Zohoアカウントの保護

安全性の高いパスワードを使用する

アカウントを保護するうえで最もお勧めなのは、Zoho OneAuth（Zohoが提供する認証用のアプリ）で指紋認証や顔認証を使用することです。それらのいずれかの方法を使用することが推奨されますが、引き続きパスワードの使用を希望する場合は、以下の点にご注意ください。

誕生日、電話番号、名前などの個人情報は使用しないでください。
一単語のみの言葉を使用しないでください。
同じ文字（aaaなど）、並びの文字（12345など）、キーボードの配列順に沿った文字（qwertyなど）を使用しないでください。
覚えられないほど複雑にしないでください。
複数のサービス／アプリで同じパスワードを使用しないでください。
Zohoアカウントのパスワードを他の人と共有しないでください。
Zohoアカウントのパスワードを、メモやノートに書き留めないでください。Zoho Vaultなどのパスワード管理ツールを使用して、安全に管理することをお勧めします。
Zohoアカウントのパスワードを、他の人に共有しないでください。テストアカウントなど、アカウントのパスワードを共有する必要がある場合には、Zoho Vaultを使用することで安全に共有できます。
Zoho Vaultを使用したパスワード共有についての詳細は、次のページをご参照ください。
組織内のユーザーへの共有 | 組織外のユーザーへの共有

注：Zohoのパスワードを設定する際、次の条件を満たす必要があります。

8文字以上である。
ユーザーのメールアドレスの一部、姓、名が含まれていない。
同じ文字（000など）、並びの文字（123、abcなど）が含まれていない。
侵害されたパスワードでない。なお、パスワードの設定時には、Zohoでは侵害されたパスワードの確認サイトを使用して、そのパスワードが流出したものでないかが確認されます。確認の結果、流出したパスワードに該当することが判明した場合、別のパスワードを入力するよう求められます。

復元用の情報を設定する

Zohoアカウントには、個人情報や組織情報など多くの大切な情報が関連付けられています。そのため、自分のアカウントには自分だけがアクセスできるようにすることが重要です。しかし、以下のような理由で、アカウントにアクセスできなくなることがあります。

パスワードを忘れた。
アカウントの侵害やパスワードの流出などにより、パスワードを変更された。
多要素認証を設定していたが、何らかの問題によりサインインできなくなった。

アカウントの復元用の情報を設定しておくことで、こういった場合でもアカウントに再度アクセスできるようになります。

復元用のメールアドレス／携帯電話番号を登録する

アカウントの復元用のメールアドレスまたは携帯電話番号を登録しておくと、パスワードを忘れてしまった等の理由でサインインできない場合に、確認コードを該当のメールアドレスやSMSで送ってもらことでアカウントのパスワードを再設定（リセット）することができます。復元用のメールアドレス／携帯番号を登録する際、以下の点を満たすものを登録するようにしてください。

自分だけが使用しているものである。
すぐに利用可能なものである。
メール／SMSを受信できるものである。

復元に使用するメールアドレス／携帯電話番号を追加するには

Zohoアカウントの管理ページ（accounts.zoho.com）に移動します。
画面左側のメニューの［プロフィール］欄の［メールアドレス］または［携帯電話番号］に移動します。
［メールアドレス］欄では［メールアドレスを追加する］、［携帯電話番号］欄では［携帯電話番号を追加する］をクリックします。
メールアドレスまたは携帯電話番号を入力し、［追加する］をクリックします。
ワンタイムパスワードが送信されます。
該当のワンタイムパスワードを入力し、［認証する］をクリックします。

上記の手順を完了すると、復元用のメールアドレス／携帯電話番号がページに表示されます。なお、これらのメールアドレスや携帯電話番号にあなた以外の人がアクセスできてしまうと、パスワードがリセットされてしまう可能性があります。そのような問題を防げるよう、Zohoへのサインイン時に、復元用に登録した情報が適切かどうかの確認を促すメッセージが定期的に表示されます。

バックアップ認証コード

多要素認証を有効にしている場合、バックアップ認証コードを生成して保存しておいてください。バックアップ認証コードを使用すると、多要素認証ではサインインできないときに代わりの手段として用いることで、サインインすることができます。

OneAuthを通じて多要素認証を使用している場合、パスフレーズを設定してください。パスフレーズとは、OneAuthアプリ専用のパスワードで、OneAuthにアクセスできなくなった場合の復元に役立ちます。

フィッシング（詐欺／なりすまし）に注意する

フィッシングとは、実在する企業や組織を装ったURLやWebサイトから、リンクをクリックさせたり情報を入力させたりすることで個人情報や認証情報を盗み取る詐欺の手法です。リンクをクリックすると、悪意のあるページに誘導されたり、ウイルスに感染したりすることもあります。

また、フィッシングの被害を受けてしまった場合、多要素認証で保護していてもアカウントに不正にアクセスされてしまいます。利用しているデバイスがウイルスに感染したり、Cookie情報を盗られることもあるので注意が必要です。

フィッシングメール（詐欺／なりすましメール）の見分け方

メールの内容にご注意ください。自然な日本語になっているか、内容が具体的で曖昧でないか、ご確認ください。また、危機感や緊迫感をあおる内容が多いので、ご注意ください。
送信者のメールアドレスが正しいかご確認ください。フィッシングメールの送信者のメールアドレスは、正しいメールアドレスの中の1文字のみを変えるなどして、正しいものと見分けがつきづらいように偽装されていることがよくあります。そのため、スペルをよく確認してください。たとえば、「@zohocorp.com」が正しいところ、「@zohocrop.com」と1文字だけ入れ替えてあたかも正しいように見せかけるというように偽装されています。また、「@」（アットマーク）の前の部分に、会社名やブランド名を表す単語を使用する形でメールアドレスが偽装されていることもあります。その点にもご注意ください。
メール内のリンクやボタンに設定されているURLが適切なものかどうかをご確認ください。表示されているリンクやボタンのテキストに不審な点がなくても、実際のリンク先は異なることがあります。たとえば、「商品ページへ」や「支払い方法を更新する」といったリンクやボタンのリンク先が、情報窃取を目的とした不正サイトになっていることがあります。そのため、リンクやボタンをクリックする前に、リンク先の適切性を確認することが大切です。リンク先のURLは、リンクやボタンにカーソルを合わせると表示されます。URLのスペルやドメインをご確認ください。

フィッシングメール（詐欺／なりすましメール）の疑いがある場合の対処法

個人情報やパスワードを尋ねるメールには、決して返信しないでください。Zohoがメールで個人情報やパスワードを尋ねることはありません。
ボタンやリンクのクリック前にリンク先をご確認ください。
クリックしてリンク先を開いてしまった場合、速やかに閉じてください。
リンク先のページで認証情報や個人情報の入力が本当に必要なのかを考え、安易に入力しないでください。
メールに添付されているファイルはダウンロードしないでください。
フィッシングメール（詐欺／なりすましメール）の疑いがあるメールを受信した場合、自社の情報システム部門や管理担当者に報告し、確認と必要な対応を進めるようにしてください。企業などの組織に所属していない場合や、小規模な組織に所属していて専任の管理担当者がいない場合などは、該当のメールを迷惑メールとして分類してください。
その他ご不明な点については、support@zohoaccounts.comにご連絡ください。

フィッシング（詐欺／なりすまし）による被害を受けたときの対処法

フィッシング（詐欺／なりすまし）による被害を受けたと思われる場合は、次の手順に従い、アカウントを保護する手続きをすぐに行ってください。

パスワードを変更します。他のWebサイトやアプリで使用されていないパスワードを設定します。
多要素認証をまだ有効にしていない場合、有効にします。OneAuth（Zohoが提供する認証用のアプリ）を使用して、アカウントを保護することをお勧めします。
アカウントへのアクセス履歴を確認します。Zohoアカウントにサインインしたデバイスを確認し、不正アクセスが疑われる情報がある場合はその内容に応じて対処を行います。
不正アクセスの報告やその他の不明点については、support@zohoaccounts.comにご連絡ください。

メール通知を有効にして不審なサインインがないかどうかを常に確認する

Zohoアカウントにおいて以下の通知を有効にすることで、アカウントへの不正アクセスがあった場合にすぐに対処できます。

新しいサインインのお知らせ
このメール通知は、新しいデバイス／ブラウザー／地域からアカウントにサインインした際に送信されます。
外部サービスからのアクセスのお知らせ
このメール通知は、連携している外部サービスからアカウントに対して新たにアクセスがあった際に送信されます。例：Zoho以外のメールアプリ（IMAP／POPクライアント）。

通知を有効にするには

Zohoアカウントの管理ページ（accounts.zoho.com）に移動します。
画面左側のメニューの［設定］に移動します。
［設定］欄の［メール通知］の欄で、必要な通知のスイッチをオンにします。

外部サービスでZohoと同じパスワードを使用しない

外部サービスや、Zoho以外のメールアプリ（IMAP／POPクライアント）のパスワードには、Zohoアカウントのパスワードではなく、アプリ専用パスワードを使用してください。アプリ専用パスワードはいつでも取り消すことができます。取り消すと、該当のアプリからはZohoアカウントの情報にアクセスできなくなります。そのため、アプリ専用パスワードが侵害された場合でも、Zohoアカウント自体にはアクセスできないように保護できます。また、該当のパスワードを取り消すことで、それ以上の被害を抑えることができます。

多要素認証を有効にする

どんなに安全性の高いパスワードを設定したとしても、パスワードだけでは、アカウントのセキュリティ保護は万全とは言えません。人的ミスや最新技術によりパスワードは常に漏洩の危険にさらされています。そのため、アカウントに多要素認証を使用することを強くお勧めします。多要素認証を有効にすると、パスワードだけではサインインできなくなり、パスワード以外の方法も併用して認証する必要があります。これにより、アカウントのセキュリティをより強化できます。

IPアドレスによる制限を使用する

IPアドレスによる制限を使用すると、特定のIPアドレスからのみアカウントへのアクセスが可能なように設定できます。これにより、自社やその他の必要な場所のネットワークからのアクセスのみを許可し、不適切な場所からのアクセスをブロックできます。不正なアクセスを防止し、アカウントのセキュリティを強化することが可能です。

アカウントへのアクセス履歴や設定を確認する

Zohoアカウントの管理ページ（accounts.zoho.com）では、サインイン中のデバイスやアプリ、信頼しているブラウザーなどを確認できます。使用している覚えのないアプリやデバイスからのアクセスが表示されていた場合、すぐにZohoにご報告ください。

以下の表は、Zoho Accountsページで確認や設定が可能な内容の一覧です。これらの情報を定期的に確認し、必要に応じて設定を変更することをお勧めします。

タブ	セクション	説明
セキュリティ	サインイン中のデバイス	Zohoアカウントにサインイン中のデバイス、サインインした場所、時間が表示されます。現在のサインイン情報以外からのサインイン情報（セッション）を削除することもできます。
多要素認証	信頼できるブラウザー	サインインの際に多要素認証をスキップすることを許可したブラウザーが表示されます。
設定	アカウント連携	自身のZohoアカウントと連携している外部サービス（Googleなど）が表示されます。
設定		認証済みWebサイト	アカウント情報へのアクセスを許可したWebサイトが表示されます。アクセス許可を取り消すこともできます。
セッション	有効なセッション	アカウントで現在有効なセッション（サインイン情報）が表示されます。各セッションの開始日、OS、ブラウザー、場所、IPアドレスなどを確認できます。
		操作履歴	最近アクセスしたアプリ（サービス）の履歴が表示されます。アプリ名（サービス名）、デバイス、OS、ブラウザー、場所、IPアドレスなどを確認できます。
		連携中のアプリ	アカウント情報へのアクセスを許可したWebアプリが表示されます。アクセス許可を取り消すこともできます。
		サインイン中のアプリ	サインイン中のアプリ、デバイス、場所などが表示されます。

ソフトウェアの更新とデバイスのセキュリティ

ブラウザー、OS、アプリは、常に最新のバージョンにアップデートしてください。一般的に、最新版ではセキュリティ保護に関する機能が強化されているためです。
安全性の低い無料Wi-Fi（公衆無線LAN）を使用してアカウントにサインインしないでください。このようなネットワーク経由でアカウントにアクセスする必要がある場合は、VPNを使用することで不正アクセスのリスクを低減できる可能性があります。
共有デバイスでアカウントにアクセスした後は、必ずサインアウトしてください。また、デバイスにサインイン情報を保存しないでください。
公共の場でアカウントにサインインしたまま、デバイスから離れないでください。情報漏洩につながる恐れがあります。