セキュリティオプションの設定

マネージャが「Users」->「Setup」->「Security」を選択して、セキュリティオプションを設定できます。高度なセキュリティオプションを設定して、権限を持たないユーザがサービスにアクセスできないようにします。変更後は必ず「Save」をクリックしてください。

アクセスを制限する方法

IP アドレスによってアクセスを制限できます。「Allow connections from the following IPs only」オプションを選択し、サブスクリプションへの接続が許可される IP アドレスを入力します。入力する IP の数に制限はありません。有効なアカウントを持つユーザが、許可された IP からのみサービスに接続できるようになります。

ヒント - 許可された IP のリストには、必ず自分自身の IP を追加してください。そうしないと、サービスに再ログインできなくなります。利便性のために、自分の IP が画面に表示されます。

パスワードのセキュリティについて

サブスクリプション内のすべてのユーザに適用するパスワードのセキュリティ設定を選択します。

「Users」->「Setup」->「Security」を選択し、「Password Security」項まで下にスクロールします。ここで、ユーザがパスワードを変更しなければならない頻度を定義できます。有効期間の開始日は、パスワードが最後に変更された日、または最初に作成された日です。この機能を有効にした日からではありません。例えば、この機能を有効にして、パスワードの期限を 1 か月後に設定したが、パスワードを最後に変更したのが 1 か月以上前であった場合、パスワードは期限切れとなり、変更しなければなりません。

パスワードの期限が切れる前にユーザに通知する場合は、UI または E メールでユーザに通知できます。ユーザへの通知時期と E メール通知の送信頻度を選択します。

ユーザのログイン時に変更を求める場合は、オプションの「Allow users to change expired passwords at login」と「Allow user defined passwords」を選択します。

パスワードの期限を設定しない場合は、「Password expires after N months」チェックボックスをオフにします。パスワードセキュリティの設定はグローバル設定であるため、サブスクリプション内のすべてのユーザアカウントに適用されます。

これを選択すると、ユーザは、パスワードセキュリティのガイドラインに従ってパスワードを定義する必要があります。次の点に注意してください。

- マネージャが設定をこれ以上の値に変更している場合を除いて、パスワードの最低文字数は 8 文字です。

- パスワードのガイドラインは、安全な PDF レポートのパスワードにも適用されます

- ユーザ定義のパスワードは Express Lite サブスクリプションでは自動的に有効になっています。

複数のパスワードオプションが表示されます。使用したいオプションを選択します。次のようなオプションがあります。

- Password must contain at least one lowercase letter.

- Password must contain at least one uppercase letter.

- Password must contain at least one numeric character.

- Password must contain at least one special character.

- Password must not contain 3 identical characters in a row.例えば、パスワードに、aaa、bbb、222 といった文字を含めることはできません。

- Password must not contain 3 or more sequential alpha, numeric characters in a row (ascending or descending order).例えば、パスワードに、abc、cba、xyz、zyx、012、123、321、210 といった文字を含めることはできません。

- Password must not contain User's first name or last name.例えば、John Doe という名前のユーザは、ユーザ名が含まれる 88johnab3!e、doe!6209ad# といったパスワードを指定できません。

VeriSign Identity Protection（VIP）

このオプションは、VeriSign Identity Protection（VIP）の 2 要素認証を使用してログインすることをすべてのユーザに求める場合に選択します。これが選択されている場合、ユーザインタフェースにログインするときに、ログイン名とパスワードに加えて VIP 資格情報 ID とワンタイムセキュリティコードの入力がすべてのユーザについて毎回必要になります。詳細

外部 ID について

サブスクリプションの一次連絡先のマネージャは、ユーザのアカウント設定に外部 ID を追加できます。一次連絡先となるマネージャには、他のマネージャ、ユニットマネージャ、およびユーザ管理者がユーザの外部 ID を編集できるようにするオプションがあります。編集ができるようにするには、1）外部 ID のセキュリティ設定で「Allow other users to manage external IDs」を選択してから、2）各マネージャのアカウントでこのパーミッションを付与する設定を行います。

パーミッションを付与されていたすべてのユーザからこのパーミッションが直ちに削除され、新規のユーザへの割り当てができなくなります。一次連絡先のマネージャは、このオプションをいつでもオンにすることができるため、以前に付与されていたユーザに対してこのパーミッションを再び付与することができます。

新しいデータセキュリティモデル

スケジュールレポート、アセットタグ付けなどの新しい機能を提供するため、Qualys では新しい強力なデータセキュリティモデルへのお客様の移行を進めています。各機能の横に表示される緑色のチェックマークは、サブスクリプションでその機能が使用可能であることを示しています。新しいデータセキュリティモデルを承認すると、アプリケーションでこのアクションを取り消すことはできなくなります。このオプションを無効にする場合は、サポートにお問合せください。詳細

Express Lite ユーザの場合、サブスクリプションで新しいデータセキュリティモデルが有効になっています。

セッションタイムアウトを設定する方法

自動的にタイムアウトになる前に、ユーザのセッションを非アクティブにすることのできる時間の長さを定義します。すべてのユーザに適用するグローバル設定を行うか、ユーザロールに基づいてこの設定をカスタマイズできます。この設定はすべての新しいユーザセッションに適用されます。このオプションを有効化できるのはマネージャのみです。セッションタイムアウトのグローバル設定とカスタマイズ設定の両方の場合に、10 ～ 240 分の範囲を選択します。デフォルトの設定である 60 分がベストプラクティスであると考えられています。

例えばユーザが日常業務を行っている間やミーティングに出席している間、休憩している間にアプリケーションの作業ができなくならないように、この設定値を増やした方が望ましい場合もあります。このような状況に対処するため、マネージャはセッションのタイムアウトを最大 240 分まで増やすことができます。セッションのタイムアウトを増やすことに伴うセキュリティリスクの増大を緩和するには、オペレーティングシステムレベルのスクリーンセーバが、社内のセキュリティポリシーに合った妥当な時間が経過した後にタイムアウトするように設定します。

この設定を変更した場合、この変更を有効にするには、再びログインする必要があります。

制限ユーザのタイムアウト時間を短くするために、異なるセッションタイムアウトを設定することができます。例えば、ほとんどのユーザのタイムアウト時間を 15 分に設定する一方で、タスクの実行時間が長いために長いログイン時間が必要なユーザに対してはこれより長いセッションタイムアウトを設定することができます。

セキュリティオプションを設定できるユーザ	外部 ID について
アクセスを制限する方法	新しいデータセキュリティモデル
パスワードのセキュリティについて	セッションタイムアウトを設定する方法
VeriSign Identity Protection（VIP）