会員制サイトのセキュリティ向上|ユーザーID,PASSの共有を防ぐ不正ログイン対策|サイトガードマン

サイトガードマン

ビジネスコンテンツ株式会社では、月額課金制のオンラインの有料会員サイトを複数運営しています。

有料会員制サイトだけではなく、個別にIDとパスワードを発行するダウンロードセンター等のサービスを運営する際に、運営社側として気をつけることは、セキュリティ(不正防止)です。

例えば、全ユーザーに共通IDや共通パスワードを発行している場合

この場合は、セキュリティはどうしようもありません。

IDとパスワードをBASIC認証+HTadminで個別に発行しているのであれば、こちらのソフトを使う事で、どのユーザーがいつ、どこからログインしたかが分かります。

しかし、共通のIDやパスワード(【例】ID:user 、パスワード:present など)であれば、全員がそのIDやパスワードを使うために、誰がログインしたかを把握することは実質不可能です。

つまり、もし、会員の一人が知り合いに「このIDとパスワードで入れるよ」というように、他の人に教えてしまっても運営側としては対策ができません。

やるとしたら、毎月、IDとパスワードを発行する等、定期的に変えることくらいしかできませんが、それでも故意的に共有している悪いユーザーがいたら、変わったIDやパスワードを教えるだけです。
※実際、このような行為は、法律が新しくできており、不正アクセス禁止法(不正アクセスを助長する行為」。違反者に30万円以下の罰金)により罰せられます。

しかし、実際に不正アクセスだったかどうかすら調べることができません。なぜなら、共通のIDとパスワードだと、AさんとBさんのどちらがログインしたか分からないからです。

また、返品者などサポート対象(既存客)から外れた人のログインを防ぐには、その人だけを削除することはできず全員に共通するIDとパスワードを変えるしかありません。

IDとパスワードは個別発行

上記理由からもIDとパスワードは個別発行が望ましいです。

クレジットカードのペイパル決済や銀行振込で、自動的にIDとパスワードを個別発行する際にお勧めなのは、ペイメントEXという決済システム。

特にクレジットカード(paypal)の継続決済との連動ができるのが、特徴(ただし、上記購入後に追加オプション購入が必要)

で、このようにペイメントEXなどの決済システムでIDとパスワードを個別発行し、それをBASIC認証で管理し、さらに自動書き換えができるように、HTadminという世界中で使われているプログラムを導入すると、これだけで、決済→ID、PASSの個別発行→解除時→自動削除というフローができる。

自動発行をしなくても、HTadminだけあれば、手動登録は可能。

※緑のダウンロードボタンの広告など紛らわしいのが多く、本体をダウンロードするのがちょっと分かりづらい(広告をクリックさせるためにあえてそうしている)

まあ、このような方法でIDとパスワードを個別発行すると、やっと次のステップとなる

アクセスログ+ホスト名やIPアドレスを個人毎に管理し、不正ログインが有れば強制的にエラー画面を表示させる

やっと本題です。

実は、こういうソフトをインターネット上で探したけど、この一つしか見つけられませんでした。

サイトガードマン

これです。販売ページには、ペイメントEXの追加オプションと書いていたので、このサイトガードマンの機能が欲しくて、ペイメントEXの導入を決めたほど、使ってみて便利だと分かった。

サイトガードマンの機能

1.個別のリモートホスト名を記録し、他のホストからログインをしたら警告を発し、運営側が解除しなければログインできない(もっと強力にIPアドレス単位も可)
エラー画面は自作だけど、他の人に転送して、その人がログインをしたら、「送った人もログインできなくなる」ため、これを事前に伝えておけば、自分が損をするので他の人に教えることはなくなる。

2.2箇所、3箇所まで許可。など柔軟にできる
この人は、自宅と職場からアクセスするから2箇所とか、そういうこともできるし、全員を一括で2箇所まで可能とかもできる

3.誰がどのページを閲覧したかのアクセス解析
よく見られているページなどもこれで分かる。さらに何回ログインしたかも分かる。

4.Basic認証、HTadminさえあれば導入可能?
これには正直驚いた。ディレクトリ単位で何個か設置していたらペイメントEXがなくても、正常に稼働したのだから(販売ページには書いていない)。つまり、今、BASIC認証を使っているのであれば、このソフトで今すぐにセキュリティを向上させることができるというもの。

※注)HTAdminはペイメントEXに添付されていたものを使ったが、こちらが上記ダウンロード先のファイルと変わりがなければ使える。サイトガードマン販売ページにはペイメントEXが必要と書いているので自己責任でお願いします。(試してみたが、ペイメントEXに添付されていたHtadminは少し中身が変わっているようだ。ペイメントEXを買って、ペイメントEXの中のHTadminを使えば、決済システムを使わなくてもサイトガードマンは使用可能ということ)

※注2)逆にペイメントEXの追加オプションである「ログインフォームで管理するページ認証マネージャ」と「サイトガードマン」は同時に動かなかった。BASIC認証のみ対応していた。どちらも自社製品であれば、さすがに対応してほしい。これが減点要素。→開発者に改良依頼をして現在は稼働しています。

※注3)購入後に自己責任でやってほしいが、サイトガードマンが見ているのは、BASIC認証の「.hapasswdファイルのみ」。ここに「IDとパスワード、さらに名前とメールアドレス、登録日」があればそれを読み込んでいるので、Htadminが.htpasswdを書き換えると同じように書き換えることができるソフトであれば使えるのではないかと思う。(パスワードマネージャーなど)。ちょっと本家のHtadminを触ってみたが、詳しい使い方などの日本語サイトがなく、設置がちょっと面倒。まあ、ペイメントEXを買って、そこに付属されているHTadminを使えば、何ら問題はない。それならマニュアルも完備されてるからね。

5.PHPコードを全ページに貼るだけ
アクセス解析のように、全ページに1行のソースコードを貼るだけで、監視開始。ただし、Docu宣言よりも前の本当に最初の一行目に入れる必要がある(これも書いていなかったので苦労した。)。

このような感じで、運営者側にとってはとても魅力的なツール。

しかも、一回買えば、他のドメインでも他のサーバーでも自分の持ち物であれば導入できる買取型。

詳しくは、こちらの販売ページを見てほしいが、本当に満足する一品だった。ただ、欲を言えば、BASIC認証以外の認証方式にも対応してほしいが。。。

とりあえず、稲田の感想というか評価は90点というところ。(BASIC認証以外に対応できれば100点)→現在は、100点です

どちらにしてもお勧めです。日本人は結構、著作権とかに疎く、島国だからセキュリティ意識が甘い。悪気が無く、IDやパスワードを他人に教えることもありえるので、そこはガードしないと。

このソフトが広まれば、不正ログインとかも減ってくるだろう。

企業のみならず、情報起業家とかにもお勧めのソフトだ

タイトルとURLをコピーしました