実践活用ガイド - データ管理とセキュリティ

クラウドコンソールとAPIのセキュリティを高めたい

IDCFクラウドは、お客さまのクラウドコンソールとAPIのセキュリティ向上にさまざまな仕組みを実装しています。

本マニュアルでは、高度なセキュリティ対策として「2段階認証」「ログインIPの制限」「APIのIP制限」「ユーザー権限設定」をとりあげ、クラウドコンソールやAPIを含む、ユーザーインターフェイス全体に対して意図しないアクセスを制限する方法を紹介します。

1. 2段階認証を設定する 推奨度:★★★

IDCFクラウドを安心してご利用いただくために、クラウドコンソール画面にログインする際のID/パスワードに加え、追加の認証コードを必要とする「2段階認証」をご用意しています。
2段階認証を利用することでID/パスワードが盗難や流出した場合でも2段階目の認証により、セキュリティを強化することができます。

事前に、ご利用の端末に2段階認証用のアプリをインストールしてください。iPhoneの場合は Google Authenticator新規ウィンドウを開きます、Androidの場合は Google認証システム新規ウィンドウを開きますです。

また、マルチユーザー機能を利用している場合はマスターユーザーが他ユーザーに2段階認証を必須で設定することができるので、アカウント全体のセキュリティをコントロールできます。
こちらの手順は「4. マルチユーザを設定する」にて紹介します。

1. クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから[アカウント設定]をクリックします。

クラウドコンソールTOPキャプチャ画像


2. メニューから[2段階認証]をクリックし、[アプリで認証する]をクリックします。


3. 使用端末のタブより使用する端末を選択(例ではiPhoneを選択)します。
Google Authenticatorを未インストールの場合、指示に従ってインストールします。
Google Authenticatorを起動し、指示に従って「アカウント」「キー」を手動入力します。
Google Authenticatorで生成された認証コードを「6桁のコードを入力」欄に入力し、[登録する]をクリックします。


4. 2段階認証有効化完了のポップアップ画面が表示されますので、[閉じる]をクリックします。


5. 2段階認証は端末変更や、アプリ削除など、環境が変わってしまうと認証が通らなくなり、ログインできなくなります。
アプリ削除や端末変更・端末故障・端末紛失など発生時でもログインできるようにしておくために、バックアップコードを保存します。
[バックアップコードを表示する]をクリックします。


6. バックアップコードが表示されます。
[テキストファイルに保存する]をクリックし、CSVファイルをダウンロードします。セキュリティに留意してファイルを保存しておきます。


7. 2段階認証でログインするため、一度ログアウトします。右上のアイコンをクリックし、プルダウンメニューから[ログアウト]をクリックします。


8. 通常ログイン後、2段階認証の画面に遷移することを確認します。
ここでGoogle Authenticatorを再度確認し、発行された認証コードを入力して[送信]をクリックしログインします。


以上で、2段階認証の設定が完了しました。
2段階認証を無効化するには、手順5の2段階認証画面の右上の[2段階認証を無効にする]をクリックします。
なお、手順5に記載したとおり、アプリ削除、端末変更・端末故障・端末紛失などにより認証コードが発行できない場合、バックアップコードを使用しますので、必ず大切に保管しておいてください。
バックアップコードがない場合は、IDCFクラウドにログインすることができなくなります。

2. ログインIP制限を設定する 推奨度:★☆☆

ログインIP制限とは、クラウドコンソールにログイン可能な接続元のIPアドレスを制限することです。
ログインIPを制限することで、自社内からのみ、開発環境からのみアクセスさせ、他の環境から接続できないよう制御が可能になります。
2段階認証との併用も可能ですし、単独での設定もできます。

もし自宅や社外などからも頻繁にアクセスするようであれば、2段階認証のみ設定することをおすすめします。
また、オフィスなど決まった環境からしかアクセスしないのであれば、ログインIP制限のみにすれば2段階認証の手間を省くことも可能です。

ここでは、ログインIPをクラウドコンソールに現在アクセスしているIPアドレスのみ許可するように設定をします。

注意点)ログインIPは固定IPアドレスで行うようにしてください。
ご家庭向けのインターネットプロバイダやモバイル環境の場合、IPアドレスが変更されることが一般的なため、本機能を利用すると、アクセスできなくなる可能性があります。


1. クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから[アカウント設定]をクリックします。

クラウドコンソールTOPキャプチャ画像


2. 左メニューから[ログインIP制限]をクリックし、ログインIP制限画面を表示します。
ソースCIDRに「My IP」が選択されていることを確認し、[+]をクリックします。(任意でコメントを入力できます。)


3. ログインIP制限にIPアドレスが追加されたことを確認し、[ログインIP制限を有効にする]をチェックします。


4. ログインIP制限の有効化確認のポップアップ画面が表示されますので、注意内容を確認し[はい]をクリックします。


5. 「ログインIP制限が有効になりました。」というポップアップ画面が表示されますので、[OK]をクリックします。


6. ログインIP制限の画面に戻るので、[ログインIP制限を有効にする]にチェックがついていることを確認します。
※この状態で次回のログインからログインIP制限が有効となります。
ログアウトをする前に別のブラウザを立ち上げてログイン確認をします。(一定時間経過しても自動的にログアウトされるため、速やかに確認をします。)


7. 別のブラウザを立ち上げてログイン確認をします。
次のようなエラー画面が出た場合は、ログインIPの登録に問題がありますので、⑥で確認した画面にて[ログインIP制限を有効にする]のチェックを外して、ログインIP制限を無効にした上で、再度登録をしなおしてください。


以上でログインIP制限の設定は完了です。
ログインIP制限を設定すると、登録されたIP以外からはクラウドコンソールにログインできなくなりますのでご注意ください。
ログインIP設定時には、ログインIP制限設定後、ログアウトをせずに別のブラウザや別のパソコンなどからログインできることを確認することで、IP設定間違いによるログイン不可の事象を未然にふせぐことができます。

3. API IPアドレス制限を設定する 推奨度:★★☆

API IPアドレス制限とは、APIを利用できるIPアドレスを制限することです。
クラウドコンソールのセキュリティを厳重にしていても、API Keyが漏えいしてしまうと、サーバー環境が悪用されてしまいます。
また、退職した従業員が継続してAPIにアクセスできる状態も好ましくありません。
そのため、特定のIPアドレスからのみAPIのコールを許可し、他の環境から接続できないようにする制御が求められます。
APIを利用される場合は、API IPアドレス制限のご利用もあわせてご検討ください。
ここでは、API IPアドレス制限を設定し、現在アクセスしているIPアドレスのみ許可する手順を紹介します。

1. クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから[アカウント設定]をクリックします。

クラウドコンソールTOPキャプチャ画像


2. 左メニューから[API]をクリックし、API画面下部の「API IPアドレス制限」の項目を表示します。
ソースCIDRに「My IP」が選択されていることを確認し、[+]をクリックします。(任意でコメントを入力できます。)


3. API IPアドレス制限にIPアドレスが追加されたことを確認し、[API IPアドレス制限を有効にする]をチェックします。


4. API IPアドレス制限有効化確認のポップアップ画面が表示されますので、注意内容を確認し[はい]をクリックします。


5. API画面に戻るので、[API IPアドレス制限を有効にする]にチェックがついていることを確認します。


以上でAPI IPアドレス制限の設定は完了です。

4. マルチユーザーを設定する 推奨度:★★☆

マルチユーザーとは、役割毎にユーザーを作成し、許可された機能のみ利用権限を付与する機能です。
クラウドコンソールにはサーバーや請求などさまざまな情報が掲載されています。
サーバー管理者以外にも経理担当者などのメンバーがログインする可能性がある場合、誤操作や情報流出を防ぐためにも、役割に応じた権限でログインできるよう設定することが可能です。

IDCFクラウドでは契約アカウントが、自動的に「マスターユーザー」となり、「パワーユーザー」「ユーザー」「ビリングユーザー」の3種類を作成することができます。
マスターユーザは、各ユーザーを作成する際に、2段階認証を必須とすることもできます。
権限詳細についてはIDCFクラウドのマルチユーザー仕様ページをご参照ください。
ここではパワーユーザーを作成し、2段階認証必須とする手順を紹介します。

1. クラウドコンソール右上のアイコンをクリックし、プルダウンメニューから[アカウント設定]をクリックします。

クラウドコンソールTOPキャプチャ画像


2. 左メニューから[マルチユーザー]をクリックし、マルチユーザー画面を表示します。[新規追加]をクリックしてユーザー追加画面を表示します。


3. ユーザー追加画面にて、情報を入力し[作成]をクリックします。

項目 設定内容
追加ユーザーの情報を入力
追加ユーザーの情報を入力
姓(カナ) 任意で入力
名(カナ) 任意で入力
メールアドレス 追加ユーザーのメールアドレスを入力
※必ず使用できるアドレスを入力
電話番号 任意で入力
ログインID 追加ユーザーの希望ログインIDを入力
言語 デフォルトで表示する言語を選択
プロファイルタイプ 下記から選択
パワーユーザー/ユーザー/ビリングユーザー


4. ユーザー新規追加完了のポップアップ画面が表示されますので[閉じる]をクリックします。


5. マルチユーザー画面に戻るので、先ほど登録したユーザーのステータスが「無効」、メールアドレスが「未認証」になっていることを確認します。


6. 先ほど登録したパワーユーザーのメールアドレス宛てにメールが送信されますので、ユーザー登録を行っていただいてください。


7. パワーユーザーのユーザー登録が完了後、マルチユーザー画面にて当該ユーザーのステータスが「有効」、メールアドレスが「認証済」になったことを確認します。


8. パワーユーザに対して、2段階認証を必須とする設定を行います。当該ユーザーのログインID名をクリックします。
当該ユーザーのユーザー編集画面の下部の2段階認証の項目を表示します。認証ポリシー[2段階認証を必須にする]を選択して[更新]をクリックします。


9. ユーザーデータを更新するか確認のポップアップ画面が表示されるので、[はい]をクリックします。


10. ユーザー編集完了のポップアップ画面が表示されますので[閉じる]をクリックします。


11. 上記設定後、次回、パワーユーザーがログインした際には2段階認証の設定を行うメッセージが表示されます。
2段階認証の設定方法については「1. 2段階認証を設定する」をパワーユーザーにご案内ください。

以上でマルチユーザーの設定が完了しました。

全体に影響する制限(ログインIP制限など)以外はマスターユーザーでのログインは極力控え、マルチユーザー以外のユーザ権限を使用することで、より効果的にセキュリティを高めることができます。

今回はクラウドコンソールとAPIのセキュリティを高める方法として4つの方法を紹介しました。
どれか1項目だけでも効果はありますが、4項目を複合的に使用することでよりクラウドコンソールとAPIのセキュリティを高めることができます。
たとえば、ログインIP制限とAPI IP制限を設定し、2段階認証を設定したマルチユーザーを作成し、さらにユーザーを「管理者(パワーユーザー)」「作業者(ユーザー)」「請求処理作業者(ビリングユーザー)」で分けていただくと効果的です。

このページの先頭へ このページの先頭へ