Zenovayアカウントを保護することは、アナリティクスデータを守り、ユーザーとの信頼を維持するために非常に重要です。アカウントを安全に保つためのベストプラクティスをご確認ください。
重要なセキュリティチェックリスト
アカウントを保護するためにこれらの手順を完了してください:
- 強力でユニークなパスワードを使用する
- 多要素認証を有効にする
- バックアップコードを安全に保存する
- メールアドレスを確認する
- アクティブなセッションを定期的に確認する
- ログイン履歴を定期的に確認する
- 回復オプションを最新の状態に保つ
パスワードセキュリティ
強力なパスワードの作成
| プラクティス | 重要な理由 |
|---|---|
| 12文字以上 | 長いほど解読しにくい |
| 文字の種類を混在させる | 推測の組み合わせが増える |
| 個人情報を含めない | 調査されるリスクがない |
| Zenovay専用 | 他のサービスで侵害されても影響なし |
| パスワードマネージャーを使用 | 複雑なパスワードを記憶してくれる |
パスワードでやってはいけないこと
- サイト間でパスワードを使い回さない
- パスワードを誰かと共有しない
- パスワードをプレーンテキストで保存しない
- 一般的な単語やパターンを使用しない
- 個人情報を含めない
パスワードマネージャー
1Password、Bitwarden、Dashlaneなどの信頼性の高いパスワードマネージャーを使用して、強力でユニークなパスワードを生成・保存することをお勧めします。
多要素認証
MFAの優先順位
以下の優先順位でMFA方法を有効にしてください:
- セキュリティキー(WebAuthn) - 最も安全、フィッシング耐性あり
- 認証アプリ(TOTP) - 非常に安全、広くサポートされている
MFAのベストプラクティス
- 少なくとも1つのMFA方法を有効にする
- 冗長性のために複数の方法を検討する
- バックアップコードを安全な場所に保管する
- MFA設定を定期的にテストする
- MFAコードを誰とも共有しない
Zenovayはメール、電話、チャットでMFAコードを尋ねることは絶対にありません。そのようなリクエストは常にフィッシング詐欺です。
バックアップコードの管理
バックアップコードの保管
推奨:
- パスワードマネージャー(暗号化)
- 安全なストレージ上の暗号化ファイル
- 物理的な金庫やセーフティボックス
非推奨:
- コンピューター上のプレーンテキストファイル
- 自分宛のメール
- 暗号化されていないクラウドストレージ
- 付箋
バックアップコードのメンテナンス
- 常に5つ以上の未使用コードを保持する
- 残り少なくなったら再生成する
- 再生成後は保管場所を更新する
- 定期的にコードをテストする
セッションセキュリティ
非アクティブ時の自動タイムアウト
コンピューターから離れた際にアカウントを保護するため、30分間の非アクティブ状態でセッションが自動的にタイムアウトします。仕組みは以下の通りです:
| 詳細 | 説明 |
|---|---|
| タイムアウト期間 | 30分間の非アクティブ状態 |
| 警告 | タイムアウトの5分前に通知が表示される |
| タイマーをリセットするアクティビティ | クリック、スクロール、タイピング、マウス移動 |
| タイムアウト後 | ログインページにリダイレクトされる |
セッションが期限切れになった場合
警告通知
セッションが5分後に期限切れになることを知らせる通知が表示されます。ページのどこかをクリックするとログイン状態を維持できます。
ログインページへリダイレクト
アクティビティが検出されない場合、自動的にログインページにリダイレクトされます。
再ログイン
認証情報(およびMFAが有効な場合はMFAコード)を入力して新しいセッションを開始します。
元のページに戻る
ログイン後、タイムアウト前にいたページに自動的に戻ります。
ログイン状態を維持する
セッションが期限切れにならないようにするには、ページのどこかをクリック、スクロール、タイピング、またはマウスを動かすだけです。これらのアクティビティはいずれも30分のタイマーをリセットします。
サインアウト
Zenovayからサインアウトすると、すべてのZenovayサービス(アプリ、認証、ドキュメント、ヘルプなど)でサインアウト処理が実行され、どこでも完全にログアウトされます。ブラウザを閉じるだけでなく、必ず サインアウト ボタンを使用してください。
アクティブなセッションの管理
- 週に一度セッションを確認する
- 心当たりのないセッションからサインアウトする
- 定期的にすべてのセッションからサインアウトする
- 共有コンピューターでログイン状態を維持しない
ログインセキュリティ
- 信頼できるネットワークのみでログインする
- 公共のコンピューターではプライベートブラウジングを使用する
- 共有デバイスでは必ずサインアウトする
- ログイン履歴を定期的に確認する
アカウントロックアウト保護
Zenovayは不正なログイン試行からアカウントを自動的に保護します。誰かがパスワードを推測しようとすると、システムが一時的にアカウントをロックします。
ロックアウトの仕組み
連続して10回ログインに失敗すると、アカウントが一時的にロックされます。認証情報を確認できるよう、残り3回以下の試行になった時点で警告が表示されます。
段階的なロックアウト期間
ロックアウトを繰り返すと、待機時間が段階的に長くなります:
| ロックアウト | 期間 |
|---|---|
| 1回目のロックアウト | 5分 |
| 2回目のロックアウト | 15分 |
| 3回目のロックアウト | 30分 |
| 4回目以降 | 60分 |
アカウントロックアウトはサーバーサイドで適用されます。ブラウザのクッキーをクリアしたり、別のブラウザに切り替えたりしてもロックアウトを回避することはできません。これにより、自動化された攻撃に対してもアカウントが保護されます。
ネットワークレベルのレート制限
アカウントロックアウトに加えて、Zenovayはネットワークレベルのレート制限を使用して自動化された攻撃を遮断します。同一ネットワークからの急速なログイン試行は、アカウントに到達する前に遅延または遮断されます。
アカウントのロック解除
アカウントがロックされた場合、3つの選択肢があります:
- ロックアウト期間が終わるまで待機し、再試行する
- 「パスワードをお忘れですか」リンクを使用してパスワードをリセットする(アカウントが即座にロック解除されます)
- アクセスを回復できない場合は [email protected] でサポートに連絡する
ロックアウトを避ける
パスワードを思い出せない場合は、試行回数が尽きる前にパスワードリセットを使用してください。今後このような状況を避けるためにパスワードマネージャーの使用をご検討ください。
脅威の認識
フィッシング攻撃
注意すべき危険信号:
- パスワードやMFAコードを要求するメール
- パニックを引き起こす緊急メッセージ
- 偽のログインページへのリンク
- 通常とは異なるチャンネルからの「Zenovayサポート」からのリクエスト
正当性の確認
- メールの送信者アドレスを注意深く確認する
- クリックする前にリンクにマウスオーバーする
- 直接app.zenovay.comにアクセスする(リンクをクリックしない)
- 不明な場合は公式チャンネルを通じてサポートに連絡する
Zenovayが絶対にしないこと
- パスワードを尋ねる
- メール/電話でMFAコードをリクエストする
- 即時のアカウント削除で脅す
- リモートアクセスソフトウェアのインストールを求める
チームセキュリティ
チームオーナー向け
- チームメンバーを定期的に監査する
- 非アクティブなメンバーをすぐに削除する
- ロールベースのアクセス制御を使用する
- すべてのチームメンバーにMFAを要求する(エンタープライズ)
- チームアクティビティログを監視する
チームメンバー向け
- 自分のアカウントを使用する(共有しない)
- 不審なアクティビティを管理者に報告する
- 組織のセキュリティポリシーに従う
- 認証情報を機密に保つ
APIセキュリティ
APIキーのベストプラクティス
- クライアントサイドのコードにAPIキーを埋め込まない
- APIキーを定期的にローテーションする
- 異なる統合には別々のキーを使用する
- 未使用のキーはすぐに無効化する
- APIの使用状況を異常がないか監視する
安全なAPI使用
- 常にHTTPSを使用する
- APIキーをログに記録しない
- キーを環境変数に保存する
- 可能な場合はキー管理サービスを使用する
デバイスセキュリティ
デバイスの保護
- オペレーティングシステムを最新の状態に保つ
- ウイルス対策/マルウェア対策ソフトウェアを使用する
- デバイスの暗号化を有効にする
- 画面ロック(PIN、生体認証)を使用する
- 「デバイスを探す」機能を有効にする
ブラウザセキュリティ
- ブラウザを最新の状態に保つ
- 信頼性の高いブラウザを使用する
- 拡張機能には注意する
- 共有コンピューターではクッキーをクリアする
- 適切な場合はプライベートブラウジングを使用する
ネットワークセキュリティ
安全なブラウジング
- 機密性の高いアクセスには公共のWiFiを避ける
- 信頼できないネットワークではVPNを使用する
- HTTPSを確認する(錠前アイコンを確認)
- ブラウザのセキュリティ警告を無視しない
企業ネットワーク
- IT部門のポリシーに従う
- 会社が承認したVPNを使用する
- セキュリティインシデントを速やかに報告する
アカウントの監視
定期的なセキュリティチェック
| チェック内容 | 頻度 |
|---|---|
| アクティブなセッション | 週に一度 |
| ログイン履歴 | 週に一度 |
| MFA設定 | 月に一度 |
| バックアップコード数 | 月に一度 |
| チームメンバー(オーナーの場合) | 月に一度 |
| APIキー | 四半期に一度 |
不審なアクティビティの監視
ログイン履歴とアクティブなセッションを定期的に確認し、心当たりのないものについては対処してください:
- 新しいデバイスまたは場所からのログイン
- 予期しないログイン試行の失敗
- あなたが行わなかったパスワードまたはMFAの変更
何か疑わしい場合は、すぐにパスワードを変更し、他のセッションからサインアウトしてください。Zenovayがアカウントを保護する方法については、ログインセキュリティと失敗したログイン保護を参照してください。
セキュリティインシデントへの対応
侵害が疑われる場合
パスワードを変更する
すぐにパスワードをリセットします。
すべてのセッションからサインアウト
すべてのアクティブなセッションを終了します。
MFAをリセット
MFAを無効にして新しい設定で再度有効にします。
バックアップコードを再生成
新しいバックアップコードを作成します。
アカウントアクティビティを確認
不正な変更がないかチェックします。
APIキーを無効化
すべてのAPIキーを再生成します。
サポートに連絡
調査のためにインシデントを報告します。
エンタープライズとScale向けのセキュリティ機能
Enterprise プラン上位プランの追加セキュリティ機能:
- SSO/SAML連携:チーム向けの集中型シングルサインオン(Scale および Enterprise)
- 監査ログ:ワークスペースで行われた変更の詳細なアクティビティログ(Scale および Enterprise での高度な監査ログ)
インフラストラクチャの認証
Zenovay自体はSOC 2またはISO 27001の認証を受けていません。Zenovayは認証を受けているインフラストラクチャプロバイダーの上に構築されています:Cloudflare(SOC 2 Type II、ISO 27001、ISO 27018)とSupabase(SOC 2 Type II)。支払いはStripe(PCI DSS Level 1)で処理されるため、Zenovayは生のカードデータに直接アクセスしません。
セキュリティ問題の報告
セキュリティの脆弱性を発見した場合:
- メール:[email protected]
- 件名:「Security Report - [簡単な説明]」
- 報告に対して48時間以内に対応します
- 責任ある開示に感謝します
まとめ
| カテゴリ | 主なアクション |
|---|---|
| パスワード | ユニークで強力、マネージャーを使用 |
| MFA | 有効にする、セキュリティキー/TOTPを優先 |
| バックアップ | コードを安全に保管 |
| セッション | 30分の非アクティブタイムアウト、週に確認、未使用はサインアウト |
| ロックアウト | 10回失敗でロック、段階的な期間 |
| アクティビティ | ログイン履歴とアクティブなセッションを定期的に確認 |
| 警戒 | フィッシングの兆候を知り、リクエストを確認する |