[Security Policies (セキュリティポリシー)] - [Password (パスワード)]
- Last Updated: April 28, 2022
- 11 minute read
- MOVEit Transfer
- Version 2023
- Documentation
このトピックでは、パスワードの設定および管理を行うためのオプションについて説明します ([SETTINGS (設定)] > [Security Policies (セキュリティポリシー)] - [Password (パスワード)])。
長さと複雑さ
このセクションでは、MOVEit Transfer システムでのパスワードの複雑さと長さの最小要件を管理します。
- [Minimum Length (最低限の長さ)]: この長さ以上のパスワードのみが許可されます (パスワードを空白にすることはできません)。システムの最低限の値は 4 で、デフォルト値は 6 です。
- [Minimum Complexity (最低限の複雑さ)]: パスワードに適用される複雑さ規則のパッケージを管理します。デフォルトの複雑さは [Minimal (最小)] です。
[SETTINGS (設定)] > [Security Policies (セキュリティポリシー)] - [Password (パスワード)] [Length & Complexity (長さと複雑さ)] (管理者のみ表示できます)
passdict.txt ファイルには、完全なパスワード辞書が含まれています。このファイルは d:\moveitdmz または類似のフォルダーにあります ("Program Files" にはありません)。このファイルは暗号化されておらず、任意のテキストエディタで変更できます。
有効期間と履歴
MOVEit Transfer により、定期的なパスワード変更および頻繁なパスワード変更をする際に求められる組み込みコントロールが提供され、危険なパスワードの再使用を防止します。パスワードの有効期間と「履歴」(過去 n 回の間に使用したパスワードの使用の禁止) の使用は、現在のサイバーセキュリティ基準の必須項目です。
規制するポリシー (ルールセット) を設定するには、以下のコントロールを使用します。
- パスワードを使用できる期間。
- 現在の使用から除外する必要がある以前に使用したパスワードの数...
- その他。
有効期間と履歴のルールを作成および適用する方法
この機能を使用するためのワークフローでは、ルールセット (ポリシー) を作成してから、ユーザーロールで適用する必要があります。
- 最初に、[ポリシー] と呼ばれるルールセットを追加/作成します。
- 次に、これらのルールセットを組織内の特定のユーザーロールに適用できます。
組織内のユーザーの役割ごとのパスワードの有効期間ポリシーの定義
制御/操作 |
注: |
|
|---|---|---|
|
[Add Policy (ポリシーの追加)]。最初に、ユーザーの特定の役割に適用できるパスワードの有効期間の新しいセットルールを定義します。 |
デフォルト (ポリシーが適用されない) の動作を変更するポリシールールを適用するには、ポリシーを作成する必要があります。 |
|
[Password Aging Policy (パスワードの有効期間ポリシー)] (ドロップダウンリストから 1 つ選択)。 1.組織内のユーザーの役割ごとの事前定義されたポリシーを選択します。 2.[変更] をクリックして、選択したポリシーを適用します。 |
通常、アクセス範囲が広いユーザー (管理者など) は、有効期間を短くした方が良いと考えられています (アクセス範囲が広いほどリスクが大きくなるため、有効期間を短くすることで、このリスクが軽減されます)。 |
|
[Policy Name (ポリシー名)] (テーブル表示)。[Add Policy (ポリシーの追加)] コントロールで作成したパスワードの有効期間ポリシーを参照、変更、または削除します。 |
このテーブルは、ポリシーを作成するまで最初は空白です。 |
パスワードの有効期間ポリシーの編集
パスワードの有効期間ポリシーの追加/編集ビューを使用したパスワードの有効期間ルールの定義
[Password History (パスワードの履歴)]。管理者はユーザーがパスワードを再利用できないようにすることができます。デフォルト値は 0 で、最大許容値は 99 です。パスワードの履歴は、ユーザーがパスワードを変更する際に構築されます。つまり、パスワードの履歴は、管理者が履歴設定を 0 から 5 に変更してすぐに利用可能になるわけではありません。
[Password Aging (パスワードの有効期間)]。パスワードの有効期間のオンとオフを切り替えます。オンになっている場合は、設定した日数が経過すると、パスワードが期限切れになります。パスワードが期限切れになると、管理者がアカウントを再度有効にするまでそのユーザーはロックアウトされます。パスワード期限切れの通知は、対象管理者と GroupAdmin にも送信されます。デフォルト値はオフです。
[Lock out user if password older than (パスワードがこれより古い場合にユーザーをロックアウトする)]: この日数よりも古いパスワードは期限切れになり、管理者がアカウントを再度有効にするまでそのユーザーはロックアウトされます。デフォルト値は 120 日で、最小許容値は 1、最大許容値は 9999 です。
[Warn and force password change in advance (パスワードの変更を事前に警告し、強制する)]:有効な場合、MOVEit Transfer はパスワードが期限切れになる前に、パスワード有効期限通知をユーザーに E メールで送信します。E メール通知は対象管理者と GroupAdmin にも送信され、パスワードがまもなく期限切れになることをユーザーに通知したことが知らされます。また、設定した日数以内にパスワードの有効期限が近付くと、ユーザーは次回のサインオン時にパスワードを変更するよう自動的に強制されます。
[How many days in advance (警告送信前の日数)]。パスワードが期限切れになる何日前に警告を送信するかを制御します。また、パスワードが期限切れになる何日前から MOVEit Transfer がユーザーに対して次回のサインオン時にパスワードの変更を強制するかも制御します。デフォルト値は 10 日で、最小許容値は 0 です。この値は、[Lock out if older than (パスワードがこれより古い場合にユーザーをロックアウトする)] 設定の値以下にする必要があります。
パスワードの有効期間のオプションが変更されると、システムは現在のユーザーのパスワードが新しい設定によって期限切れと見なされるかどうかを確認します。該当するユーザーが見つかった場合は、別のページが表示され、そのユーザーのパスワード変更スタンプを現在の時刻にリセットするかどうかが管理者に尋ねられます。リセットしても、ユーザーのパスワードは変更されません。各ユーザーのパスワードに関連付けられている内部タイムスタンプが変更され、パスワードが期限切れと見なされないようになります。リセットしなかった場合は、次にスケジュールされている夜間タスクの実行中に、対象ユーザーのパスワードが期限切れとしてマークされます。
アクセス許可 (ユーザーパスワード)
組織管理者は、パスワードの配信方法と、ユーザーが管理者の介入なしにパスワードをリセットできるかどうかを制御できます。
アクセス許可:パスワードの配信の編集/有効化
このセクションでは、管理者が他のユーザーを作成するときに、使用可能な配信方法または優先する配信方法を決定します。
- [No direct email (ダイレクト E メールなし)]。別の (アプリケーション外) チャネルを使用します。
- [Email password (パスワードのメール送信)]。新しいアカウント通知でパスワードを送信します。新しいユーザーを追加したり、既存のユーザーのパスワードを変更したりする際に、新しいパスワードをユーザーに送信するためのオプションが管理者に提供されます。
- [Email reset link (リセット用リンクをメール送信)]。MOVEit Transfer で設定されているユーザーの現在の E メールアドレスにリンクを送信し直します。
アクセス許可:ユーザーによるリセットの編集/有効化
[Allow Users to Change Own Password (while signed-on) (ユーザーに自分のパスワードの変更を許可する (サインオン時))]
オンにすると、ユーザーは自分のパスワードを変更できます。それ以外の場合は、チェックボックスをオフにすると、ユーザーは自分のパスワードを変更できなくなります。
デフォルトはオン ([Enabled (有効)]) です。
[Allow End-Users to Reset Password (エンドユーザーにパスワードのリセットを許可する)]
オン ([Enabled (有効)]) にすると、ユーザーは MOVEit Transfer サインオン画面からパスワードの変更を要求できます。これにより、ユーザーはサイトのテクニカルサポートスタッフに連絡しなくても、自分のパスワードをリセットできます。
[Enabled (有効)] にした場合でも、ユーザーのプロファイルの [Prohibit user from requesting automatic password changes (ユーザーによる自動パスワード変更要求を禁止する)] 設定を有効にすることで、個々のユーザーのパスワード変更要求を拒否することができます。詳細については、『ユーザープロファイル』ドキュメントの「パスワード」セクションを参照してください。
サインオンページで [Request password change (パスワード変更要求)] リンクをクリックすると、ユーザーは自分のユーザー名を入力するよう求められます。そのユーザーアカウントの登録 E メールアドレス (存在する場合) に E メールが送信され、パスワード変更要求を続行するためのリンクが伝えられるか、要求が拒否されたことが通知されます。(ユーザーは一定期間内にリンクをクリックする必要があります。これによりパスワードの変更操作を開始するダイアログが表示されます)。パスワード変更要求には、ID を確認するための追加オプションがあります。
- [Require users to respond to reCAPTCHA (ユーザーに reCAPTCHA に応答するよう要求する)]。マスコラボレーションモデルに対して採点された CAPTCHA 質問へのユーザー確認 (応答) を要求します。
- [Require users to answer security questions (ユーザーにセキュリティ上の質問に回答するよう要求する)]。セキュリティ上の質問 (チャレンジフレーズとレスポンスフレーズのペア) に基づいて、エンドユーザーがパスワードをリセットできるようにします。これは、エンドユーザーが事前に選択して設定します (例: 通常のサイオン時)。
[When Failed Sign-on Attempts or Answers to Challenge Questions are Observed... (サインオンに失敗した場合、または質問への回答が確認された場合)]
ユーザーのリセットは、チャレンジ質問を使用している場合でもサインオンの不正試行のポリシーに従います。例:
- ユーザー名のロックアウト設定は、チャレンジ質問に n 回誤って回答した場合に適用されます。
- IP アドレスは、不正な (不明な) ユーザー名が繰り返し (n 回) 使用されるとブロックされます。
E メールのリンクとパスワードリセットの有効期限
パスワート変更要求リンクの有効期間は [Password request codes should expire after (パスワード要求コードの有効期間)] 設定によって指定されます。各パスワード変更要求には、サーバーが要求を識別するための一意の ID コードが発行されます。その ID コードは、ユーザーの E メールアドレスに送信されるリンクに含まれます。その ID コードがこの設定で指定した期間内に使用されなかった場合は、期限切れとなり、ユーザーのパスワードのリセットに使用できなくなります。