cybozu.comのセキュリティ設定：ビジネス系本部共同研修2024

Transcript

1. cybozu.comのセキュリティ設定 2024年5月作成

2. コンセプト ▌誰に ⚫ ビジネス系本部共同研修の受講者に ▌何と ⚫ cybozu.comをセキュアに利用する方法を理解できた！

3. アジェンダ ▌自己紹介 ▌クラウドサービスの概要 ⚫ クラウドサービスの仕組みとアクセス方法 ⚫ クラウドとパッケージ ▌セキュリティを高める設定 ⚫ 不正アクセス対策

   ⚫ 2要素認証、IPアドレス制限、セキュアアクセス、Basic認証 ▌実際に設定してみよう ▌よくある質問 サイボウズのクラウドサービス クラウドサービスをセキュアに利用する方法を理解しましょう！

4. クラウドサービスの概要

5. クラウドサービスの仕組みとアクセス方法 ▌クラウドサービスとは？ 社内にサーバーを持たず、インターネットを介してサービスを利用する形態 ネット環境があれば、いつでもどこでも URL にアクセスするだけでOK！ Webサーバー クラウドサービス Webブラウザー Webブラウザー

   Webブラウザー cybozu.com

6. クラウドとパッケージ

7. セキュリティを高める設定

8. クラウドサービスはネット環境があれば いつでもどこでもURLにアクセスするだけでOK URLが分かれば第三者でもアクセスでき、 不正アクセス・ログインの危険も サイボウズのクラウドサービス クラウドサービスを安心安全に利用するには、 不正アクセスを防止するセキュリティ設定が重要！

9. 不正なアクセスやログインを防ぐには？

10. 不正アクセス対策 ▌ユーザーのログイン名とパスワードによる認証 ＋ 不正アクセスを防止する機能 ▌不正アクセスを防止する機能 とは ⚫ 2要素認証 ：ログイン名／パスワードによる認証+認証アプリで 都度生成された確認コードの入力

    ⚫ IPアドレス制限：アクセスできるIPアドレスを限定 ⚫ セキュアアクセス：各ユーザー個別のクライアント証明書によって接続元を認証

11. (参考) 第三者がログイン画面にアクセスできてしまった場合でも、 cybozu.com共通管理画面で不正ログインできないような設定が可能 ▌さまざまなパスワードポリシーの設定 パスワードの文字数、複雑さ、再利用回数、有効期間 ▌アカウントロックアウト機能 ロックアウトまでの失敗回数、ロックアウト解除までの時間指定 ▌自動ログインの制限機能 ログイン名の自動補完の有効/無効、自動ログインの設定 ▌監査ログ

    ログインやファイルのダウンロードなどの操作ログを記録

12. 2要素認証 ▌2要素認証とは、次の要素のうち、2つを組み合わせてユーザーの身元を確認する仕組み ⚫ ユーザーだけが知っていること ⚫ ユーザーだけが所有しているもの ⚫ ユーザー自身の特性（指紋や顔） ▌cybozu.comの2要素認証は ユーザーだけが知っていること

    と ユーザーだけが所有しているもの

13. 2要素認証 ▌2要素認証を有効にすると ⚫ 管理者が設定を有効化→各ユーザーにて利用設定 ⚫ アクセスする場所にかかわらず、ログイン時に毎回以下での認証が必要 ①ログイン名とパスワード ②確認コード（毎回変わるワンタイムパスワード） → モバイル端末にインストールした認証アプリ（TOTPアプリ）の確認コードを利用

    ▌2要素認証有効時の制限事項 ⚫ 次のクライアントソフトやモバイルアプリが利用できない Cybozu Desktop 2 ※サイボウズ Officeモバイル、kintoneモバイル、Garoonモバイルは利用可能 ⚫ 2要素認証を有効にしたユーザーは、REST APIでパスワード認証を利用できない

14. IPアドレス制限 ▌IPアドレス制限：接続元のネットワークを制限する ⚫ IPアドレス = ネットワーク上でPC等の機器を識別する番号 グローバルIPアドレス（インターネットに接続する際に利用）が対象 ※ 固定グローバルIPアドレス ⚫

    すべて許可・すべて拒否・一部許可が選択可能

15. セキュアアクセス ▌セキュアアクセス（有料）：接続元の端末を制限する ⚫ 社外からのcybozu.comへのアクセスを、ユーザー個別の クライアント証明書をインストールした端末だけに許可 ⚫ 端末を紛失した場合、クライアント証明書を無効にすれば インストールした端末からのアクセスを禁止できる ⚫ セキュアアクセス経由の場合のURL：

    https://example.s.cybozu.com/

16. （参考）Basic認証 ▌Basic認証：簡易的な認証機能 ⚫ 許可されていないIPアドレスからcybozu.comにアクセスする際、 ユーザー共通のパスワードによる認証を行う ⚫ ユーザーは2段階認証が必要となる ①cybozu.comのログイン画面にアクセスするとき ②cybozu.comにログインするとき

17. セキュリティ設定のすみわけ ▌社内からのアクセスのみに限定したい ⇒ IPアドレス制限 ▌無償設定の範囲でセキュリティを強化したい ⇒（IPアドレス制限+）2要素認証 ※ 2要素認証はユーザー個別のワンタイムパスワード ▌利用できる端末を制限したい ⇒

    IPアドレス制限 + セキュアアクセス（有償） 許可されていないIPアドレスからのアクセス時はユーザー個別の証明書が インストールされた端末からのみアクセスを許可 ▌無償設定の範囲で手軽にセキュリティを強化したい ⇒ IPアドレス制限+Basic認証 許可されていないIPアドレスからのアクセス時は、Basic認証をパスした場合のみアクセスを許可 ※ Basic認証はユーザー共通のID／パスワード

18. 補足：グローバルIPアドレスとプライベートIPアドレス ▌グローバルIPアドレス インターネットに接続する際に利用されるIPアドレス インターネットに接続している機器の一台一台に一意に割り振られる ▌プライベートIPアドレス 同ネットワーク上で各機器（PC等）を 識別するためのIPアドレス

19. まとめ ▌クラウドサービスはいつでもどこからでもアクセスできる分、 安全に利用するために高いセキュリティ性が重要！ ▌サイボウズでは、不正アクセス／ログインを防止する機能を用意してセキュリティ性を担保 （一部有料のオプションサービスも） ▌自社の運用に合わせて、管理者にて適切なセキュリティ設定をする必要あり

20. おしまい