アカウントセキュリティのためのベストプラクティス
リスクから身を守るために、アカウントに固有パスワードを生成し、危険にさらされたアカウントを保護し、ブロックされた資格情報をリセットする方法について確認します。
目次
パスワードボールトで固有パスワードを生成する
多くの人が複数のアカウントで同じパスワードを使用しています。同じユーザー名やメールアドレスと組み合わせている場合も少なくありません。固有パスワードがなければ、ユーザー名とパスワードの組み合わせの漏洩により、攻撃者がこれらの資格情報を使用する別のアカウントにアクセスする可能性があります。
パスワード管理ソフトウェアの使用は、パスワードの生成と管理に最適です。パスワードボールトを使用する場合、覚えておく必要があるのはボールトのマスターキーだけです。他のパスワードは、文字、数字、記号を混ぜ合わせて自動生成されます。
ログイン資格情報を共有しない
ログイン資格情報 (ユーザー名やパスワード) は、デジタルの世界におけるあなたの個人識別情報であり、内密に保持すべきものです。この情報を共有すると、アカウントの安全性が脅かされます。ログイン資格情報を、同僚、家族、スタッフメンバーを含む誰とも共有しないようにしてください。
スタッフメンバーがあなたのアカウントにアクセスできるようにするのではなく、スタッフメンバーをストアに追加します。スタッフメンバーは固有の資格情報を作成し、自分のアカウントにログインできます。
Shopify サポートがあなたのShopifyパスワードを尋ねることはありません。
一般的な攻撃方法を識別する方法
フィッシング、ビッシング、スミッシングを識別し、アカウントや個人識別情報が危険にさらされたときに取るべき手順を説明します。
2段階認証を有効にする
Shopifyアカウントの2段階認証を有効にして、パスワードを入手した人物が被害をもたらす可能性を低減できます。スタッフも、自身のアカウントに2段階認証を設定する必要があります。
2段階認証 (2SA) は、アカウントにおけるセキュリティの追加措置となるため、オンラインセキュリティにおいて重要です。パスワードが共有、推測、漏洩、またはフィッシングされた場合、パスワードだけでは、攻撃者があなたのアカウントにアクセスするのを阻止することはできません。2段階認証を有効にすると、ユーザーはパスワードを知っているだけでなく、あなたが管理画面にログインするために使用する実際のデバイス (モバイルデバイスやセキュリティキーなど) にアクセスする必要があります。
Shopify ペイメントなどの決済ゲートウェイサービスを有効にすると、Shopifyは、その決済ゲートウェイサービスを使用するために2段階認証を設定するよう要求します。2段階認証を無効にすることにした場合、アカウントと財務情報が犯罪者からの攻撃の危険にさらされることになります。
できるだけ他のアカウントにも2段階認証を使用してください。2段階認証をサポートする主なサービスは次のとおりです。
パスキーを使用する
パスキーは、パスワードに代わるより安全な方法です。この方法によって、パスワードを入力せずにアカウントにログインできますが、パスキーの使用はパスワードの使用よりも安全で効率的です。パスキーを使用することにより、パスワードを忘れてリセットしたり、間違ったパスワードを入力してアカウントからロックアウトされたりすることを防げます。
パスキーを使用すると、フィッシング詐欺やパスワード盗難を防止するのに役立ちます。
指紋、顔認証、デバイスのPINなど、デバイスのロック解除に使用している認証方法を利用して、パスキーを追加できます。
Shopifyストアでパスキーを設定する方法について、詳しくはこちらをご覧ください。
リカバリーコードをダウンロードして、安全な場所に保管する
2段階認証の設定における最終段階として、リカバリーコードをダウンロードして保存します。デバイスにアクセスできない場合、または有効にした2段階認証方法を使用してログインできない場合、リカバリーコードを使用してログインできます。リカバリーコードをどこからでもアクセスできる安全で機密性の高い場所に保管してください。
リカバリーコードについて詳しくはこちらをご覧ください。
危険にさらされたアカウントを保護する
アカウントが危険にさらされた場合は、すぐにあなたのデータと財務を保護するための手順を実行してください。
手順:
- Shopifyへのログインに使用するメールアカウントにログインし、パスワードを変更します。
- Shopifyにログインし、Shopifyユーザーアカウントのパスワードを変更します。ログインできない場合は、パスワードをリセットしてください。パスワード再設定メールが届かない場合は、Shopify サポートにお問い合わせください。
-
次のいずれかの操作を行います。
- ログイン時のセキュリティを強化するために2段階認証を有効にします。
- 2段階認証がすでに有効で、攻撃者がそれを突破した場合 (デバイスを盗んだり、デバイスから認証方法を削除したりした場合など)、そのデバイスの認証方法を削除し、別のデバイスに2段階認証を再度設定する必要があります。
Shopifyユーザーアカウントの不審なログインアクティビティを確認します。
Shopify ペイメントの銀行情報を確認し、必要に応じて更新します。
PayPalや設定した他の決済サービスの銀行情報を確認し、更新します。
Shopify CapitalキャッシュアドバンスまたはShopify Capitalローンが正しく、承認されていることを確認します。
-
次の一般アカウント設定に目を通し、他の情報すべてが正しいことを確認します。
- スタッフまたはコラボレーターのアカウントと彼らの権限を確認、更新し、特に機密性の高い権限を持つスタッフには、必要な領域のみへのアクセス権が付与されていることを確認します。
- ストアのアクティビティログで心当たりのない変更を確認します。
- 次のストア設定の情報がすべて正しく、予想どおりであることを確認します。[一般] 設定の [ストア詳細]、[チェックアウト]、[配送と配送]、[ドメイン]、[通知]。
- [コンテンツ] > [ファイル] の順に移動して、心当たりのないファイルが追加されていないことを確認します。
- 管理画面の [マーケティング] セクションで、すべてのマーケティングキャンペーンが許可を得て作成されていることを確認します。マーケティングについて詳しくはこちらをご覧ください。
- 管理画面設定の [アプリと販売チャネル] で、承認済みのアプリがインストールされていることを確認します。[カスタムアプリ] セクションで、すべてのアプリが認識されることを確認します。カスタムアプリについて詳しくはこちらをご覧ください。
- [ディスカウント] の情報がすべて正しいことを確認します。
不審な注文や下書き注文など、注文内容が正しいことをお客様に確認し、チャージバックを防ぐため必要に応じて注文のキャンセルまたは返金を行います。詳しくは、「チャージバックや問い合わせ」、「不正注文防止」をご覧ください。
政府のガイドラインに従って、個人識別情報と機密情報を保護してください。
メールアカウントとデバイスを保護する
脆弱性を最小限に抑えるために、すべてのデバイス、ブラウザ、アプリが最新のものであることを確認してください。
メールアカウントがセキュリティで保護されていることを確認してください。
手順:
- メールアカウントのパスワードを強力かつユニークなものに変更します。
- メールプロバイダーが提供する追加のセキュリティ機能 (2段階認証など) を有効にします。
- Shopify メールをゴミ箱やスパムフォルダーにルート変更する可能性のあるメールフィルターを確認および削除して、メインの受信ボックスに確実に送信されるようにします。
- フィルタリングの問題を回避するには、設定を調整してShopify メールを信頼できるメールとしてマークします。
ブロックされた資格情報をリセットする
多くの人が複数のアカウントで同じパスワードを使用し、同じユーザー名またはメールアドレスと組み合わせているため、ユーザー名とパスワードの組み合わせが漏洩すると、攻撃者は同じ資格情報を使用する他のアカウントにアクセスする可能性があります。
このような事態におけるリスクを軽減するため、Shopifyは公開されているデータ漏洩の情報を入手して分析します。こうした漏洩のいずれかであなたの資格情報が見つかった場合は、アカウントがロックされます。ログインしようとすると、危険にさらされていないパスワードにパスワードをリセットするまで、エラーメッセージが表示されます。
また、2段階認証とパスワード管理ソフトウェアを使用して、すべてのアカウントをできるだけ安全にする必要があります。
疑わしいログインアクティビティ
Shopifyアカウントログインへの攻撃を阻止するために、Shopifyのセキュリティシステムは、異常なアクティビティが検出されたときにアカウントへのアクセスをロックします。このような場合は、ログインプロセスの一環として、自分の身元を確認する必要があります。
10桁のコードがアカウントのメールアドレスに送信されます。このコードを入力して本人確認とログインを行います。
手順:
- 身元を確認するページで、メールに送信されたコードを入力して [ログイン] をクリックします。
- 身元が正常に確認されたら、以前の疑わしいログイン情報について、[はい、これは私です]、[いいえ、これは私ではありません] をクリックして、そのログインを自分が行ったかどうかを示します。
- [いいえ、これは私ではありません] をクリックした場合、アカウントの安全性を保つため、アカウントにログインする前にパスワードのリセットが必要です。
非アクティブなアカウントにログインする
アカウントに3か月間以上ログインしていない場合は、ログインプロセスの一環として、本人確認を行う必要があります。
10桁のコードがアカウントのメールアドレスに送信されます。このコードを入力して本人確認とログインを行います。
手順:
- ログインページで、メールアドレスに送信されたコードを入力します。
- [ログイン] をクリックします。
認識されないデバイスでのログイン
Shopifyでログインに使用されたデバイスを認識しない場合、「新しいデバイスでShopifyアカウントにログインしました」という件名のメールがShopifyから届きます。
アカウントを安全に保護するには、新しいデバイスの認識に問題がないか確認する必要があります。
表示されたデバイスに見覚えがない場合、アカウントが危険にさらされている可能性があります。以下の手順に従ってアカウントを保護してください。
手順:
- メールを開き、[アクティビティを確認する] をクリックします。
- デバイスとログインの詳細を確認します。
- 以下のいずれかの操作を行います。
- デバイスに見覚えがある場合は、[はい、私です] をクリックします。
- デバイスに見覚えがない場合は、[いいえ、アカウントを保護します] をクリックし、指示に従ってアカウントを保護します。
パスワードを変更する必要がある場合は、認証用のセキュリティコードが別のメールで送信されます。