ログイン試行回数を記録してアカウントロックを実装する方法【Spring Security入門】

ログイン試行回数を記録してアカウントロックを実装

新人と先輩の会話形式で理解しよう

新人

「Spring Securityでアカウントロックを実装したいんですが、どうすればいいんでしょうか？」

先輩

「Spring Securityでは、ログイン試行回数を記録して、一定回数を超えたらアカウントをロックする仕組みが作れますよ。」

新人

「試行回数ってどうやって記録するんですか？」

先輩

「まずはアカウントロックの基本と、ログイン試行回数の意味から理解していきましょう。」

1. アカウントロックとは何か？

アカウントロックとは、一定の条件を満たしたときにユーザーのログインを一時的に無効にするセキュリティ機能です。Spring Securityでは、不正アクセスや総当たり攻撃（ブルートフォースアタック）を防ぐために、アカウントロック機能がよく使われます。

例えば、同じユーザーがパスワードを何度も間違えると、そのユーザーアカウントをロックして、それ以上のログインを拒否するという仕組みです。ロック中はログインできず、一定時間後に自動で解除したり、管理者が手動で解除する設計が一般的です。

この機能は、セキュリティ対策として非常に重要で、ログイン試行回数と組み合わせて実装されることが多いです。

2. なぜログイン試行回数の記録が必要なのか？

悪意のあるユーザーが、パスワードを手当たり次第に入力してログインを試みる攻撃に対抗するために、ログイン試行回数の記録は必要不可欠です。

Spring Securityには標準でアカウントロック機能がありますが、試行回数の記録や判断ロジックはカスタマイズが必要になります。ユーザーがログインに失敗するたびに、試行回数をカウントし、設定した上限を超えたら、そのアカウントをロックする処理を実装します。

例えば、以下のような処理を行うクラスを作成して、試行回数を管理します。


public class LoginAttemptService {
    private final int MAX_ATTEMPTS = 5;
    private final Map<String, Integer> attemptsCache = new HashMap<>();

    public void loginFailed(String username) {
        int attempts = attemptsCache.getOrDefault(username, 0);
        attempts++;
        attemptsCache.put(username, attempts);
    }

    public boolean isBlocked(String username) {
        return attemptsCache.getOrDefault(username, 0) >= MAX_ATTEMPTS;
    }

    public void loginSucceeded(String username) {
        attemptsCache.remove(username);
    }
}

このようにして、ログイン試行回数をしっかりと管理し、一定回数失敗したらロックするという設計が可能になります。

3. Spring Securityでのアカウントロックの全体的な流れ

Spring Securityでアカウントロックを実装するには、いくつかのステップを組み合わせる必要があります。ここでは、全体的な流れを紹介します。

① ユーザー情報にアカウントロック状態を保持するカラム（例：isAccountNonLocked）を追加
② ログイン失敗時に試行回数を加算する仕組みを導入
③ 一定回数を超えたら、アカウントをロック状態に更新
④ ユーザー認証時にアカウントロック状態をチェック

以下のように、UserDetailsの実装クラスで、isAccountNonLocked()メソッドをオーバーライドして、ロック状態を返します。


public class CustomUserDetails implements UserDetails {

    private final User user;

    public CustomUserDetails(User user) {
        this.user = user;
    }

    @Override
    public boolean isAccountNonLocked() {
        return user.isAccountNonLocked();
    }

    // その他のメソッドも実装
}

Spring Securityでは、このisAccountNonLocked()がfalseを返すと、そのアカウントはログインできません。

また、ログイン成功時には試行回数をリセットするようにして、正常にログインできるようにしておきます。

このように、ログイン試行回数とアカウントロックの仕組みを連携させることで、安全なログイン処理を実現できます。

4. ユーザーのログイン試行回数を記録する方法（DB またはメモリ）

ログイン試行回数の記録方法には、大きく分けてメモリ管理とデータベース管理の2種類があります。

まず、もっとも簡単な方法は、メモリ上に試行回数を一時的に保存する方法です。たとえば、Mapなどのコレクションを使用して、ユーザー名ごとに試行回数をカウントします。この方法は実装が簡単で、データベースを使わずに済むので、学習用や小規模システムでは有効です。


private final Map<String, Integer> loginAttempts = new ConcurrentHashMap<>();

public void recordFailedAttempt(String username) {
    int attempts = loginAttempts.getOrDefault(username, 0);
    loginAttempts.put(username, attempts + 1);
}

しかし、メモリ管理の場合はアプリケーションを再起動するとデータが消えてしまうという欠点があります。そこで、本番環境ではデータベースに試行回数を記録することが一般的です。

データベース管理では、Userエンティティに試行回数を記録するカラムを追加し、ログイン失敗のたびに値を加算します。


@Entity
public class User {
    private int failedAttempt;
    private boolean accountNonLocked;

    public void incrementFailedAttempt() {
        this.failedAttempt++;
    }

    public void resetFailedAttempt() {
        this.failedAttempt = 0;
    }
}

このように、ユーザー情報に直接試行回数を保存しておくと、ログイン失敗があった場合にもデータが永続的に残り、アカウントロックの判断が確実になります。

5. 試行回数をチェックして制限に達した場合のロック処理の仕組み

ログイン試行回数が一定の制限を超えた場合は、そのユーザーのアカウントをロックログイン認証処理の中で条件分岐して行います。

たとえば、ログイン失敗時にfailedAttemptが5回以上になったら、accountNonLockedをfalseに設定します。


public void handleFailedLogin(User user) {
    user.incrementFailedAttempt();
    if (user.getFailedAttempt() >= 5) {
        user.setAccountNonLocked(false);
    }
    userRepository.save(user);
}

この処理を行うことで、Spring Security側でisAccountNonLocked()がfalseを返すようになり、自動的にそのユーザーのログインを拒否できます。

また、ログイン成功時には試行回数をリセットする必要があります。リセット処理もログイン成功ハンドラに実装しておくことで、安全で柔軟な管理が可能になります。


public void handleSuccessfulLogin(User user) {
    user.resetFailedAttempt();
    userRepository.save(user);
}

このようにして、Spring Securityと連携した試行回数制限のロジックを構築することができます。

6. Spring SecurityのAuthenticationFailureHandlerの活用方法

ログイン失敗のたびに試行回数を記録し、ロック処理に移行するには、Spring SecurityのAuthenticationFailureHandlerインタフェースを活用します。

このインタフェースは、ログインに失敗したときに呼び出される処理を実装できる仕組みです。ここでユーザー名を取得して、試行回数の記録やロック判定を行います。


public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Autowired
    private UserRepository userRepository;

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception)
                                        throws IOException, ServletException {

        String username = request.getParameter("username");
        User user = userRepository.findByUsername(username);

        if (user != null && user.isAccountNonLocked()) {
            user.incrementFailedAttempt();
            if (user.getFailedAttempt() >= 5) {
                user.setAccountNonLocked(false);
            }
            userRepository.save(user);
        }

        response.sendRedirect("/login?error");
    }
}

このようにonAuthenticationFailure内で試行回数を管理することで、失敗時の処理を柔軟に制御できます。

このハンドラは、SecurityConfigクラスの中で設定する必要があります。


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomAuthenticationFailureHandler failureHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .formLogin()
                .loginPage("/login")
                .failureHandler(failureHandler)
                .permitAll()
            .and()
            .authorizeRequests()
                .anyRequest().authenticated();
    }
}

これで、ログインに失敗したときに、CustomAuthenticationFailureHandlerが呼び出され、ログイン失敗処理と試行回数制限のロジックが自動的に機能するようになります。

このように、Spring Securityの機能をうまく活用することで、セキュリティ強化につながるログイン管理が可能になります。

7. ロックされたアカウントの復旧方法（時間解除・管理者解除など）

Spring Securityでアカウントがロックされた場合、そのままではユーザーはログインできません。そこで必要になるのが、アカウント復旧の仕組みです。代表的な復旧方法は以下の２つです。

① 一定時間経過後に自動解除する方法
② 管理者が手動で解除する方法

まず、自動解除の方法ですが、ユーザーエンティティに「ロック時間」を保持するフィールドを追加します。


private LocalDateTime lockTime;

public boolean isAccountNonLocked() {
    if (!this.accountNonLocked) {
        if (lockTime != null) {
            LocalDateTime unlockTime = lockTime.plusMinutes(15);
            if (LocalDateTime.now().isAfter(unlockTime)) {
                this.accountNonLocked = true;
                this.failedAttempt = 0;
                this.lockTime = null;
                return true;
            }
        }
        return false;
    }
    return true;
}

このようにして、ロックされた時刻から15分後に自動で解除されるようにします。Spring SecurityはisAccountNonLocked()を毎回認証時にチェックするため、解除処理もこの中で完結できます。

次に、管理者による手動解除は、管理画面などからユーザーのaccountNonLockedをtrueに設定し、failedAttemptをリセットする形で行います。


public void unlockUser(User user) {
    user.setAccountNonLocked(true);
    user.setFailedAttempt(0);
    user.setLockTime(null);
    userRepository.save(user);
}

このようにして、手動による解除も柔軟に実装できます。どちらの方法を採用するかは、システムの要件や運用ルールに応じて選択してください。

8. ログ記録と監査用ログの出力（Logger活用・Security Eventの活用）

アカウントロックやログイン失敗といった重要な操作は、セキュリティ監査の観点からも記録しておく必要があります。ログの出力にはLoggerを使うのが一般的です。

たとえば、ログイン失敗のたびに記録するようにAuthenticationFailureHandlerでログを出力します。


private static final Logger logger = LoggerFactory.getLogger(CustomAuthenticationFailureHandler.class);

@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                     AuthenticationException exception)
                                     throws IOException, ServletException {

    String username = request.getParameter("username");
    logger.warn("ログイン失敗：ユーザー名 = {}", username);

    // 試行回数ロジック省略...
}

ログにはWARNやERRORレベルを使い、ログイン失敗やロックされたアカウントを明確に記録します。

また、Spring Securityのイベント機構を使うと、ログイン成功・失敗・ロックなどのイベントをハンドリングできます。イベントリスナーを作成して、必要な操作を自動で記録することも可能です。


@Component
public class AuthenticationEventListener {

    private static final Logger logger = LoggerFactory.getLogger(AuthenticationEventListener.class);

    @EventListener
    public void handleFailure(AbstractAuthenticationFailureEvent event) {
        logger.warn("認証失敗イベント発生：{}", event.getAuthentication().getName());
    }

    @EventListener
    public void handleSuccess(AuthenticationSuccessEvent event) {
        logger.info("認証成功：{}", event.getAuthentication().getName());
    }
}

このようにして、ログイン関連の監査ログを自動で記録することができ、セキュリティ面でも信頼性の高いシステムとなります。

9. 実装上の注意点・セキュリティ上のベストプラクティス

最後に、ログイン試行回数の制限やアカウントロックを実装する際の注意点と、セキュリティ対策のベストプラクティスについて整理します。

試行回数制限をユーザーIDだけでなくIPアドレスでも記録する
同一ユーザーへの攻撃だけでなく、システム全体に対する攻撃（総当たり）を検知するため。
エラーメッセージを詳細にしすぎない
「パスワードが間違っています」などのメッセージは、ユーザー存在を推測される恐れがあるため、「ユーザー名またはパスワードが正しくありません」とまとめる。
ログ出力には個人情報を書かない
パスワードや個人情報をログに出力しないよう注意する。
アカウントロック状態を通知する
ユーザー自身がロック状態に気づけるように、ログイン画面やエラーメッセージで案内する。
CSRFやセッション固定攻撃対策と併用する
ログイン処理は複数の脅威にさらされるため、csrf()やsessionManagement()の設定も忘れずに。

また、アプリケーションが大規模になる場合は、Redisなどのインメモリキャッシュと組み合わせることで、分散環境でも一貫した試行回数管理が実現できます。

今回紹介したように、Spring Securityは非常に柔軟で、試行回数の記録やアカウントロック、復旧、ログ出力まで統合的に対応できます。初心者でも少しずつ理解を深めながら、実際にコードを書いてみることで、確実に習得できるはずです。

まとめ

ここまで、Spring Securityを活用したログイン試行回数の記録と、それに基づくアカウントロックの実装方法について詳しく解説してきました。Webアプリケーションにおいて、ユーザーの認証情報を守ることはエンジニアの最優先事項の一つです。特にブルートフォースアタック（総当たり攻撃）のような、古典的でありながら強力な脅威に対して、今回学んだ仕組みは非常に有効な防衛策となります。

ログイン試行回数管理の重要性

単に「パスワードが合っているか」を確認するだけでなく、「何回失敗したか」というログイン履歴を管理することで、不正な挙動を早期に検知できます。Spring Securityの標準機能だけでは、詳細な試行回数のカウントや永続化まではカバーしきれない部分があるため、AuthenticationFailureHandlerを自作したり、サービス層でカウント用のロジックを実装したりするカスタマイズが不可欠です。

実装のポイントは、以下の3点を一貫性を持って構築することです。

記録： メモリ（Map）やデータベース（JPA/Entity）を使って正確にカウントする。
判定： 設定した閾値（例：5回失敗）を超えた瞬間に、ユーザーの状態を「ロック」へ切り替える。
解除： 一定時間の経過（自動解除）や、管理者による手動操作でアカウントを安全に復旧させる。

実戦的なコード構成の振り返り

復習として、データベースを利用したより実戦的なアカウントロック管理のエンティティ例を再確認しましょう。Spring Data JPAなどを利用している場合、以下のようなフィールド構成が標準的です。


@Entity
@Table(name = "users")
public class UserEntity {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    @Column(unique = true, nullable = false)
    private String username;

    @Column(nullable = false)
    private String password;

    // ログイン試行失敗回数
    @Column(name = "failed_attempt", nullable = false)
    private int failedAttempt = 0;

    // アカウントがロックされていないか（true: 有効, false: ロック中）
    @Column(name = "account_non_locked", nullable = false)
    private boolean accountNonLocked = true;

    // ロックされた日時
    @Column(name = "lock_time")
    private LocalDateTime lockTime;

    // ゲッター・セッター・ビジネスロジック...
    
    public void lock() {
        this.accountNonLocked = false;
        this.lockTime = LocalDateTime.now();
    }
    
    public void unlock() {
        this.accountNonLocked = true;
        this.failedAttempt = 0;
        this.lockTime = null;
    }
}

セキュリティを高めるための運用Tips

実際の開発現場では、コードを書くだけでなく「運用」まで考慮する必要があります。例えば、ロックが発生した際にユーザーの登録メールアドレスへ「不審なログイン試行があったためアカウントを保護しました」といった通知メールを送信する処理を加えると、UXとセキュリティの両面で質が向上します。

また、開発環境ではテストを容易にするためにロック時間を短く設定し、本番環境ではセキュリティポリシーに基づいた適切な時間（15分〜1時間程度）を設定するなど、設定値の外部化（application.properties等）も忘れずに行いましょう。

Spring Securityは奥が深いフレームワークですが、一つ一つのインターフェースやハンドラの役割を紐解いていけば、必ず自分のものにできます。まずは今回紹介した基本的なステップをベースに、実際のプロジェクトへ組み込んでみてください。

先生と生徒の振り返り会話

生徒

先生、ありがとうございました！ログイン試行回数を数えてアカウントをロックする流れ、ようやく具体的なイメージが湧きました。最初は「Spring Securityが全部自動でやってくれるのかな」と思っていましたが、意外と自分で手を動かして書く部分が多いんですね。

先生

そうですね。Spring Securityは非常に強力な土台を提供してくれますが、システムによって「何回でロックするか」や「どうやって解除するか」という要件はバラバラですから、開発者が自由にカスタマイズできるようになっているんです。

生徒

特に AuthenticationFailureHandler の使い道が印象的でした。あそこでユーザーを検索して、試行回数をインクリメントして保存する……。ログインに失敗した瞬間に裏側でそんな処理が動いているとは驚きです。

先生

その通りです。ただ一つ注意したいのは、ユーザーが存在しない場合でも処理時間が変わらないようにすること。ユーザーがいる時だけ処理が重くなると、そこから「登録済みユーザーの特定」という情報漏洩に繋がることもあるんですよ。

生徒

なるほど、タイミング攻撃というやつですね。深いなぁ……。あと、自動解除の仕組みで isAccountNonLocked() メソッドの中で時間の判定をする手法もスマートで感動しました。これなら別途バッチ処理を組まなくても、ログイン時にチェックできますね！

先生

いいところに気づきましたね。シンプルで効率的な実装です。もちろんアクセス数が多い大規模システムならRedisなどの外部キャッシュを使う方法もありますが、まずはこの基本をしっかり押さえておけば大丈夫です。

生徒

はい！これで「何度も間違えても入り放題」なガバガバなログイン画面から卒業できそうです。次はログ出力の部分を拡張して、管理画面で怪しい動きをチェックできるようにしてみます！

先生

その意気です。セキュリティは一度作って終わりではなく、常に監視して改善していくものです。学んだことを活かして、より安全なアプリケーションを目指してくださいね。

この記事を読んだ人からの質問

プログラミング初心者からのよくある疑問／質問を解決します

Spring Securityでアカウントロックを実装するメリットは何ですか？

Spring Securityを利用してアカウントロックを実装する最大のメリットは、悪意のある第三者による不正アクセスや、パスワードを手当たり次第に入力してログインを試みる総当たり攻撃（ブルートフォースアタック）を効果的に防げる点にあります。一定回数のログイン失敗が発生した際に、そのユーザーアカウントを一時的に無効化することで、セキュリティ性能を大幅に向上させることが可能です。特にSpring SecurityはJava開発における標準的なフレームワークであり、認証や認可の仕組みと密接に連携したアカウント管理が実現できます。