セキュリティポリシー
Pega Platformのセキュリティポリシー
アプリケーションへの不正アクセスを制限するには、「Authentication」ランディングページの「Security Policies」タブで設定します。 Dev Studioで メニューを開き、「Org & Security」>「Authentication」>「Security Policies」を選択して、Pega Platform™のサーバー全体のセキュリティポリシーを表示して更新します。
注: 「Authentication」ランディングページの設定は、特定の認証サービスの設定によって上書きされることがあります。
設定を更新したら、ページ下部の
をクリックして、更新内容を記録します。 セキュリティポリシーに対する変更は、フォームを送信するとすぐに有効になります。補足: 適切なセキュリティポリシーを適用することは、アプリケーションを保護するための1つの方法に過ぎません。 セキュリティに関する最先端のプラクティスの完全なリストについては、「Security Checklist awareness」モジュールおよびPega Platformデプロイメントのためのセキュリティチェックリストを参照してください。
よく必要とされるポリシー
「Security Policies」タブの セクションでは、パスワードの強さ、不正な推測の制限、ログイン試行のログレベルに関するポリシーを設定できます。 のセクションは4つの部分に分かれています。
- 「Password policies」では、ユーザーパスワードの強さを制御します。
- 「CAPTCHA policies」では、パスワードが人間によって入力されたかどうかを検査します。
- 「Lockout policies」では、ユーザーが間違ったパスワードを入力した場合のシステムの動作を定義します。
- 「Audit policy」では、セキュリティの問題に関してシステムログに書き込む情報量を決めます。
その他のポリシー
「Security Policies」タブの セクションの設定を使用して、多要素認証を実装したり、使われていないユーザーアカウントのアクセス権を無効にしたりできます。
ヒント: 有効な最小値と最大値をはじめ、各タイプのポリシーの詳細な説明については、ヘルプトピック「Security policies settings」を参照してください。
パスワードポリシー
「Password policies」セクションを使用して、パスワードの強さ、複雑さ、予測のしやすさに関する要件をカスタマイズします。
注: 長さや複雑さは、このセクションのポリシーによって十分に管理できますが、予測のしやすさはユーザーの良識的判断によるところがあります。
次の図で「+」アイコンをクリックすると、使用可能な設定の詳細が表示されます。
CAPTCHAポリシーおよびロックアウトポリシー
ブルートフォース攻撃を防止または遅延するには、ログインの失敗回数を制限します。 たとえば、3回続けて失敗すると、それ以降のログイン操作を15分間ブロックできます。 不正な推測でのログイン回数が多すぎるユーザーは、CAPTCHAとロックアウトの2つの方法で制限できます。
CAPTCHAポリシー
CAPTCHAは、ユーザーが人間かどうかを見分けるためのチャレンジレスポンステストです。 通常、CAPTCHAでは、1つまたは複数の画像を提示して、ユーザーに指定の情報を識別するように求めます。 たとえば、CAPTCHAを使用して、テキストフィールドに入力する必要がある一連の文字と数字の画像をユーザーに提示できます。 文字の画像を引き伸ばしたり、ゆがめたりする自動文字認識技術によって文字を読みにくくできます。 次の図は、CAPTCHAを使ったPega Platformのログイン画面を表示しています。
「CAPTCHA policies」セクションを使用してCAPTCHAを有効にすると、ログイン時にチャレンジが実行されます。 有効にすると、以下のことができます。
- デフォルト実装とカスタム実装のどちらかを選択する。
- 初回のログイン時にCAPTCHAの使用を有効にする。
- ログイン失敗後にユーザーにCAPTCHAを提示するかどうかを設定する。
ロックアウトポリシー
ロックアウトは、ログインの失敗が所定の回数に達した場合は待機時間を設け、その時間が経過するまでログインできないようにします。 ロックアウトによってブルートフォース攻撃を遅延または防止できます。
「Lockout policies」セクションでは、ユーザーがログインに何回失敗した後にロックアウトするか、またどのくらいの時間待機しなければならないかをカスタマイズします。 表示されるオプションは、ロックアウトポリシーを有効と無効のどちらに設定したかによって異なります。 ロックアウトペナルティを有効にすると、以下のことができます。
- ログインの失敗回数のしきい値を設定する。
- 初期ロックアウトペナルティ期間(秒)を設定する。 ログインの失敗回数が多くなるにつれて、自動的にペナルティ期間が長くなります。
- ログインの失敗ログを保持する時間(分)を設定する。
ロックアウトポリシーを無効にすると、以下のことができます。
- アカウントをロックするまで繰り返せるログインの失敗回数の上限を設定する。
- アカウントをロックする時間(分)を設定する。
次の図の中央にある垂直線をスライドすると、ロックアウトポリシーの有効化と無効化の違いを比較できます。
監査ポリシー
「Audit policy」セクションでは、ログイン操作について取得する情報の詳細レベルをカスタマイズします。 ログインの失敗のみを記録するには、ログレベルを「Basic」に設定します。 ログインの成功と失敗の両方を記録するには、ログレベルを「Advanced」に設定します。
多要素認証ポリシー
パスワードは、ユーザーを認証する1つの方法です。 セキュリティを強化するには、「multi-factor authentication」を有効にしてユーザーを認証します。 多要素認証では、ユーザーは、本人であることを証明するため複数の要素(つまり、複数の証拠)を提示して、アクセス権を取得します。
- Knowledge: ユーザー本人だけが知っていること(パスワードなど)
補足:
トレーニングを実施中に問題が発生した場合は、Pega Academy Support FAQsをご確認ください。