ログイン
ユーザー名(ID・メールアドレス)とパスワードなどの認証情報を入力して、本人だけがアクセスできる領域に入る操作。CMSの管理画面、各種 SaaS、会員サイトなど、権限(パーミッション)が必要な機能の入口で必ず通る関門。逆に外部の攻撃者にとっても、ここが突破口になりうる重要地点。
重要なのは「ログイン画面は攻撃の入口でもある」という意識。推測されやすいパスワードや使い回しは乗っ取りの原因になるため、強固なパスワード + 2 段階認証 + ログイン試行回数の制限が基本になる。共有アカウントを避けて 1 人 1 アカウントにし、誰がいつ操作したかを追える状態にしておく。
実務で押さえる点は管理画面の 2 段階認証・ログイン失敗回数の制限や CAPTCHA(reCAPTCHA)・退職者アカウントの即時停止・IP 制限や Basic 認証(ベーシック認証)による多層防御・ログイン履歴の監査。管理画面の URL を初期設定のまま晒さない、社外からのアクセスは VPN経由にする、といった運用も有効。
陥りやすいのは、共有アカウントで操作者が特定できず、退職者のログイン情報も残ったまま放置されること。ほかにも、初期 ID とパスワードのまま運用、フィッシングで認証情報を抜かれる、Cookieに保存したログイン状態を共有 PC で放置、といった点に注意する。アカウント棚卸しを定期的に行う。
言葉をよく利用する人
- Web 担当者(発注側)
- 情シス
- 経営層
- コーダー / フロントエンドエンジニア
- カスタマーサポート
会話上での使用例
管理画面の安全性を相談する場面
-
Web 担当者
CMS のログイン、今は ID とパスワードだけです
-
情シス
2 段階認証とログイン試行制限を入れましょう。共有アカウントもやめて 1 人 1 アカウントに。退職者の停止フローも合わせて整えます
不正アクセスを警戒する場面
-
経営層
管理画面に知らない国からのログイン試行があったらしい
-
Web 担当者
IP 制限と Basic 認証で入口を絞り、パスワードを全更新します。ログイン履歴も監査して影響範囲を確認します