- 1. WebRelease のユーザ管理
- 2. ユーザの一覧
- 3. ユーザの登録
- 4. ユーザの休止
- 5. ユーザの削除
- 6. ユーザの一括削除
- 7. 自分のユーザプロファイルの変更
- 8. ログイン通知メール
- 9. TOTP ワンタイムパスワードの設定
- 10. ログインユーザ一覧
- 11. ログイン履歴
- 12. ユーザ登録情報の一括処理
- 1. サイトの作成
- 2. サイト設定
- 5. 辞書の管理
- 6. 外部リンクのチェック
- 7. サイトのエキスポート
- 8. サイトのインポート
- 9. サイトの閉鎖
- 10. サイトの削除
- 11. サイトの操作履歴
- 1. テンプレート
- 2. テンプレートの作成
- 3. 文書型の定義
- 5. テンプレートリソース
- 7. WYSIWYG エディタ設定
- 8. テンプレート・プロファイラ
- 9. テンプレートのリビジョン
- 10. テンプレートのダウンロード
- 11. テンプレートのアップロード
- 12. テンプレートの上書きアップロード
- 13. テンプレートのフォルダ
- 14. テンプレートの状態
- 15. テンプレートの削除
- 16. ページ作成後のテンプレート修正
- 17. 入力フィールドの短縮表示
- 18. 作成したページの一覧
- 19. テンプレートとスタッフ
- 20. テンプレートの操作履歴
- 21. テンプレートを参照している目次の一覧
- 22. テンプレートの検索
- 1. ページの作成
- 2. ページのプレビュー
- 3. 実機でのプレビュー
- 4. ページの状態
- 8. ページの編集完了
- 9. ページの公開
- 10. ページの公開終了
- 11. ページのエキスポート
- 12. ページの削除
- 13. ページのリビジョン管理
- 14. ページのリビジョン間の比較表示
- 15. リンク元一覧
- 16. ページ内の外部リンク一覧
- 17. ページの公開状況
- 18. Markdown の使い方
- 19. コンテンツ中の語句のチェック
- 20. ページの操作履歴
- 22. バージョニングフォルダ
- 25. 外部作成コンテンツのインポート
- 26. スケジュール一覧
- 27. ページの検索
- 1. システムの状態確認
- 2. WebRelease の停止と起動
- 3. データのバックアップ
- 4. メモリ設定
- 5. メールサーバの設定
- 6. Proxy サーバの設定
- 7. パスワードセキュリティ設定
- 8. TOTP 認証の有効化
- 9. アカウントの自動閉鎖
- 10. ログイン通知メールの設定
- 11. システムからの通知メール
- 12. Cookie に Secure 属性をつける
- 13. その他のシステム設定
- 14. 証明書のインポート
- 15. ストレージの管理
- 16. 操作履歴
- 17. ログファイルのダウンロード
- 18. ログインエラーへの対応
- 19. WebRelease のバージョンアップ
- 20. ライセンスのアップグレード
- 21. 期間ライセンスコードの更新
- 22. WebRelease の Uninstall
-
- 1. add
- 2. allObjects
- 3. allPages
- 4. channel
- 5. channelCookieName
- 6. channelName
- 7. codePointAt
- 8. comma3
- 9. concatenate
- 10. contentType
- 11. count
- 12. currentTime
- 13. divide
- 14. encodeURI と encodeURIComponent
- 15. encoding
- 16. fileName
- 17. fileSize
- 18. find
- 19. firstElement
- 20. folder
- 21. formatDate
- 22. formatDateRFC2822
- 23. formatDateW3CDTF
- 24. fullURL
- 25. gengou
- 26. getXML
- 27. group
- 28. halfwidth
- 29. hasElement
- 30. hasMethod
- 31. head
- 32. indexOfPage
- 33. isEven と isOdd
- 34. isFirstElement と isNotFirstElement
- 35. isFirstPage
- 36. isLastElement と isNotLastElement
- 37. isLastPage
- 38. isNull と isNotNull
- 39. isNumber
- 40. isPreview と isNotPreview
- 41. jstr
- 42. kmg1000
- 43. kmg1024
- 44. lastElement
- 45. lastModifiedDate
- 46. length
- 47. multiply
- 48. nextElement
- 49. nextPage
- 50. number
- 51. pageCreatedDate と revisionCreatedDate
- 52. pageID
- 53. pageRevision
- 54. pageTitle
- 55. pageWithPageID
- 56. parseDate
- 57. parseDateRFC2822 と parseDateRFC2822Relaxed
- 58. parseDateW3CDTF
- 59. parseHtml
- 60. path
- 61. prevElement
- 62. prevPage
- 63. previewClock
- 64. previewLanguage
- 65. quote
- 66. remainder
- 67. replaceAll と replaceFirst
- 68. resourceURL
- 69. resourceWithName
- 70. rtlCount
- 71. rtlRatio
- 72. scheduledEndDate
- 73. scheduledStartDate
- 74. searchText
- 75. setScale
- 76. siteTimeZone
- 77. sort
- 78. split
- 79. startsWith と endsWith
- 80. string
- 81. stripTags
- 82. substring
- 83. subtract
- 84. suffix
- 85. tail
- 86. templateName
- 87. thisPage
- 88. toEntityRef
- 89. toLowerCase と toUpperCase
- 90. trim
- 91. unescapeEntities
- 92. unsplit
- 93. width と height
11章 システムの運用管理
9. アカウントの自動閉鎖
この機能を使うと、アカウントに対して複数回の連続したログイン失敗を検知した場合に、そのアカウントを自動閉鎖することができます。不正なログイン試行を早期に検知して不正アクセスを防ぐことができます。なお、デフォルトでは、この自動閉鎖機能は OFF に設定されています。必要に応じて ON にして使用してください。
設定は「システム管理」画面の「設定」タブで行ないます。
① 閉鎖するログイン失敗回数を指定すると、自動閉鎖機能が有効になります。一般的には、連続して 10 回程度のログイン失敗で閉鎖するぐらいが良いのではないでしょうか。連続した失敗で閉鎖される点に注意してください。ログイン失敗の累積回数で閉鎖するわけではありません。自動閉鎖の条件を指定すると、さらにいくつかの入力欄が表示されます。
② 閉鎖の解除の条件を指定しておきましょう。デフォルトでは「システム管理者が手動で解除」となっていますが、一定時間後に自動解除する指定もできますので、ご要望に沿う解除方法を指定してください。
「システム管理者が手動で解除」という設定はシンプルで良いのですが、システム管理者がユーザの要望に応じていつもタイムリーに対応する必要があるなど、運用の負担が大きくなる場合があります。自動解除の指定を選んでおけば、運用の負荷を上げずに済むかもしれません。
自動解除は、閉鎖されたアカウントに対する最後のログイン失敗から一定時間が経過した時に行われます。ログイン失敗が繰り返されている限り、閉鎖が解除されることはありません。攻撃が続く限り閉鎖状態が維持されます。解除までの時間は 30 分程度に設定しても、攻撃に対してはかなりの防御となります。30 分に 10 回程度のログイン試行しかできないのであれば、事実上、攻撃者による総当たり攻撃は成立しないと考えて良いでしょう。
③ 自動閉鎖が発生した時の通知機能も指定することができます。設定は「自動閉鎖の告知」欄のチェックボックスで行います。
自動閉鎖されたことをログインパネルで告知する
このチェックボックスを ON にしておくと、規定回数のログイン失敗が検知された時点で、ログインパネルに「アカウントは閉鎖されました」というエラーメッセージが表示され、ユーザに自動閉鎖が起きた事をしらせることができます。一般的な運用では ON にしておくことで良いかもしれません。一方で、閉鎖を告知すると攻撃者に有利な情報を与えてしまう可能性があります。例えば、そのアカウントが実在することを知られてしまいます。また、それ以上の攻撃が無意味であることを知られてしまいます。
自動閉鎖されたことをアカウントのオーナーにメールで通知する
このチェックボックスを ON にしておくと、自動閉鎖が発生したときに、そのアカウントのオーナーに、アカウントの閉鎖が発生したことをメールで通知することができます。なお、アカウントのオーナーが、ユーザのプロファイルにメールアドレスを指定していない場合には、オーナー宛のメールによる通知は行われません。
自動閉鎖されたことを通知メールアドレス宛にメールで通知する
このチェックボックスを ON にしておくと、自動閉鎖が発生したときに、通知メールアドレスに指定されているアドレス宛に(多くの場合システム管理者宛となるでしょう)、アカウントの閉鎖が発生したことをメールで通知することができます。通知メールアドレスは「システム管理」画面の「設定」タブにある「通知メール配送先アドレス」欄で指定します。なお、通知メールアドレスが指定されていない場合には、このメールは発送されません。
④ 設定を変更した場合には画面右上の「保存」ボタンをクリックして変更を保存してください。
アカウント admin は自動閉鎖の対象になりません。これは、admin アカウントを自動閉鎖させてしまう攻撃を避けるためです。admin には十分な強度のあるパスワードを設定し、しっかりと管理しておいてください。
メールを使った通知には、メールサーバの設定が必要です。
閉鎖の解除に関するメール通知は行われません。
ログイン失敗はシステムの操作履歴に記録されます。ログインに失敗した時刻、アカウント名、アクセス元IPアドレス、User Agent なども記録されます。
ロックされたアカウントについては、ユーザ一覧画面のセキュリティ欄に赤色の四角のインジケータが表示されます。ロックされていない場合の表示は緑の四角です。
閉鎖されたアカウントは、システム管理ユーザによって手動で閉鎖を解除することができます。
閉鎖されているユーザのユーザプロファイル編集画面には、下のスナップショットのように、閉鎖状況が表示されます。また、画面右上に「閉鎖を解除」ボタンが表示されます。「閉鎖を解除」ボタンをクリックすることでアカウントの閉鎖を解除することができます。
