パスワード漏洩検知機能とは?
企業ID内の各メンバーが登録しているパスワード認証・Basic認証アプリの
クレデンシャルをスキャンし、ダークウェブに流出したパスワードを検知する機能です。
スキャン結果は管理者に対して可視化・通知され、メンバーには任意で可視化することもできます。
漏洩検知の仕組み
- 第三者が提供するデータベース(Have I Been Pwned)上に登録されている
「過去漏洩したことがあるパスワードのリスト」と、
トラスト・ログイン上に保存されているパスワードを照合することで漏洩検知を行います。
(外部サイト)Have I Been Pwned:https://haveibeenpwned.com/
- パスワード情報はハッシュ化したうえで一部のみを外部APIに送信、
照合はトラスト・ログイン上で行うため、安全に漏洩チェックを行えます。
事前確認
- ご利用には個別のオプション契約が必要です。 料金はこちら
- オプションの対象は企業ID全体です。
特定のメンバーやグループのみに対して有効にすることはできません。
- 本機能の設定およびスキャン結果のメール受信のためには
管理者権限のうち「セキュリティ/設定の変更」権限が必要です。
スキャン結果の分類と意味
管理画面で確認できる/メールで通知されるパスワードスキャン結果の詳細は以下の通りです。
※定時スキャンは毎日0時に実行されます。
| 項目 | 説明 |
| 漏洩検出 |
スキャン済み、パスワード漏洩が検出されたアプリ →パスワード変更の対応が必要です。 |
| 問題未検出 | スキャン済み、パスワード漏洩は検出されなかったアプリ |
| スキャン前 | 定時スキャン前のアプリ |
| スキャン対象外 |
以下いずれかのアプリ: ・SAMLアプリ ・共有アプリ ・ブックマークアプリ ・「パスワードスキャンの対象から除外する」がONのアプリ |
スキャン結果の確認方法
スキャン結果は、以下4通りの方法で確認できます。
1.ダッシュボードで確認する
2.設定画面で確認する
3.メールで確認する
4.CSVで出力する
1.ダッシュボードで確認する
パスワード漏洩検知オプションが有効になると、ダッシュボードに以下のエリアが追加され
スキャン結果の集計を確認できます。
スキャン結果各項目についての説明はこちらをご確認ください。
また、「詳細」ボタンから設定画面に移動できます。
2.設定画面で確認する
「セキュリティ>パスワード漏洩検知>設定」から設定画面を確認できます。
画面は以下の構成になっています。
①スキャン結果集計
ダッシュボードで確認できる情報と同様です。
スキャン結果各項目についての説明はこちらをご確認ください。
②メンバー詳細
企業ID内のすべてのメンバーが表示され、
それぞれが登録しているアプリのスキャン結果を確認できます。
「漏洩検出」されたアプリがある場合、数字をクリックすることでアプリの詳細を確認できます。
確認手順:
- メンバー詳細>漏洩検出 列の数字をクリックします。
- 漏洩が検出されたアプリの一覧から、詳細を確認できます。
※アプリの詳細は以下の通りです。
項目 説明 アプリID ・対象が企業アプリの場合は識別用IDが表示されます。
・企業アプリでない(メンバーが直接登録したアプリの)場合は
「-」が表示されます。企業アプリ名 ・対象が企業アプリの場合はアプリ名が表示されます。
・企業アプリでない(メンバーが直接登録したアプリの)場合は
「-」が表示されます。アカウントID ・メンバーマイページ上でのアプリ識別用のIDです。 アカウント名 ・メンバーマイページ上でのアプリ表示名です。 検知種別 ・「PW(パスワード)漏洩検知」が表示されます。 設定種別 ・自身で設定:メンバーが自身で設定したパスワード ・代理設定 :管理者が代理設定したパスワード
3.メールで確認する
毎日1回の定時スキャン完了後、結果がメールで送信されます。
送信先は「セキュリティ/設定の変更」権限がONの管理者ユーザーです。
※スキャン設定 で 「停止」 を選択している場合、メールの送信は行われません。
送信されるメール一覧:
4.CSVで出力する
設定画面上、「リスク検知一覧のダウンロード」ボタンから、
以下の手順でスキャン結果のCSVファイルをダウンロードできます。
ダウンロード手順:
- 「リスク検知一覧のダウンロード」ボタンをクリックします。
- 「生成開始」ボタンをクリックします。
- ポップアップが表示され、CSVファイルの生成が開始されます。
- CSVファイルの生成が完了すると、
「リスク検知一覧 準備完了のお知らせ」というメールが送信されます。
画面上、「ダウンロード」ボタンからCSVファイルがダウンロード可能となります。
- アプリのスキャン結果をCSV形式で確認できます。
※CSVファイルの項目は以下の通りです。
項目 説明 企業アプリ名 企業アプリの名前 アプリID 企業アプリの識別用ID アカウント名 メンバーマイページ上でのアプリ表示名 アカウントID メンバーマイページ上でのアプリ識別用ID メンバー名 アプリを登録しているメンバー名 メンバーメールアドレス アプリを登録しているメンバーのメールアドレス 企業名 アプリを登録しているメンバーの企業名 部署名 アプリを登録しているメンバーの部署名 漏洩 漏洩判定。漏洩が検知された場合、「〇」が表記されます。
→パスワード変更の対応が必要です。設定種別 自身で設定:メンバーが自身で設定したパスワード 代理設定 :管理者が代理設定したパスワード
設定をカスタマイズする
パスワード漏洩検知オプションの設定
パスワードスキャンのタイミングや、漏洩が検知されたメンバーへの通知有無を設定できます。
設定手順:
- パスワード漏洩検知オプションの設定ページを開き、右上の「編集ボタン」を押下します。
- 各メニューから任意の項目を選択します。
①スキャン設定
パスワードスキャンのタイミングを以下の3通りから設定できます。
項目 説明 定時実行 ・1日に1度、保存済みパスワード全体を対象にパスワードスキャンを行います。 定時 + 即時実行 ・1日に1度、保存済みパスワード全体を対象にパスワードスキャンを行います。
・パスワードの保存(登録)時にもスキャンを行います。
※こちらを選択した場合、スキャンの影響により
パスワード保存時に通常より時間がかかる場合があります。停止 ・パスワードスキャンを停止します。
・スキャンの停止中も、画面上の
「スキャン前」「スキャン対象外」のカウントは更新されます。
②マイページに「要変更:高リスクパスワード」タグを表示する
トグルのON/OFFにより以下の設定が行えます。
項目 説明
ON 漏洩が検知されたメンバーのマイページ上に
「要変更:高リスクパスワード」のタグが表示されます。(新UIのみ対象)
▼表示例OFF メンバーのマイページ上に「要変更:高リスクパスワード」のタグは表示されません。
漏洩が検知された場合の確認は管理者側でのみ行えます。
- 設定を「保存」します。
特定のアプリをスキャン対象外にする
パスワード認証およびBasic認証の企業アプリを対象に、
個別に「パスワードスキャンの対象から除外する」ことができます。
トグルのON/OFFにより以下の設定が行えます。
| 項目 |
説明 |
| ON |
対象アプリはスキャンの対象外になります。 |
| OFF |
※デフォルト値 対象アプリはパスワードスキャンの対象になります。 |
設定手順:
- 管理画面上「アプリ」から対象のアプリを検索します。
- 「編集」ボタンから「パスワードスキャンの対象から除外する」のトグルをONにし、
設定を「保存」します。
FAQ
Q1.企業アプリとは何ですか?
A1.企業アプリは、管理者が管理ページ上で登録したアプリを指します。
参考:企業アプリを登録する
Q2.トラスト・ログインへのログインパスワードはスキャン対象ですか?
A2.いいえ。本機能では、トラスト・ログイン上で登録しているアプリのパスワードをスキャン対象としています。