ロックアウト。アカウントロックアウトとも呼ばれる、基本的なセキュリティ機能だ。

概要

認証、つまりログイン試行が、設定された回数以上連続で失敗した場合に、そのアカウントを一時的に利用不可能な状態にする仕組み。単純だが効果的な防御策だ。

目的

主な目的は、パスワードを不正に特定しようとする攻撃への対抗だ。

• ブルートフォース攻撃（総当たり攻撃）
  • 特定のIDに対し、考えられるあらゆるパスワードの組み合わせを機械的に試行する攻撃。ロックアウトがあれば、数回試した時点でアカウントが凍結されるため、攻撃の継続が不可能になる。
• パスワードスプレー攻撃
  • 「Password123」のような単純でよく使われるパスワードを一つ用意し、それを多数のIDに対して試行する攻撃。これも、いくつかのIDで試行が失敗すれば、そのアカウントがロックされるため、攻撃効率を劇的に下げることができる。

設定項目

ロックアウトを機能させるには、主に2つの値を設定する必要がある。

1. 閾値（しきいち）
   • アカウントをロックするまでに許容する、連続したログイン失敗回数。例えば「5回」のように設定する。
2. ロックアウト期間
   • 一度ロックされたアカウントが、自動的に解除されるまでの時間。「15分間」のように設定する場合もあれば、「管理者が手動で解除するまで無期限」とする場合もある。

考慮事項

便利で強力な機能だが、副作用も存在する。

サービス妨害（DoS）攻撃の可能性

• 攻撃者が意図的に特定のIDでログイン失敗を繰り返し、正規の利用者をロックアウトさせて業務を妨害する、という攻撃が可能になる。

ユーザビリティの低下

• 正規の利用者がパスワードをうっかり忘れてしまった場合でもロックアウトは発動する。これにより利用者が不便を被り、ヘルプデスクへの問い合わせが増加する可能性がある。

このため、閾値やロックアウト期間の設定は、セキュリティの強度と利便性のバランスを考慮して慎重に行う必要がある。

結論

ロックアウトは、認証機能を備えたシステムにおいて、不正ログインに対する最低限の防御策だ。その設定は、対象となるシステムの重要性や利用者の特性を考慮して最適化する必要がある。基本だが、奥が深い機能でもある。