ユーザー, 一般

セキュリティ

サイトのセキュリティと個人データは、常に最優先事項です。このページでは、当社がサイトと個人データの保護にどう役立つか、またそのために推奨される付加的な手順について説明します。

目次

サイトとデータを保護する方法
暗号化、デフォルト
ファイアウォール
疑わしいアクティビティのモニタリング
セキュリティテスト
データのバックアップと復元
セキュリティチーム

サイトとデータを自分で保護する方法
機密保持
強力なパスワードの選択
アカウントからのログアウト
サイトのアクセス制御
2段階認証

強力なパスワードの選択
従来のパスワードの危険性
近代的な方法の選択
最良の方法 :パスワードマネージャー
良い方法 :パスフレーズ
パスワード設定方法の追加のヒント


サイトとデータを保護する方法

暗号化、デフォルト

強力な暗号化は、プライバシーとセキュリティを確保するために重要です。WordPress.com のサイトはすべて暗号化されており (SSL 上で動作)、それには WordPress.com 上でホスティングされるカスタムドメインも含まれます。強力な暗号化を非常に重要であると考えています。これを無効にすると WordPress.com サイトのセキュリティを緩めることになるため、無効にするオプションは用意されていません。また、安全性を確保できない HTTP 要求は、すべて、セキュリティの確保された HTTPS バージョンへの301リダイレクトがなされます。サイトの HTTPS および SSL について確認してください。

サイトには、SSL 証明書が自動的にインストールされます。非常にまれに、サイトの特定の設定により SSL 証明書が正常に機能しない場合があります。SSL 証明書に問題がある場合は、当社にご連絡ください


↑ 目次 ↑

ファイアウォール

当社ではファイアウォールを実行しており、WordPress.com アカウントへの無許可アクセス試行の警告を通知するプロセスを実施しています。


↑ 目次 ↑

疑わしいアクティビティのモニタリング

Web トラフィックは継続的に監視されており、疑わしいアクティビティのモニタリングがなされています。また、分散サービス拒否 (DDoS) 攻撃に対する保護のためのセキュリティ対策が実施されています。


↑ 目次 ↑

セキュリティテスト

当社では、サービスのセキュリティを定期的にチェックし、潜在的な脆弱性がないかどうか確認しています。また、HackerOne によるバグバウンティプログラムを実施することにより、バグ発見者に報酬を出して、サービスのセキュリティ向上を図っています。


↑ 目次 ↑

データのバックアップと復元

WordPress.com のサイトデータは、定期的にシステムによりバックアップされるため、万一データ損失が発生した場合 (停電や自然災害など) でも、データを回復できます。


↑ 目次 ↑

セキュリティチーム

当社には、データ保護に携わる専属のセキュリティチームがあります。彼らは、製品チームとの直接の共同作業により、潜在的なセキュリティリスクに対処し、データの安全性確保への真剣な取り組みの態勢が常に維持されるようにします。

データがインターネット経由で送信されることも電子的に保存することもできないようになっていれば、セキュリティは完全に確保できます。サイトやアカウントの絶対的セキュリティを保証することは、当社のみならず、だれにとっても不可能です。しかし、サイトや個人データをしっかり保護することは、当社にとって極めて重要な事項となっています。


サイトとデータを自分で保護する方法

自分のデータを自分で保護するためにできることもいくつかあります (このまま読み続けてください)。

↑ 目次 ↑

機密保持

オンラインでのセキュリティの最大の弱点は、パスワードです。それはブログ、メール、SNS アカウントなど、使用するオンラインサービスにとってのキーポインターです。パスワードが容易に推測されるものである場合、オンラインでの身分証明が脆弱なものとなります。

1人の人がパスワードの推測に成功するだけで、これまでの投稿をすべて削除することが可能になってしまいます。サイトの外観が損なわれる可能性があります。メールが読まれたり、アドレスが乗っ取られて、なりすましに使用されたりする可能性があります。時間をかけて築いてきたものが一瞬にして崩れてしまう可能性があります。


↑ 目次 ↑

強力なパスワードの選択

使用するどのパスワードも、容易に記憶できて、しかも推測が困難なものでなければなりません。数字と文字のランダムな羅列によるパスワードなら推測は困難ですが、記憶するのも困難です。一方、誕生日や初めて飼ったペットの名前なら忘れることがないかもしれませんが、推測したり調べたりして突き止められる可能性が大きくなり、パスワードとしては非常に悪いものとなります。

WordPress.com では、文字、数字、特殊文字の任意の組み合わせによる非常に長いパスワードを使用できるため、パスワードのセキュリティ、さらにはブログのセキュリティをユーザーの設定次第で高めることができます。強力なパスワードの作成のためのヒントをいくつかまとめました。


↑ 目次 ↑

アカウントからのログアウト

作業が終わった時点でログアウトすることにより、アカウントを保護できます。これは、共有のコンピューターや公共の場所にあるコンピューターで作業する場合に特に重要です。ログアウトしないなら、だれかがブラウザーの履歴を見て WordPress.com ダッシュボードまで戻るだけで、アカウントにアクセスすることが可能になってしまいます。

作業が終わった時点でログアウトすることにより、アカウントを保護できます。

WordPress.com のアカウントからログアウトするには、右上にある自分の Gravatar をクリックします。その後、Gravatar の下にある「ログアウト」をクリックします。


↑ 目次 ↑

サイトのアクセス制御

WordPress.com では、機能豊富なマルチユーザープラットフォームが提供されています。各サイトの所有者は1人だけですが、ユーザーの数に制限はありません。これは、投稿者が複数のグループブログ、編集ワークフローで作業する雑誌スタイルのサイト、あるいは管理業務の一部を共有するその他の大規模サイトにおいて理想的です。

しかし、業務を共有するということは、責任を共有するということでもあります。そのため WordPress.com では、サイトに追加する各ユーザーに異なる権限グループを設定できます。権限グループによって、ユーザーのアクセスレベルが決まります。

  • 寄稿者 : 最も制限の強い権限グループです。実行できるのは下書きの投稿のみであり、公開することはできません。
  • 投稿者 : この権限グループのユーザーは、投稿を公開したり画像をアップロードしたりできますが、他のユーザーの投稿に関与することはできません。
  • 編集者 : この権限グループのユーザーは、どのユーザーの投稿についても編集と公開ができ、コメントの承認、またカテゴリーやタグの管理もできます。
  • 管理者 :この権限グループのユーザーは、サイトの完全なコントロール権限を持ち、サイトを削除することもできます。

ユーザーを追加する際には、サイト上でそのユーザーにしてほしいことに最もよく当てはまる権限グループがどれかを見極めるようにしてください。若干数の投稿をするだけを予定されているユーザーのアカウントを設定する場合は、寄稿者にします。投稿者と編集者の権限グループは、サイトに長期間関わることになる、信頼できるユーザーのために取っておきます。

最後に、管理者の権限グループはごく限られた人だけにしてください。別のユーザーをサイトの管理者にするということは、そのサイトのための鍵のセットを別個に作成して別の人にそれを渡すのと文字通り同じことになります。彼らがそのサイトを好きなように悪用できるだけでなく、鍵のセットが余分にあることにより、それが出回ってサイトが乗っ取られるリスクが高くなります。

実際のところ、管理者権限グループをまったく利用しないことをお勧めします。ほとんどすべての場合、編集者の権限グループで十分です。

詳しくは、「ユーザーの追加」および「ユーザー権限グループ」についてのサポートページを参照してください。


↑ 目次 ↑

2段階認証

2段階認証を使用すれば、任意の iOS、Android、Blackberry、または SMS 対応のモバイルデバイスをブログの固有キーとして使用できます。サービスにサインアップした後は、ブログにログインするたびに、特別に生成されたワンタイムコードを入力する必要があります。つまり、だれかがパスワードを入手したとしても、使用しているモバイルデバイスも同時に手に入れるのでない限り、ログインはできないということです。

このサービスについて詳しくは、「2段階認証」のサポートページを参照してください。


強力なパスワードの選択

通常、オンラインアカウントのセキュリティにおける最も脆弱な点はパスワードです。WordPress.com では、ユーザーのコンテンツを安全に保護し、ユーザー当人以外のだれかがアクセスできないようにするために尽力しています。

しかし、だれかがユーザーのパスワードを推測できたとしたら、WordPress.com は、この人物をユーザー当人であると認識するため、ほぼすべてのセキュリティ対策をすり抜けられてしまいます。そして、この人物は、ユーザーのコンテンツの削除を含め、WordPress.com のブログやアカウントに自由に変更を加えることができます。

このようなシナリオを回避するために、このガイドを使用して推測や解読が困難な強力なパスワードを作成してください。以下のヒントを読み、ご自分のパスワードを再度確認してください。自分のパスワードが強力でないと感じたら、変更することを強くお勧めします。


↑ 目次 ↑

従来のパスワードの危険性

過去数十年で、パスワード解読技術が急速に著しく成熟してきたのに対し、パスワードの作成方法は遅れをとっています。その結果、強力なパスワード作成に関する一般的なアドバイスは時代遅れで実用的ではありません。

このようなアドバイスをもとに作成されたパスワードとは、jal43#Koo%a のように、コンピューターにとっては解読が非常に簡単である上、ユーザーにとっては覚えにくく、入力もめんどうなものです。

最新で最も効率が高い種類のパスワード攻撃では、最大で毎秒 3,500億回もの推測を試行でき、この数もあと数年もすれば著しく増加することが予想されます。

今日の強力なパスワードの作成には最新の技術が必要です。次のセクションで2つの方法をご紹介します。


↑ 目次 ↑

近代的な方法の選択

強力なパスワードの作成には多くの異なる方法がありますが、パスワードマネージャーとパスフレーズの使用が最良です。自分に適した方法を選択して、この投稿の対応するセクションを読み進み、強力なパスワード作成を開始してみましょう。


↑ 目次 ↑

最良の方法 :パスワードマネージャー

パスワードマネージャーとは、コンピューターまたはモバイルデバイス上のソフトウェアアプリケーションで、とても強力なパスワードを生成し、それらを安全なデータベースに保存します。ユーザーが単一のパスフレーズを使用してデータベースにアクセスすると、マネージャーは自動的にユーザーに代わってウェブサイトのログインフォームにユーザーのユーザー名とパスワードを入力します。記憶するパスワードが1つだけであれば、それをいくらでもランダムなものにして、推測が困難になるようにすることができます。

良いパスワードを作成できるか心配したり、それを覚えたり入力したりする必要はなくなります。これが現在利用可能な最も簡単で安全な方法になっており、強くお勧めします。

パスワードマネージャーの使用方法

多くのパスワードマネージャーアプリケーションがありますが、その中でお好みのアプリケーションを選択して、コンピューターにインストールしてみましょう。以下は一般的な手順です。詳細は、使用する特定のアプリケーションのドキュメンテーションを確認してください。

  1. パスワードマネージャーを選択します。以下は人気のあるアプリケーションです。
    • 1Password (クローズドソース、商用)
    • LastPass (クローズドソース、無料 / 商用)
    • Dashlane (クローズドソース、無料 / 商用)
    • KeePass (オープンソース、無料)
    • RoboForm (クローズドソース、商用)
    • お気に入りの検索エンジンを使用して、さらに選択肢を見つけることもできます。
  2. コンピューターにインストールします。
  3. 使用するウェブブラウザーに応じて必要な拡張機能やプラグインをインストールします。
  4. パスワードデータベースを開くための1つの強力なマスターパスワードを作成します。パスフレーズ作成のアドバイスは、このドキュメントの「パスフレーズの作成方法」セクションを参照してください。
  5. (オプション) マスターパスワードのメモを取り、貸金庫や施錠された金庫などの安全な場所に保管します。万が一、マスターパスワードを忘れた場合に備えることは重要です。
  6. (オプション) アプリケーションの内蔵ツール、または SpiderOak などのサービスを使用して、パスワードデータベースを複数のデバイス間で共有します。外部サービスを使用する場合は、そのアカウントに強力なパスワードを設定し、2段階認証 (可能な場合) を有効にします。

パスワードマネージャーの設定が完了したら、それを使用した強力なパスワードの生成を開始できます。使用するマネージャーの内蔵パスワード生成ツールを見つけ、ランダムに選択された30~50文字の大文字と小文字、数字、記号が混ざったパスワードを設定します。

password-generator

次のようなパスワードの生成が好ましい例です。N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@

躊躇してしまうかもしれませんが、これを覚えたり入力する必要は一切ありません。パスワードマネージャーが代わりに自動的に処理します。


↑ 目次 ↑

良い方法 :パスフレーズ

パスフレーズは、1つだけではなくランダムな言葉の組み合わせを基にしている点を除いてはパスワードと似ています。たとえば、copy indicate trap bright です。

パスワードの強度を測る主な要素の一つがその長さであるため、パスフレーズは従来のパスワードよりはるかに安全です。同時に、パスフレーズは覚えるのも入力するのもずっと簡単です。

パスフレーズはパスワードマネージャーが生成するパスワードほど強力ではありませんが、パスワードマネージャーを使用しない場合には良いオプションであると言えます。パスワードマネージャー用、またはオペレーティングシステムアカウント用のマスターパスワードはパスワードマネージャーでは自動的に入力できないため、パスフレーズはこれらのパスワードにも最適です。

パスフレーズの作成方法

パスフレーズの作成では、従来のパスワードの作成と同様のルールに従いますが、それほど複雑にする必要はありません。パスフレーズの長さ自体がパスワードの単純さに勝るセキュリティをもたらします。

  1. 4つのランダムな言葉を選択します。必要であれば xkcd パスフレーズジェネレータを使用できますが、独自のものを自分で作成することをお勧めします。
  2. お好みに応じて、言葉の間にスペースを追加します。

この時点でのパスフレーズは次の例のようになります。copy indicate trap bright

ここで止めることも、次の手順に従ってさらに強度を高めることもできます。

  1. いくつかの文字を大文字にします。
  2. いくつかの数字や記号を含めます。

これらのルールを適用すると、パスフレーズは次の例のようになります。Copy indicate 48 Trap (#) bright

避けるべきこと

  • 予測可能なパターンで言葉を並べたり、推測が簡単になるような完全な形の文章を作成したりしない。
  • 歌詞、引用文、その他の公開済みのフレーズは使用しない。攻撃者は、パスワードを予測するための膨大な量の公開済みのリストのデータベースを持っています。
  • 個人情報を使用しない。文字と数字を混ぜたとしても、知り合いによって、あるいはご自身についてオンラインで検索できる場合、個人情報のパスワードは簡単に推測されてしまいます。

↑ 目次 ↑

パスワード設定方法の追加のヒント

WordPress.com のアカウント以外でも、自分の個人情報を守るパスワードを作成する上で、以下のことを気に留めておく必要があります。

  • 同じパスワードを2度使用しない。よく知られているウェブサイトでも、システム内のユーザーのパスワードを適切に保護することができないものが多く、ハッカーが日常的にシステムに侵入して何十億というアカウントにアクセスしています。サイト間でパスワードを再使用すると、1つのサイトへの不正侵入に成功した攻撃者はそのユーザーが使用する他のサイトにログインできます。少なくとも、金融情報や他の秘密データを保存するサイトやあなたの評判にかかわるサイトでは、それぞれに一意のパスワードを設定するようにしてください。
  • メールアドレス用のパスワードも強力なものにする。WordPress.com などのオンラインサービスの多くが、ユーザーのメールアドレスをユーザー ID として使用しています。悪意のある攻撃者がユーザーのメールアドレスにアクセスすると、簡単にパスワードをリセットして、そのユーザーのアカウントにログインできてしまいます。
  • パスワードを共有しない。その人物を信頼していたとしても、攻撃者が情報を傍受したり、通信を盗聴したり、その人物のコンピューターに侵入したりする可能性があります。もし、他のだれかがあなたのパスワードを知っている疑いがある場合は、すぐにパスワードを変更する必要があります。
  • 第三者にメールでパスワードを送信しない。メールが暗号化されることはまれであるため、攻撃者は比較的に簡単にメールを読み取ることができます。WordPress.com のスタッフがユーザーにパスワードを尋ねることは一切ありません。パスワードを共有する必要がある場合は、pwpush.com のような安全な通信手段を用い、リンクの期限を1回表示したら切れるように設定してください。
  • ウェブブラウザーにパスワードを保存しない。ウェブブラウザーがパスワードを安全に保存することができない場合が多々あります。代わりにパスワードマネージャーを使用するようにしてください。詳しくは、上述のパスワードマネージャーに関するセクションを参照してください。
  • 公共のコンピューターでは、パスワードを保存しない、または「Remember Me」オプションを使用しない。これらの機能を使用すると、次にそのコンピューターを使用する人があなたのアカウントにアクセスできてしまいます。 作業が終わったら、必ずログアウト、またはブラウザーを終了するようにしてください。
  • パスワードを書き留めない。どこかにパスワードを書いておくと、だれかがそれを見つけることができるということです。これは安全とは言えません。代わりにパスワードマネージャーにパスワードを保存して、暗号化させましょう。詳しくは、上述のパスワードマネージャーに関するセクションを参照してください。このルールの例外は、安全な方法で復元不可能なパスワード (パスワードマネージャー用、またはオペレーティングシステムアカウント用のマスターパスワードなど) を保存する方法です。安全にパスワードを守る良い方法の1つは、貸金庫や施錠された金庫に保管する方法です。
  • 侵害された疑いがない限り、パスワードは変更しない。この投稿で推奨されているような強力なパスワードである限り、頻繁にパスワードを変更することは、侵害されるリスクを最小限に抑えることには何の役にも立ちません。パスワード変更はめんどうな作業であるため、手を抜いて望ましくない方法を使用してしまいがちです。そうなると、パスワードの脆弱性が高まってしまいます。だれかがあなたのアカウントにアクセスした疑いがある場合は、パスワードを変更して危険を回避するに越したことはありません。
まだ問題が解決していませんか ?

サポートに連絡してください。