コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=authentication-migrate-secure-hash-algorithm

SHA256 または SHA512 に移行する

SFOS 22.0 より前の SFOS バージョンでは、多要素認証 (MFA) に SHA1 ハッシュアルゴリズムが使用されています。SHA1 は、SHA256 や SHA512 に比べ、セキュリティが低くなります。

ユーザーの MFA の設定には、SHA1、SHA256、SHA512 のトークンを同時に含めることができます。SHA1 トークンは、セキュリティリスクが生じる可能性があります。

セキュリティを徹底するために、SHA256 または SHA512 を使用することをお勧めします。

SHA256 または SHA512 ハッシュアルゴリズムに移行するには、以下の手順を実行します。

ハッシュアルゴリズムを選択する

MFA の設定で、SHA256 または SHA512 ハッシュアルゴリズムを選択する必要があります。

ハッシュアルゴリズムを選択するには、以下の手順を実行します。

  1. 認証 > 多要素認証」に移動します。
  2. ワンタイムパスワード (OTP)」で、「次のサインインで OTP トークンを生成する」をオンにします。
  3. OTP ハッシュアルゴリズム」で、「SHA256」または「SHA512」を選択します。
  4. Apply」をクリックします。

ファイアウォールで発行済みトークンを削除する

既存の SHA1 トークンを削除して、ユーザーが使用できないようにする必要があります。

SHA1 トークンを削除するには、以下の手順を実行します。

  1. 認証 > 多要素認証」に移動します。

  2. 発行されたトークン」で、SHA1 ハッシュアルゴリズムを使用するユーザーを選択し、「削除」をクリックします。

    SHA1 トークンを削除します。

  3. OK」をクリックします。

デフォルトの管理者トークンを削除するには、デフォルトの管理者としてサインインする必要があります。

ユーザーが QR コードを再スキャンする

トークンが削除されたユーザーは、次の操作を行う必要があります。

  1. パスワードのみを使用して VPN ポータルまたはユーザーポータルにサインインします。

    デフォルトの管理者の場合は、パスワードのみを使用して Web 管理コンソールにサインインしてください。

  2. SHA256 および SHA512 に対応した認証アプリ (Intercept X for Mobile や Google Authenticator など) を使って、QR コードをスキャンします。

    SHA256 または SHA512 をサポートしていない認証アプリでも QR コードをスキャンすることはできますが、サインインで失敗します。

  3. VPN ポータル、ユーザーポータル、または Web 管理コンソールに以下のようにサインインします。

    • ユーザー名: <username>
    • ワンタイムパスワード: <yourpassword><passcode>

これで、SHA256 または SHA512 ハッシュアルゴリズムへの移行が完了します。