要旨
アイレットでは、複数のアイレット公式 X (旧 Twitter) アカウントを有しています。
X (旧 Twitter) は、通常の利用の際は個人で利用することが想定されています。
そのため、チームでアカウントを管理したい (企業の公式アカウントとして利用したい) 場合など、ID と パスワードを共有して利用したり、代表者がアカウントをもって運用するなどで対応することが多いと思います。
しかし、これらの運用はセキュリティエンジニアとしては看過できません。
ID と パスワードを複数人で共有する運用の場合、内部不正が起きた際に責任の所在が明らかにならない上、MFA などの強固なセキュリティを担保できません。
代表者が運用する場合、代表者にすべての運用負荷がかかり、投稿や返信、DM 対応などが個人対応の限界を超えてしまい、ID と パスワードを複数人で共有する運用にシフトしがちです。
そこで、セキュリティエンジニアとして以下の要件を満たす X (旧 Twitter) 運用を考えます。
- アカウントは代表者が所有する。 (責任を有する)
- ID や パスワードといった機微な情報は複数人で共有しない。
- ログイン時には、個人の ID と パスワードの他、 MFA を利用可能とする。
これらの条件を満たす利用方法を模索したため、ここに記します。
注意
X (旧 Twitter) は、現在 (2023年9月6日) 大きな過渡期にあります。
画面デザインが変わった、公式ドキュメントに記載がないなど、運用上問題がある状態です。
そのため、本記事は参考として、公式ドキュメント等へリンクしません。
仕様が落ち着き、実際のシステムと公式ドキュメントが対応した際にドキュメントへリンクします。
前提知識
役割について
本記事では、『利用者』、『代表者』および、『受任者』(委任を受けるものの意味) を定義します。
『利用者』は、X (旧 Twitter) を利用している顧客、関係者、ステークホルダーなどを指します。
自身のアカウントを有して、代表者のアカウントを閲覧して情報収集などを行う者を指します。
『代表者』は、組織などの X (旧 Twitter) アカウントを所有し、アカウントに関する全権を有する者です。
代表者はアカウントを作成し、適切な権限を有する担当者に自身の権限の一部を受け渡すことができます。
この権限の受け渡しのことを『委任設定』といいます。
『受任者』は代表者からアカウント管理に関する権限の一部を委任され、その権利を行使することができます。
現時点では、コントリビューターや、管理者などの権限委任が可能です。
これらの設定により、受任者は代表者自身に代わって、ポスト (旧ツイート) や DM の送受信を行うことが可能です。
受任者が作成した下書きや予約投稿は、代表者や他の受任者が編集することも可能です。
認証について
X (旧 Twitter) では、パスワードや MFA による認証を行えます。
今回の委任設定を行った場合、パスワードや MFA といった機微情報の共有は不要です。
代表者や受任者は、自身のアカウントにログインする際、自身のパスワードや MFA を利用できます。
受任者が、代表者の代理としてポスト (旧 ツイート) や DM の閲覧などを行う場合は、アカウントに切り替えを行います。
切り替えの際には、とくに認証を必要としません。
運用に関わる注意点
X (旧 Twitter) では、現時点で委任可能な権限が『コントリビューター』と『管理者』しかありません。
これは、いずれも強力な権限であり、作業ミスによる影響が大きいものです。
誤った情報やセンシティブな情報の拡散、個人の思想など、意図せぬポスト (旧 ツイート) には十分な注意が必要です。
筆者の個人的な考えとしては、以下のような権限が望まれます。
- 作成者
- 下書きを作成する権限を有するがポスト (旧 ツイート) は不可能な権限。
- DM 対応者
- DM の閲覧、返信などの対応が可能な権限。
- 監査員
- 全範囲の読み取りが可能だが、一切の変更が不可能な権限。
手順
本記事では、以下の内容を実施します。
本記事の検証は、ブラウザ版の X (旧 Twitter) でのみ実施しています。
モバイル版や、アプリ版では動作が異なる可能性があるため、ブラウザ版で実施してください。
- X (旧 Twitter) アカウントの新規取得
- X (旧 Twitter) アカウントを代表者が新しく取得します。
- X (旧 Twitter) アカウントのプロファイルを変更する
- 取得した X (旧 Twitter) アカウントのプロファイル設定を行います。
- X (旧 Twitter) アカウントに MFA を設定する
- X (旧 Twitter) アカウントに MFA を設定します。
- これは、代表者アカウントおよび、受任者が実施します。
- 受任可能なように受任者アカウントを変更する
- 代表者が、受任者に対して委任設定を行えるように設定します。
- アカウントの権限を委任する
- 代表者のアカウントから、委任設定を行います。
- 委任の許諾
- 受任者のアカウントで、委任設定を許諾します。
- 受任者が代表者権限でポスト (旧 ツイート) を行う
- 受任者のアカウントから、アカウントを切り替えてポスト (旧 ツイート) を行います。
1. X (旧 Twitter) アカウントの新規取得
1. 管理コンソールへアクセス
X (旧 Twitter) の管理コンソールへアクセス
- 『アカウントを作成』を選択
2. ウィザードに従い登録する
ステップ1/5
- 任意の『名前』を入力
- 『電話番号』または、『メールアドレス』を入力
- 登録にメールアドレスを利用する場合、『かわりにメールアドレスを登録する』で切り替え
- 『生年月日』を入力
- ここでいう『生年月日』は代表者の正しい生年月日を入力
- サービス開始日を入力した場合、未成年者の利用として判断されることが想定される
- 『次へ』を選択
ステップ2/5
- 『X コンテンツを閲覧した…』のチェックを外す
- 『次へ』を選択
ステップ3/5
- 登録内容を確認
- 『利用規約』ほか、法的条件を確認する
- 『登録する』を選択
ステップ4/5
- 先に登録した連絡先に届く『確認コード』を入力
- 『次へ』を選択
ステップ5/5
- 『パスワード』に任意のパスワードを入力
- なお、このパスワードは代表者のみが記憶すれば良い
- 『次へ』を選択
プロフィール画像を選ぶ
- 任意でプロフィールを選ぶ、または『今はしない』を選択
名前を入力
- 任意で名前を入力
- X (旧 Twitter) 全体で一意である必要がある。
- 『今はしない』を選択
ホームへ移動
- 通知に関する設定が表示されるが、アカウントはこのタイミングから利用可能
- ホーム画面 へアクセスする
以上で、アカウントの作成が完了。
2. X (旧 Twitter) アカウントのプロファイルを変更する
1. 言語を日本語に変える
ホームから移動する場合、『More』 > 『Settings and Support』 > 『Settings and privacy』
Settings へ移動
- 『Accessibility, display, and languages』を選択
- 『Languages』 を選択
- 『Display language / English』を選択
- 『Japanese – 日本語』 を選択
- 『Save』 を選択
2. プロフィールを変える 事前準備
ホーム画面 へ移動
- 自身のアイコンを選択
- 『プロフィールを設定』
- 『プロフィール画像を選ぶ』で『今はしない』
- 『ヘッダーを選択』で『今はしない』
- 『自己紹介』に任意の文を入力
- これが、フラグになっているようです。 何かしら入力してください。
- ここが空欄の場合、名前などの変更が可能な画面に遷移しません。
- 『次へ』を選択
- 『どちらにお住まいですか?』で『今はしない』
- 『保存』を選択
- ページを再読み込みを 必ず実施してください
以上で、プロフィールの変更が可能となる。
3. プロフィールを変える
- 『プロフィールを設定』
- UI が全般的な変更画面に切り替わるため、情報を入力
- 入力後 『保存』を選択
以上で、プロフィールを変更。
3. X (旧 Twitter) アカウントに MFA を設定する
本手順は、 代表者 および 受任者 のアカウントで実施
受任者のアカウントがない場合、代表者の場合と同様に作成してください。
作成したばかりのアカウントは委任先に出てこないため、『5. アカウントの権限を委任する』以降の作業は、時間を空けてから実施してください。
1. MFA を設定
ホームから移動する場合、『もっと見る』 > 『設定とサポート』 > 『設定とプライバシー』
設定 へ移動
- 『セキュリティとアカウントアクセス』 > 『セキュリティ』を選択
- 『2要素認証』を選択
- 任意の認証方法を選択する
- 本手順では、『認証アプリ』を利用
2. 認証アプリでの認証
- 『パスワード』を入力
- 『確認』
- 『はじめる』を選択
- 任意の認証アプリで QR コード を読み取る
- 『次へ』を選択
- 認証アプリから、OTP を入力
- 『確認』を選択
- 『バックアップコードを取得』を選択
- バックアップコードを安全に保管する
3. 認証アプリの確認
- 『認証アプリ』にチェックが入っていることを確認
- 再ログイン時に、コードの入力を求められることを確認
以上で、MFA の設定は完了
4. 受任可能なように受任者アカウントを変更する
本手順は、 受任者 のアカウントで実施
1. 招待設定を行う
ホームから移動する場合、『もっと見る』 > 『設定とサポート』 > 『設定とプライバシー』
設定 へ移動
- 『セキュリティとアカウントアクセス』 > 『アカウント権限の付与』を選択
- 『他のユーザーがあなたを…』 をチェックする
- 『すべてのユーザーが…』を選択する
以上で、委任設定が可能となる。
5. アカウントの権限を委任する
本手順は、 代表者 のアカウントで実施
1. 委任設定の実施
ホームから移動する場合、『もっと見る』 > 『設定とサポート』 > 『設定とプライバシー』
設定 へ移動
- 『セキュリティとアカウントアクセス』 > 『アカウント権限の付与』を選択
- 『あなたがアカウント権限を付与したメンバー』を選択
- 『メンバーを招待』を選択
- 受任者のアカウントを検索
@xの場合はxで検索
- 受任者のアカウントを選択 ( ここでは、検証用たまご )
- 注意: 2023年 9月 6日現在では、作成したばかりのアカウントは検索に出てこないようです。
- 任意の役割を割り当てる
- 『招待を送信』を選択
- 『完了』を選択
以上で、委任の設定が完了
6. 委任の許諾
本手順は、 受任者 のアカウントで実施
メールから遷移する設定は、2023 年 9 月 6 日現在、不具合で動かないようなので、Web から実施する。
1. 受任設定を行う
ホームから移動する場合、『もっと見る』 > 『設定とサポート』 > 『設定とプライバシー』
設定 へ移動
- 『セキュリティとアカウントアクセス』 > 『アカウント権限の付与』を選択
- 『あなたにアカウント権限が付与されているアカウント』を選択
- 承認待ちの招待から、該当の招待を確認して、✔ (チェック) を選択
以上で、受任設定が完了。
2. 招待設定を解除 (任意)
- 必要に応じて、『他のユーザーがあなたを…』のチェックを外す
7. 受任者が代表者権限でポスト (旧 ツイート) を行う
受任者のアカウントを切り替えてポストする。
1. 代表者アカウントへ切り替え
画面左下の自身のアカウントを選択
- 『委任アカウント』から、ポスト (旧 ツイート) したいアカウントを選択
- 『アカウントの切り替え』を選択
- 受任したアカウントに関する情報を確認
- 通常通りポストを実施
- ポストを確認
以上で、代表者のアカウントからポスト (旧 ツイート) ができたことを確認
2. 自身のアカウントへ戻す
完了後は、自身のアカウントへ戻します。
- 同様の手順で、自身のアカウントへ戻します。 (この場合は、『検証用たまご』)
まとめ
以上の手順をすることで、MFA などの強固なセキュリティと、複数人によるアカウント運用を実現することができます。
現状の問題点として、役割がとても強力なものしか用意されておらず、不適切な投稿を行ったり、アカウントを取り違えるようなリスクが存在しています。
これらを解決するには、X (旧 Twitter) 側で役割を細分化していただく必要があると考えます。
2023 年 9月 6日現在では、代表者・受任者側で投稿内容の精査や、アカウントの取り違えに十分注意して運用してください。
以上
