メインコンテンツへスキップ
GDPR 第32条に従い、リスクに応じた適切な水準のセキュリティを確保するために、適切なセキュリティ対策を実装する必要があります。これには、以下が含まれます (ただし、これらに限定されません) 。
  • 個人データの暗号化
  • 処理システムおよびサービスの継続的な機密性、完全性、可用性、ならびにレジリエンスを確保できること
  • 物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスを適時に復旧できること
これに役立つ Auth0 の機能として、ユーザープロファイルの暗号化、、ステップアップ認証などがあります。
これらのドキュメントの内容は法的助言を目的としたものではなく、法的支援に代わるものでもありません。GDPR を理解し、遵守する最終的な責任はお客様にありますが、Auth0 は可能な限り GDPR 要件への対応を支援します。

ユーザープロファイル情報を暗号化する

ユーザー情報は、ユーザープロファイルに保存する前に暗号化できます。metadata フィールドに保存する前であれば、任意の暗号化方式を使用できます。ユーザーが機密情報を設定する際は、Update a User エンドポイントを呼び出してください。

ブルートフォース保護を有効にする

悪意のあるアクセス試行からアプリケーションを保護するため、Auth0 のブルートフォース保護はデフォルトで有効になっています。 この保護機能には、2 種類のトリガーがあります。
  • 同じユーザーが同じ IP アドレスからログインに 10 回連続で失敗した場合
  • 同じ IP アドレスから 24 時間以内にログイン失敗が 100 回発生した場合、または 1 分間にサインアップ試行が 50 回発生した場合
たとえば、user_id1 のユーザーが IP1 からサインインし、ログインに 10 回連続で失敗すると、その IP1 からのそのユーザーのログイン試行はブロックされます。一方、別のユーザー user_id2IP1 からサインインしても、ブロックされません。 Auth0 が同じ IP アドレスから同一アカウントへのログイン失敗を 10 回検出するたびに、次の処理が実行されます。
  • ユーザーに通知メールを送信します。
  • そのユーザーに対して、不審な IP アドレスをブロックします。
Auth0 が同じ IP アドレスから 24 時間以内にログイン失敗を 100 回、またはサインアップ試行を 50 回検出するたびに、次の処理が実行されます。
  • Dashboard 管理者に通知します。
  • 不審なアドレスを 15 分間ブロックします。
Dashboard では、ブルートフォース保護の有効化、実行するアクションの設定、ブロックされたアカウント向けメールのカスタマイズを行えます。

漏えいしたパスワードの検出を有効にする

漏えいしたパスワード検出シールドは、公開されたデータ侵害によって漏えいした可能性のあるユーザー認証情報を特定するのに役立ちます。 Auth0 は、主要なサードパーティサイトで発生した大規模なセキュリティ侵害を追跡しています。ユーザーの認証情報が公開されたセキュリティ侵害に含まれていた場合は、次の対応を実行できます。
  • 影響を受けたユーザーにメールを送信する
  • Dashboard 所有者にすぐにメールを送信したり、日次 / 週次 / 月次のサマリーを受け取るようにしたりする
  • username とパスワードの組み合わせが一致する、侵害の疑いがあるユーザーアカウントからのログイン試行をブロックする。このブロックは、ユーザーがパスワードを変更するまで継続されます
Dashboard を使用して、漏えいしたパスワードの検出を有効にし、実行する対応を設定できます。

多要素認証でセキュリティを強化する

(MFA) を使用すると、アプリケーションに追加のセキュリティレイヤーを導入できます。これは、ユーザーの本人確認のために、複数の認証要素の提示を求める認証方法です。 Auth0 では、プッシュ通知、SMS、ワンタイムパスワード認証サービス、カスタムプロバイダーを使用した MFA をサポートしています。特定のユーザーまたは特定の操作 (たとえば、機密データを含む画面へのアクセス) に対して MFA を有効にできます。また、地理的な場所の変化や未認識のデバイスからのログインなど、追加の認証チャレンジをトリガーする条件を定義することもできます。

ユーザーがより安全なパスワードを選べるようにする

新規登録時に求めるパスワードの複雑さのレベルはカスタマイズできます。たとえば、10 文字以上で、英大文字を 1 文字以上、数字を 1 文字以上、特殊文字を 1 文字以上含むパスワードを求めることができます。 また、Password History 機能を使用して過去のパスワードの再利用を禁止したり、Password Dictionary を使用してユーザーがよく使われるパスワードを選ばないようにしたりすることもできます。これら 3 つの機能はすべて Dashboard から設定できます。

ステップアップ認証

ステップアップ認証では、機密性の高いリソースにアクセスする際に、アプリケーションからユーザーに対して、より強力な認証手段での認証を求めることができます。たとえば、銀行アプリケーションでは、アカウントの基本情報を表示するだけなら MFA (多要素認証) は不要でも、ユーザーが口座間送金を行おうとする場合には、追加の認証要素 (たとえば SMS で送信されるコード) による認証が必要になることがあります。 ユーザーが MFA でログインしたかどうかは、 または の内容を確認することで判断できます。そのうえで、トークンの内容からユーザーが MFA でログインしていないことがわかる場合は、機密性の高いリソースへのアクセスを拒否するようにアプリケーションを設定できます。

可用性と耐障害性

Auth0 は、スケーラブルで高可用性を備えたマルチテナント型クラウドサービスとして設計・構築されています。あらゆるレベルで冗長なコンポーネントを実装しているため、いずれかのコンポーネントに障害が発生しても高い耐障害性を維持できます。また、障害を迅速に検出し、フェイルオーバーも非常に高速に行われます。 Auth0 のアーキテクチャの詳細については、Availability & Trust を参照してください。

関連情報