Zendeskのパスワードセキュリティには、低、中、高の3つのレベルがあります。ProfessionalまたはEnterpriseプランでは、独自のカスタムセキュリティレベルを指定できます。レベルごとに、パスワードの作成に関する厳格な要件があります。エンドユーザー向けと、管理者/エージェント向けに、それぞれ別のセキュリティレベルを設定できます。パスワードのセキュリティレベルの変更ができるのは管理者だけです。
この記事では、次のトピックについて説明します。
パスワードのセキュリティレベルの概要
Zendeskのパスワードには以下のセキュリティレベルがあります。
低:5文字以上の長さのパスワードが必要。これはデフォルトのセキュリティレベルです。
中間:6文字以上の長さのパスワードが必要。また、以下の要件を満たす必要があります。
- 数字、大文字、小文字のすべてを含む。
- アルファベットや数字以外の特殊文字(! @ # , % } ^,など)を含む。
高:6文字以上の長さのパスワードが必要。また、以下の要件を満たす必要があります。
- 数字、大文字、小文字のすべてを含む。
- アルファベットや数字以外の特殊文字(! @ # , % } ^,など)を含む。
- パスワードの有効期間は90日間です。パスワード更新の際には過去5件のパスワードと同じものは指定できません。
カスタム(ProfessionalおよびEnterpriseのみ):「カスタム」を選択し、「編集」をクリックしてカスタムパスワード要件を設定します。各パスワードは、管理者が設定した要件を満たす必要があります。このセキュリティレベルは、エージェントと管理者のみが利用できます。以下はその例です。
以下のものを除いて、ほとんどのオプションは名前だけで要件が分かります。
- 以前のパスワード:新しいパスワードは、以前のパスワードで設定した数と異なる必要があります。
- ロックアウトまでの試行回数:エンドユーザーまたはエージェントは、パスワードの入力を指定した回数連続して間違えるとロックアウトされ、パスワードをリセットするまで再度サインインすることはできなくなります。
- 連続した文字または数字の最大数:パスワードで許可されている連続した数字および文字の最大数。たとえば、最大数を4に設定した場合、admin12345のように連続した数字が5桁あるパスワードは拒否されます。オプションを5に設定すれば、このパスワードは受け付けられます
パスワードのセキュリティレベルを変更する
パスワードのセキュリティレベルを変更するには、管理者である必要があります。セキュリティレベルを上げると、それよりも低いセキュリティレベルのすべてのパスワードが5日後に期限切れになります。エンドユーザーは、変更後のセキュリティレベルに適合するパスワードを指定し直す必要があります。次にエンドユーザーがログインしたときに、パスワードの変更を求める警告が表示されます。さらに、管理者とエージェントには、パスワードの有効期限の3日前および有効期限当日にメール通知が送られます。
パスワードのセキュリティレベルを変更するには
- どの製品の場合でも、一番上のメニューバーでZendesk製品アイコン(
)をクリックし、「管理センター」を選択します。 - 左側のサイドバーにあるセキュリティアイコン(
)をクリックします。 - 「スタッフメンバー」または「エンドユーザー」タブをクリックします。エンドユーザー向けと、スタッフメンバー(管理者とエージェント)向けに、それぞれ別のパスワードセキュリティレベルを設定できます。
「エンドユーザー」タブは、ヘルプセンターを有効にするまで使用できません。「初めてのGuideの使い方」を参照してください。
- いずれかのセキュリティオプションを選択し、「保存」をクリックします。
管理者にパスワードの設定を許可する
アカウントオーナーは、管理者がユーザーのパスワードを設定できるよう許可することができます。ただし、セキュリティ上の理由で、このオプションは無効にしておくことをお勧めします。そのようにすることで、ハッカーがソーシャルエンジニアリングテクニックを駆使して善意の人々を騙し、機密情報を入手するのを防ぎます。たとえば、ハッカーの手口の1つに、パスワードを忘れて復元できなくなってイライラしているカスタマーを装って、サポートセンターに繰り返し電話を掛けたり、身元を偽装したメールを何通も送りつけるやり方があります。エージェントは、激怒したカスタマーによって、パスワードを手動で変更せざるを得なくなるまで追い詰められます。このような手口でパスワードが変更されてしまうと、ハッカーが機密情報にアクセスできるようになります。
ユーザーのパスワードをAPI経由で設定することもできます。「ユーザーのパスワードをリセットする」を参照してください。
ユーザーのパスワードを管理者が設定できるようにするには
- どの製品の場合でも、一番上のメニューバーでZendesk製品アイコン()をクリックし、「管理センター」を選択します。
- 左側のサイドバーにあるセキュリティアイコン()をクリックし、「詳細」をクリックします。
- 「パスワード」セクションで「管理者にパスワードの設定を許可」を選択します。
この設定は、アカウントオーナーにのみ表示されます。
- 「保存」をクリックします。
セッションの有効期限を設定する
Zendeskの設定で、非アクティブな状態が一定期間続くと強制的にエージェントおよび他のチームメンバーをサインアウトさせることができます。エージェントは製品をアクティブに使用している間はサインインしている状態です。アクティブな使用と見なされるのは、入力操作とリンクのクリック操作です。
- どの製品の場合でも、一番上のメニューバーでZendesk製品アイコン()をクリックし、「管理センター」を選択します。
- 左側のサイドバーにあるセキュリティアイコン()をクリックし、「詳細」をクリックします。
- 「認証」セクションで「セッションの有効期限」の時間を設定します。
- 「保存」をクリックします。
パスワードセキュリティのベストプラクティス
Zendesk SupportのWebポータルに記事を投稿し、エージェントとユーザーにパスワードのベストプラクティスについて注意を促すのも1つの方法です。一般的な推奨事項は以下のとおりです。
- 同じパスワードを複数のアカウントで使い回さない
- パスワードは他人に教えない
- パスワードをメモしない
- 電話、メール、インスタントメッセージなどでパスワードをやり取りしない
- コンピュータから離れるときはログオフする
- パスワードが侵害された疑いが少しでもあれば、すぐにパスワードを変更する
この件に関して、「Choosing Good Passwords - A User Guide(よいパスワードの選び方 - ユーザーガイド)」という良質な記事があるので参考にしてください。
プライベート情報のセキュリティ保護の詳細については、「セキュリティのベストプラクティス」を参照してください。
0 コメント
ログインしてコメントを残してください。