パスワードのセキュリティレベルは、パスワードの強度や複雑さを示しています。Zendeskが提供するパスワードセキュリティは4つのレベルがあり、「推奨」、「高」、「中」、「低」です。エンドユーザー向けと、チームメンバー向けに、それぞれ別のパスワードセキュリティレベルを設定できます。
Zendeskでは、チームメンバーとエンドユーザーのどちらにもパスワードのセキュリティレベルを「推奨」に設定することを強くお勧めします。このセキュリティレベルは厳格なパスワード要件を課し、既知の侵害されたパスワードを照合し、セキュリティのベストプラクティスと業界標準に基づいて構成されています。
チームメンバー(管理者とエージェント)の要件が異なる場合は、それぞれのパスワードに異なるカスタムセキュリティレベルを設定することもできます。
この記事では、次のトピックについて説明します。
- パスワードのセキュリティレベルについて
- パスワードのセキュリティレベルを変更する
- チームメンバーのパスワードにカスタムセキュリティレベルを設定する
- 管理者にパスワードの設定を許可する
- セッションの有効期限を設定する
- パスワードセキュリティのベストプラクティス
パスワードのセキュリティレベルについて
多くの組織が、セキュリティポリシーの一環として複雑なパスワードを要求しています。一般データ保護規則(GDPR)などの特定の規則では、セキュリティを確保するための措置を講じることが組織に義務付けられており、これには複雑なパスワードの使用も含まれます。
Zendeskでは、お客様のアカウントを保護するために、チームメンバーとエンドユーザーのどちらにもパスワードのセキュリティレベルを「推奨」に設定することを強くお勧めします。
- 12文字以上でなければならない
- 5回連続で入力に失敗すると10分間ロックアウトされる
- 大文字と小文字(A~Zとa-z )を含めること
- 数字(0~9)を含めること
- 特殊文字(!、@、#、%など)を含めること
- 「Zendesk」という単語を含めることはできない
- メールアドレスに似たパスワードは使用できない
- 既知の漏洩パスワードリストとの照合で一致しないこと
パスワードセキュリティレベルの「低」、「中」、「高」では、セキュリティ要件が低くなります。これらのレベルを使用している場合は、セキュリティレベルを「推奨」に変更することをお勧めします。
チームメンバー認証またはエンドユーザー認証のページで、現在選択されているセキュリティレベルのパスワード要件を確認できます。
カスタムセキュリティレベルは、チームメンバーにのみ使用可能で、「推奨」パスワードセキュリティレベルが要件を満たさない場合に使用できます。詳しくは「チームメンバーのカスタムのパスワードセキュリティレベルを設定する」を参照してください。
パスワードのセキュリティレベルを変更する
パスワードのセキュリティレベルを変更するには、管理者である必要があります。セキュリティレベルを上げると(たとえば「中」から「推奨」へ)、セキュリティレベルに関係なく、すべてのパスワードの有効期限がその5日後に切れます。すべてのエンドユーザーとチームメンバーは、変更後のセキュリティレベルに適合するパスワードを指定し直す必要があります。
パスワードのセキュリティレベルを上げると、一部のパスワードが即座に期限切れになることがあります。90日以上経過したパスワードで、セキュリティレベルが期限制限を伴うレベルに引き上げられた場合、そのパスワードの有効期限は切れたものと見なされます。
管理者とエージェントには、パスワードの有効期限の3日前と有効期限当日にメール通知が送られます。
セキュリティレベルを「低」、「中」、「高」から、「推奨」または「カスタム」に変更した場合、元に戻すことはできません。「保存」をクリックすると、次のようなメッセージが表示されます。
セキュリティレベルを「低」、「中」、「高」の範囲内で変更した場合、必要に応じて元に戻すことができます。
パスワードのセキュリティレベルを変更するには
- チームメンバーまたはエンドユーザーのパスワードのセキュリティ設定を開きます。
- 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「チームメンバーの認証」を選択します。
-
管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「エンドユーザー認証」を選択します。
エンドユーザーのコマンドは、ヘルプセンターをアクティブにしないと使用できません。詳しくは「初めてのGuideの使い方」を参照してください。
- 「パスワードの強度」を選択し、「保存」をクリックします。
- 「低」、「中」、または「高」に設定されているパスワードセキュリティレベルを、「カスタム」または「推奨」に変更した場合、以前のレベルは使用できなくなるというメッセージが表示されます。「保存」をクリックして確定します。
チームメンバーのパスワードにカスタムセキュリティレベルを設定する
「推奨」のパスワードセキュリティレベルが、チームメンバーに対する会社の特定の要件を満たさない場合、カスタムのパスワードセキュリティレベルを作成することができます。
カスタムオプションのほとんどは、説明なしに機能や目的を理解できます。以下に、例外となるオプションについて説明します。
- 再利用を禁止する以前のパスワードの数:新しいパスワードに、過去のパスワードを流用できないようにします。いくつ前のパスワードまで禁止にするか、個数を指定します。
- ロックアウトまでの試行回数:エンドユーザーまたはエージェントは、パスワードの入力を指定した回数連続して間違えるとロックアウトされ、一定期間ロックアウトの状態になります。ロックアウト期間が終了するまで、再びサインインすることはできません。
- 連続した文字または数字の最大数:パスワード内に、abc順に並んだアルファベットまたは連番の数字を何文字まで許可するかを指定します。たとえば、最大数を4に設定した場合、「admin12345」のように数字の連番が5つ並んでいるパスワードは拒否されます。オプションを5に設定すれば、このパスワードは受け付けられます。
- パスワードはメールアドレスに似たものを指定できます:新しいパスワードにメールアドレスの一部を含めることができるかどうかを指定します。たとえば、この設定が「いいえ」の場合、david@mycompany.comのメールアドレスを持つユーザーは、パスワードの一部として「david」という単語を含めることはできません。
- 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「チームメンバーの認証」を選択します。
- 「パスワードの強度」ドロップダウンで「カスタム」を選択します。
- 編集リンクをクリックして、パスワード要件を設定します。
- カスタムのパスワード要件を選択します。
- 「設定」をクリックします。
- 「保存」をクリックします。
- チームメンバーのパスワードの強度が「低」、「中」、「高」のいずれかに設定されている場合は、これらのレベルが使用できなくなるというメッセージが表示されます。「保存」をクリックして確定します。
管理者にパスワードの設定を許可する
アカウントオーナーは、管理者がユーザーのパスワードを設定できるよう許可することができます。ただし、セキュリティ上の理由で、このオプションは無効にしておくことをお勧めします。ハッカーがソーシャルエンジニアリングテクニックを駆使して善意の人々を騙し、機密情報を入手するのを防ぐためです。
たとえば、ハッカーの手口の1つに、パスワードを忘れて復元できなくなってイライラしているカスタマーを装って、サポートセンターに繰り返し電話を掛けたり、身元を偽装したメールを何通も送りつけるやり方があります。エージェントは、激怒したカスタマーによって、パスワードを手動で変更せざるを得なくなるまで追い詰められます。パスワードが変更されてしまうと、ハッカーが機密情報にアクセスできるようになります。
ユーザーのパスワードをAPI経由で設定することもできます。開発者向けドキュメントの「Set a User's Password」を参照してください。
ユーザーのパスワードを管理者が設定できるようにするには
- 管理センターで、サイドバーの「アカウント」をクリックし、「セキュリティ」>「詳細」を選択します。
- 「パスワード」タブで、「管理者にパスワードの設定を許可」を選択します。
この設定は、アカウントオーナーにのみ表示されます。
- 「保存」をクリックします。
管理者がユーザーのパスワードを設定すると、そのこと知らせるメールがユーザーに届きます。
セッションの有効期限を設定する
Zendeskの設定で、非アクティブな状態が一定期間続くと強制的にエージェントおよび他のチームメンバーをサインアウトさせることができます。エージェントは製品をアクティブに使用している間はサインインしている状態です。アクティブな使用と見なされるのは、入力操作とリンクのクリック操作です。
- 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「詳細」を選択します。
- 「認証」タブをクリックします。
- チームメンバーとエンドユーザーの「セッションの有効期限」を設定します。
- 「保存」をクリックします。
パスワードセキュリティのベストプラクティス
Zendesk SupportのWebポータルに記事を投稿し、エージェントとユーザーにパスワードのベストプラクティスについて注意を促すのも1つの方法です。一般的なものとして以下の推奨事項が挙げられます。
- 同じパスワードを複数のアカウントで使い回さない
- パスワードは他人に教えない
- パスワードをメモに残さない
- 電話、メール、インスタントメッセージなどでパスワードをやりとりしない
- コンピュータから離れるときはログオフする
- パスワードが侵害された疑いが少しでもあれば、すぐにパスワードを変更する
プライベート情報のセキュリティ保護について詳しくは、「一般的なセキュリティのベストプラクティス」を参照してください。