MFAのFAQとセキュリティのベストプラクティス
多要素認証とベストプラクティスでCSPアカウントを安全に保ちます。
はじめに
すべてのWebベースのアプリケーションとサービスが直面する脅威が増え続ける中、Coupaはセキュリティのベストプラクティスとよくある質問でお客様をサポートし、Coupaサプライヤーポータル( CSP )アカウントのセキュリティを強化したいと考えています。
よくある質問
多要素認証とは?
多要素認証( MFA )は、セキュリティの追加レイヤーであり、パスワードを持っていても、他の誰かがあなたのCSPアカウントにアクセスするのを困難にします。
これまでにCSPにログインしたことのないコンピューターなど、認識できないデバイスからログインしようとする場合は、本人確認のために認証コード( 2番目の要素)を入力してください。この認証コードは、認証アプリによって生成されるか、携帯電話にテキストメッセージで送信されます。
他のユーザーがアカウントにログインしようとした場合、コードが届かないため、アカウントへのアクセスが妨げられる可能性があります。
詳細は、「多要素認証の管理」を参照してください。
なぜ多要素認証を使用する必要があるのですか?
取引の安全を確保することは、Coupaの最優先事項です。CSPの継続的な改善は、アカウントとデータの安全を確保するのに役立ちます。アカウントに多要素認証を追加すると、セキュリティが強化されます。
Coupaでの支払設定のセキュリティを高めるために、機密性の高い支払アカウントではMFAが必須です。
多要素認証の仕組み
多要素認証は、単にパスワードを持つだけでなく、セキュリティを強化します。MFAをオンにすると、支払いアカウントの設定を変更する必要があるたびに、Coupaパスワードと認証コードを使用できます。認証コードは多要素認証ピースです。認証コードは、推奨される認証システムのアプリから生成するか、登録済みの携帯電話にテキストメッセージで送信することができます。
どの多要素認証方法が推奨されますか?
Google Authenticator、Twilio Authy、Microsoft Authenticator Authyなどの認証アプリを使用した多要素認証が推奨されます。これらのアプリは、Apple App StoreまたはGoogle Playから無料でダウンロードできます。SMS (テキストメッセージ)は、Coupaがサポートする2次的な方法です。
多要素認証は必須ですか?
CSPの支払アカウントでは、多要素認証が必須です。MFAは、CSPの他の機能では必須ではありません。
多要素認証が必要な支払アカウントはどれですか?
機密性の高いアカウントの更新(法人、送金先、銀行口座情報の変更など)には、多要素認証が必要です。
セキュリティのベストプラクティス
アカウントと組織へのセキュリティリスクを軽減するには、次のセキュリティのベストプラクティスを確認してください。
- アカウントの認証とモニタリングを行ってください。買掛金情報が変更されていないことを定期的に確認してください。複数のユーザーがアカウントにアクセスできる場合は、アカウントの詳細が最新であることを確認します。お支払いアカウントの不正使用が疑われる場合は、CSPのチャットを使用して直ちにご連絡いただくか、suppliers@coupa.comまでメールをお送りください。
- アカウントに複数のユーザーを追加します。他のユーザーにトランザクションが通知されることがあります。この可視性は、メールアドレス、パスワード、またはデバイスが侵害された場合にアカウントを保護することができます。また、あなたや他のユーザーが組織を退職した後も、会社のアカウントが維持されるようにします。
- すべてのアカウントに強力で固有のパスワードを使用します。パスワードは8文字以上にする必要がありますが、40文字までにすることができます。数字と文字の両方を使用した複雑なパスワードをお勧めします。LastPassやDashlaneなどのパスワードマネージャーを使用すると、強力でユニークなパスワードを簡単に保持できます。
- 他の人が自分の資格情報を利用できないように、定期的にシステムからログアウトするように従業員を訓練します。
- アカウントのパスワードを書き留めたり、安全でない方法で保存したりしないでください。
- パスワードや認証コードを共有しないでください。CoupaがパスワードやMFA情報の共有を求めることはありません。原則として、ユーザー名、パスワード、MFAコード、リカバリコードなど、機密性の高いアカウントの認証情報は共有しないでください。
- メールとクラウドアカウントを保護します。あなたのメールアカウントが悪意のあるアクターに乗っ取られる可能性があります。これを防ぐには、すべてのアカウントでMFAまたは生体認証を有効にすることを検討してください。同じ手順で、オンラインデータストレージアカウント( iCloudなど)を保護します。セキュリティ設定を確認して、アカウントの安全性が最適化されていることを確認してください。
- 共有口座は取引には可能ですが、銀行情報の管理には理想的ではありません。管理は簡単ですが、パスワードが共有され、MFAとアクセス制御を実装することはほとんど不可能であり、情報が漏洩した場合にユーザーの活動を追跡することはできません。また、共有アカウントは、HIPAA、サイバーセキュリティ、および同様の基準のコンプライアンス要件を満たしていません。
- デバイスを保護します。ソフトウェアを常に最新の状態に保ちます。プロバイダーにSIMまたはデバイスロックを有効にするよう依頼して、携帯電話番号を保護してください。
- 適切な判断を下してください。フィッシングなどの詐欺から身を守る最も効果的な方法は、優れた判断力と常識です。本当とは思えないほど良いオファーがあるとしたら、それはおそらくその通りです。依頼を疑問視したり、拒否したり、無視したりしても構いません。詐欺師だけがあなたを急がせたり、慌てさせようとします。
- 定期的にユーザーにセキュリティのトレーニングを行います。組織の制御に関するユーザーのトレーニングを行い、フィッシング攻撃防止の認知度を高めます。
- クリックする前によく考えてください。電子メールには、悪意のあるリンクが含まれている可能性があります。いずれかのリンクをクリックする前に、よく考えてください。
- プラットフォームで通知を有効にして、アカウントの不審なアクティビティが通知されるようにします。これらの警告に注意を払うようにユーザーを訓練します。
- 定期的にソフトウェアを更新してください。オペレーティングシステムを含むすべてのソフトウェアが最新のセキュリティパッチと修正プログラムを使用していることを確認します。
- ウイルス対策およびマルウェア対策ソフトウェアを使用します。悪意のあるソフトウェアから保護するために、ウイルス対策およびマルウェア対策ソフトウェアをインストールし、定期的に更新します。
- 多要素認証を有効にします。法人、送金先、銀行口座情報の変更など、お支払いアカウントの更新に加えて、すべてのユーザーログインに多要素認証( MFA )を適用できます。MFAの有効化は、迅速かつ容易です。画面に表示される手順に従ってください。
