パスワードのリセットをユーザーに許可する」のチェックを外すと、リセットできなくなるのだ。この場合は、システム管理者に再発行依頼の連絡しなければならなくなる。

　同様に「パスワードの変更をユーザーに許可する」のチェックを外すと、ユーザーがパスワードを変更できなくなる。変な文字列を付けられなくはなるが、定期的な変更もできないので、セキュリティーが強くなっているかどうかは微妙。とはいえ、機能が用意されているのはいいことだ。

「パスワードのリセットをユーザーに許可する」をオフにすれば、ユーザーがパスワードを再設定できないようになる

「パスワードの変更をユーザーに許可する」をオフにすれば、ユーザーがパスワードを変更できなくなる

　ユーザーにパスワードを設定させる際、不正アクセスされにくい文字列を付けさせるように「パスワードポリシー」を設定することもできる。パスワードの最低文字数や複雑さ、再利用可能な文字列などを指定できるのだ。たとえば、文字数を10文字くらいにしてアルファベットと数字と記号を必ず含めるようにして、以前の文字列は使いまわせないようにするなら、相当強力なパスワードとなる。

パスワードポリシーは厳しめに設定しておく

「パスワード再利用に制限回数」にひっかかると設定できない

指定文字数に足りないと長くするように警告される

パスワードの強度が足りないと数字や記号を含めるように警告される

　何度もパスワードを入力して突破するような不正アクセスをシャットアウトしたいなら、「アカウントロックアウトまでのログイン失敗回数」を設定しておこう。さらに、ロックしたアカウントの解除までの時間も設定できる。解除させない、といったことも可能だ。これで、総当たり式のパスワード突破はできなくなる。

「アカウントロックアウトまでのログイン失敗回数」と「アカウントロックアウト解除までの時間」を設定する

指定回数以上失敗するとログインできなくなる

さらに強固なセキュリティーを構築する

　さらにクリティカルなシステムで利用するため、もっと強固なセキュリティーが必要なのであれば、アクセス制御を利用する手もある。

　たとえば「IPアドレス制限」を有効にすると、指定したIPアドレスからしか接続できなくなる。本社からのみアクセスできるようにした場合、アカウントとパスワードを知っていても、外出先からアクセスできなくなるのだ。

「セキュリティ」→「アクセス制限」→「今すぐ設定する」をクリックする

「IPアドレス制限」→「変更」をクリックする

許可するIPアドレスを設定して保存をタップする。範囲指定する場合はCIDRに入力。IPアドレスは1000個まで入力可能

本社のWi-Fiにつながっていれば接続できる

Wi-Fiを切ると接続できなくなる

　確かに、企業としては安心だが、スマホで利用できなくなるのはちょっと不便でもある。そこで、「Basic認証」を追加で設定することで、アクセスを許可することもできる。

　IPアドレスの指定方法を間違えると、アクセスできなくなってしまうこともある。そんな時は、サイボウズドットコム ストアからアクセスし、ドメインの設定からIPアドレス設定を戻せばいい。

　すこしネットワークの知識が必要になるが、不正アクセスをがっつり防いでくれるのは頼もしいところだ。

「Basic認証」にユーザー名とパスワードを設定する

外出先からアクセスすると、通常のログインとは別にBasic認証も要求される

認証できれば、外出先からアクセスできる

アクセスできなくなってしまったら、サイボウズドットコム ストアにサインインする

「ドメイン管理」をクリックする

「セキュリティと認証」タブの「IPアドレス制限」で設定を戻せる