活用マニュアル

クラウドコンソールとAPIのセキュリティを高めたい

IDCFクラウドは、お客さまのクラウドコンソールとAPIのセキュリティ向上にさまざまな仕組みを取り込んでいます。

連続してログインパスワードを間違えたときのアカウント一時ロック機能が実装されていますが、今回はより高度なセキュリティ対策として「2段階認証」「ログインIPの制限」「APIのIP制限」「ユーザー権限設定」を実施し、クラウドコンソールやAPIを含む、ユーザーインターフェイス全体に対して意図しないアクセスを制限する方法を紹介します。

(1)2段階認証を設定する 推奨度:★★★

 2段階認証とは、ログインする際、ID/パスワードの認証に加えて、もう一つ異なる認証を実施する方法です。
IDCFクラウドのクラウドコンソールでは、ワンタイムパスワードを利用します。

ID/パスワードのみのログイン認証では、一度ログイン情報が漏えいしてしまうと簡単に悪用されたり、攻撃の対象になったりします。
2段階認証を使うと、万が一、ID/パスワードが漏えいしたときでも、不正ログインを防ぐことができます。2段階認証は、セキュリティを高める上で、効果が大きく簡単に利用できますので、ぜひ実施することをおすすめします。
ここでは、2段階認証にGoogle Authenticatorを使用するため、インストールできる端末(Android2.1以降もしくはiOS5.0以降の端末)を用意します。
 
①     クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから「アカウント設定」をクリックします。

 
②     メニューから「2段階認証」をクリックし、「アプリで認証する」をクリックします。

 
③     使用端末のタブより使用する端末を選択(例ではiPhoneを選択)します。指示にしたがってGoogle Authenticatorをインストールし、アプリケーションを起動させてバーコードをスキャンして認証システムで生成された認証コードを「6桁のコードを入力」欄に入力し、「登録する」をクリックします。

 
④     2段階認証有効化完了のポップアップがあがるので、「閉じる」をクリックします。

 
⑤     2段階認証は端末変更や、アプリ削除など、環境が変わってしまうと認証が通らなくなり、ログインできなくなります。万が一アプリ削除や端末変更などがあった際にもログインできるようにしておくために、バックアップコードを保存します。「バックアップコードを表示する」ボタンをクリックします。
 

 
⑥     バックアップコードが表示されます。「テキストファイルに保存する」をクリックし、CSVファイルをダウンロードします。ファイルをセキュリティに留意して保存しておきます。
 

 
⑦     2段階認証でログインするため、一度ログアウトします。右上のアイコンをクリックし、プルダウンメニューから「ログアウト」をクリックします。
 

 
 
⑧     通常ログイン後に2段階認証の認証コードを求められる画面に遷移することを確認します。ここで先ほどインストールしたGoogle Authenticatorで発行された認証コードを入力して「送信」をクリックしログインします。
 
 
以上で2段階認証でクラウドコンソールにログインする設定が完了しました。
2段階認証を止めるには、⑤の2段階認証画面から「2段階認証を無効にする」ボタンをクリックして無効にすることができます。
なお、⑥に記載したとおり、端末の故障、アプリの削除などにより認証コードが発行できない場合、バックアップコードを使用しますので、必ず大切に保管しておいてください。バックアップコードがない場合は、クラウドコンソールへログインすることができなくなります。
 

(2)ログインIP制限を設定する 推奨度:★☆☆

 ログインIP制限とは、クラウドコンソールにログイン可能な接続元のIPアドレスを制限することです。ログインIPを制限することで、自社内からのみ、開発環境からのみアクセスさせ、他の環境から接続できないよう制御が可能になります。
2段階認証との併用も可能ですし、単独での設定もできます。

もし自宅や社外などからも頻繁にアクセスするようであれば、2段階認証のみ設定することをおすすめします。また、オフィスなど決まった環境からしかアクセスしないのであれば、ログインIP制限のみにすれば2段階認証の手間を省くことも可能です。

ここでは、ログインIPをクラウドコンソールに現在アクセスしているIPアドレスのみ許可するように設定をします。
 
注意点)ログインIPは固定IPアドレスで行うようにしてください。ご家庭向けのインターネットプロバイダやモバイル環境の場合、IPアドレスが変更されることが一般的なため、本機能を利用すると、アクセスできなくなる可能性があります。
 
①     クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから「アカウント設定」をクリックします。

 
②     メニューからログインIP制限をクリックし、ログインIP制限画面を表示します。ソースCIDRに「My IP」が選択されていることを確認し、「+」ボタンをクリックします。(任意でコメントを入力できます。)

 
③     ログインIP制限にIPアドレスが追加されたことを確認し、「有効にする」をクリックします。

 
④     ログインIP制限の有効化確認ポップアップがあがるので、注意をよく読み「はい」をクリックします。

 
⑤     ログインIP制限が有効になりました。というポップアップがあがるので、「OK」をクリックします。


 
 
⑥     ログインIP制限の画面に戻るので、ステータスが「有効」になっていることを確認します。
※この状態で次回のログインからログインIP制限が有効となります。 ログアウトをする前に別のブラウザを立ち上げてログイン確認をします。
(一定時間経過しても自動的にログアウトされるため、速やかに確認をします。)


 
⑦     別のブラウザを立ち上げてログイン確認をします。次のようなエラー画面が出た場合は、ログインIPの登録に問題がありますので、⑥で確認したステータスにて「無効にする」をクリックして一度無効にし、再度登録をしなおしてください。
 

 
 
以上でログインIP制限の設定は完了です。ログインIP制限を実施すると、登録されたIP以外はクラウドコンソールにログインできなくなります。最初に設定を行う際には、ログアウトをせずに別のブラウザや別のパソコンなどからログインできることを確認してからログアウトをし、ログインできないということがないようにしてください。
 

(3)API IPアドレス制限を設定する 推奨度:★★☆

 API IPアドレス制限とは、APIでアクセス可能な接続元のIPアドレスを制限することです。クラウドコンソールのセキュリティを厳重にしていても、API Keyが漏えいしてしまえば、サーバー環境が悪用されてしまいます。また、退職した従業員が継続してアクセスできる状態も好ましくありません。そのため、特定のサーバーや環境からのみAPIのコールを許可し、他の環境から接続できないようにする制御が求められます。
 APIを利用される場合は、ぜひ実施いただきたいです。
 ここでは、API IPアドレス制限を設定し、現在アクセスしているIPアドレスのみ許可します。
 
①     クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから「アカウント設定」をクリックします。

 
②     メニューから「API Key」をクリックし、API IPアドレス制限の項目を表示します。ソースCIDRに「My IP」が選択されていることを確認し、「+」ボタンをクリックします。(任意でコメントを入力できます。)
 
 
③     API IP制限にIPアドレスが追加されたことを確認し、「有効にする」をクリックします。

 
④     API IP制限有効化確認のポップアップがあがるので、注意を良く読み「はい」をクリックします。


 
⑤     API Keyの画面に戻るので、API IPアドレス制限のステータスが有効になっていることを確認します。

 
以上でAPI IP制限の設定は完了です。
 

(4)マルチユーザーを設定する 推奨度:★★☆

マルチユーザーとは、役割毎にユーザーを作成し、許可された機能のみ利用権限を付与する機能です。クラウドコンソールにはサーバーや請求などさまざまな情報が掲載されています。サーバー管理者以外にも経理担当者などのメンバーがログインする可能性がある場合、誤操作や情報流出を防ぐためにも、役割に応じた権限でログインできるよう設定することが可能です。

 IDCFクラウドでは契約アカウントが、自動的にマスターユーザーとなり、「パワーユーザー」「ユーザー」「ビリングユーザー」の3種類を作成することができます。
権限の詳細な違いはIDCFクラウドのマルチユーザー仕様ページをご参照ください。
マスターユーザは、各ユーザーを作成する際に、2段階認証を必須とすることもできます。
 
ここではパワーユーザーを作成し、2段階認証を行う手順をご紹介します。
 
①     クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから「アカウント設定」をクリックします。

 
②     メニューから「マルチユーザー」をクリックし、マルチユーザー画面を表示します。「新規追加」ボタンをクリックしてユーザー追加画面を表示します。

 
③     ユーザー追加画面にて次の必要項目を入力し「作成」をクリックします。
 
項目
設定内容
追加したいユーザーの情報を入力
追加したいユーザーの情報を入力
性(カナ)
任意で入力
名(カナ)
任意で入力
メールアドレス
追加したいユーザーのメールアドレスを入力
※必ず使用できるアドレスを入力
電話番号
任意で入力
ログインID
追加したいユーザーの希望ログインIDを入力
言語
Japanese:デフォルトで日本語での表示
English:デフォルトで英語での表示
プロファイルタイプ
パワーユーザー:アカウント全体に影響する制限設定やユーザー作成を除く全権限
ユーザー:パワーユーザーから請求を除いた操作権限
ビリングユーザー:請求のみの操作権限
 
 
④     ユーザー新規追加完了のポップアップがあがるので「閉じる」をクリックします。

 
⑤     マルチユーザーの画面に戻るので先ほど登録したユーザーのステータスが「無効」になっていることを確認します。
同時に、先ほど登録したパワーユーザー宛てにメールが送信されますので、認証手続きを行っていただいてください。

 
⑥     パワーユーザーがユーザー認証を完了すると、マルチユーザー画面にて該当ユーザーが「認証済み」になります。
次に、2段階認証を促す設定を行うため、該当ユーザーのログインID名をクリックします。
 
 
 
⑦     ユーザー編集画面のページ下部までスクロールし、2段階認証の項目を表示します。認証ポリシーに「2段階認証を必須にする」を選択して更新をクリックします。

 
⑧    ユーザーデータを更新するか確認のポップアップがあがるので、「はい」をクリックします。

 
⑨     ユーザー編集完了のポップアップがあがるので「閉じる」をクリックします。

 
⑩    上記設定により、次回ユーザーがログインした際には2段階認証の設定を行うメッセージが表示され、ログイン直後は2段階認証登録のページが表示されるようになります。

 
以上でマルチユーザーの設定が完了しました。
全体に影響する制限(ログインIP制限など)以外はマスターユーザーでのログインは極力控え、マルチユーザーで設定したアカウントを使用することでより効果的にセキュリティを高めることができます。
  
 
今回はクラウドコンソールとAPIのセキュリティを高める方法として4項目記載しました。
どれか1項目だけでも効果はありますが、4項目を複合的に使用することでよりクラウドコンソールとAPIのセキュリティを高めることができます。
たとえば、マスターユーザーでログインIP制限とAPI IP制限を実施し、2段階認証を設定したマルチユーザーを作成し、管理者(パワーユーザー)、作業者(ユーザー)、請求処理作業者(ビリングユーザー)で分けていただくと効果的です。
 

このページの先頭へ このページの先頭へ