Moodleのアカウントロックアウト機能とは？～運用上の注意点～

Moodleには、ログイン時のパスワード誤入力が一定回数続いた場合にアカウントをロックする、「アカウントロックアウト機能」が用意されています。

一方で、

• 標準では有効なのか？
• 「何回」でロックされるのか？
• 管理者も対象になるのか？
• 解除方法は制御できるのか？

といった点は、公式ドキュメントを読んでも実際の挙動がイメージしづらいのが正直なところです。

本記事では、公式仕様＋実際に設定・検証した結果をもとに、アカウントロックアウト機能の挙動を整理します。

ただし、運用方針により管理者が明示的に有効化することは可能です。

設定場所と必要な項目

設定は以下から行います。

サイト管理＞一般＞サイトセキュリティ設定

有効化する場合は、次の3項目をセットで設定します。

1. アカウントロックアウト閾値（lockoutthreshold）：
   一定時間内に許容するログイン失敗回数です。この回数に達すると、アカウントがロックされます。
   ロックアウト発生時には、登録メールアドレス宛に「ロック解除用URL」が記載されたメールが送信されます。
2. アカウントロックアウト監視時間（lockoutwindow）：
   上記の失敗回数をどの時間範囲でカウントするかを指定します。
   この設定がないと、「1回ずつ間違えるのを何日も積み重ねてロックされる」といった意図しない挙動になりかねません。
3. アカウントロックアウト継続時間（lockoutduration）：
   ロックアウトされたアカウントが自動的に解除されるまでの時間です。
   数値を設定→時間経過で自動解除
   0を設定→時間経過による自動解除は行われない
   ※「0＝永久ロック」ではありません（後述）

なぜ3項目セットなのか

これらは相互に関連して動作するため、
アカウントロックアウト閾値（lockoutthreshold）だけを単独で設定することは想定されていません。

「回数」「時間枠」「解除条件」を組み合わせて、初めて1つの機能として成立します。

ロックアウト後の解除方法（重要）

ロックアウトされたアカウントは、次の3通りの方法で解除できます。

1. 利用者本人による解除
   ロックアウト時にアカウント登録時のメールアドレス宛に送信されるメール内の解除URLをクリック
2. 管理者による手動解除
   サイト管理>ユーザ>ユーザー一覧画面>アカウントの編集メニューから解除
3. 時間経過による自動解除
   アカウントロックアウト継続時間（lockoutduration）に設定した時間の経過後

よくある質問

おわりに

Moodleのアカウントロックアウト機能が標準で無効（NO）となっているのは、セキュリティを軽視しているためではありません。

不正アクセス対策よりも先に、正当な学習者の学習機会を不必要に止めないことを重視した、Moodleの設計思想に基づく判断といえます。

そのため、本機能の有効化は、「機能が用意されているかどうか」ではなく、利用目的・利用者層・運用体制を踏まえて慎重に判断すべき項目となります。

アカウントロックアウト機能は、設定自体はシンプルである一方、実際の挙動や解除条件を正しく理解していないと想定外のロックアウトや運用トラブルを招きやすい、という特徴を持つ機能でもあります。

特に、管理者アカウントもロック対象となる点や、解除方法が複数存在する点は、

事前に把握しておかなければ運用上のリスクになりやすいポイントです。

本記事が、Moodle管理者・運用担当者の皆さまにとって、設定可否を判断する際の一助となれば幸いです。