メインコンテンツへスキップ
  • システム設定を管理

    • システム設定で設定できる管理画面JQueryバージョンは、最新にしておくことでセキュリティの脆弱性を防ぐことが可能です。

       

      01jQueryの基礎知識

      1.1jQueryとは

      jQueryとは、JavaScriptで行えることをシンプルにまとめたライブラリ言語です。
      jQueryを使用するには、jQueryをダウンロード、もしくはWEB上から読み込む必要があります。

      読み込めるjQueryにはバージョンがあり、そのバージョンは更新されていきます。
      バージョンが更新される中で、旧バージョンを使用し続ける場合はクロスサイトスクリプティング(XSS)の被害を受ける脆弱性が危惧されます。

      XSSについては、以下FAQをご確認ください。

       

      1.2jQueryのバージョンについて

      1.1でも述べたように、jQueryにはバージョンがあり、旧バージョンを使用し続けている場合、クロスサイトスクリプティング(XSS)の被害を受ける脆弱性が指摘されています。

      SMPでは管理画面上でバージョンを変更することが可能です。
      セキュリティダッシュボードにて「管理画面jQueryバージョン」のエラーが表示された場合は、最新のバージョンに設定の変更することを推奨します。
      jQueryのバージョンを最新に設定していただくことで、脆弱性対策を行うことが可能です。

      SMPで登録できるjQueryバージョンについては、以下の3つがあります。(2023年1月時点)

      バージョン 説明
      1.3.2: JQuery 1.3.2 SMPで選択できる中では一番古いバージョンになります。
      ※旧UIのみ選択が可能で、新UIでは表示されず、選択できないようになっています。
      3.3.1: JQuery 3.3.1 クロスサイトスクリプティング(XSS)の脆弱性が存在します。
      3.5.1: JQuery 3.5.1 最新のバージョンになります。

       

      注意点

      最新のバージョンではない場合、SMPの一部機能が意図しない挙動になったり、使用できないことがあります。

       

      02SMPでのjQueryバージョン変更について

      2.1対策前の確認

      jQueryのバージョンを変更する際は、変更にあたっての影響範囲を踏まえたうえで設定を行う必要があります。
      管理画面のカスタマイズを行っている場合、意図しない挙動になってしまう可能性があるためです。

      また、以下のようなシステム設定の場合は、管理画面をカスタマイズしている可能性があるため、切り替えを行う前に担当営業までご相談ください。

      全キャンペーン(青色の画面):[設定]>[システム設定一覧]
      項目名 設定値
      ヘッダー・フッター

      0(無効)

      ※表示が「0(無効)」の場合でも、システム設定一覧で[編集]から確認すると「2」と記載されている場合がありますが、その場合も担当営業までご相談ください。

       

      2.2対策の設定方法

      SMPの管理画面でjQueryを変更する場合は、以下の手順で可能です。

      1. 全キャンペーン(青色の画面):[設定]>[システム設定一覧]をクリック

      2. 上部にある[編集]ボタンをクリック
      3. 画面内検索(Ctrl+F)で「jQuery」と検索
      4. 「管理画面JQueryバージョン」の項目で、「3.5.1」を選択
      5. 下にスクロールし[登録]ボタンをクリック
        settei.gif

       

      2.3設定後の確認

      管理画面のカスタマイズを行っておらず、最新のバージョンに変更した場合は基本的に画面に変更はないため、確認の必要はありません。

      しかし、管理画面をカスタマイズしている可能性がある場合や、2.1で記載した設定を行っている場合は動作検証が必要になるため、一度、担当営業までご相談していただき、挙動の確認をお願いします。

      設定後は実際に管理画面などを閲覧し、動作に問題がないかを確認してください。

       

      03関連コンテンツ

       

      管理画面jQueryバージョン対策について

    • X-Frame-Optionsの設定は、クリックジャッキング攻撃の対策を行うことが可能です。
      本記事では、クリックジャッキング攻撃の基礎知識と具体的な対策方法について案内します。

       

      01クリックジャッキングの基礎知識

      1.1 クリックジャッキング攻撃とは

      クリックジャッキングとは、Webサイト上に隠蔽・偽装したリンクやボタンを設置し、サイト訪問者を視覚的に騙してクリックさせる等、訪問者の意図しない操作をするよう誘導させる攻撃手法です。

      例えば、ボタンやリンク等を透明で見えない状態にし、通常のWebサイトとかぶせることによって、Web訪問者の意図しない悪意のあるサイトに遷移してしまう、あるいは埋め込まれたコードを実行させられてしまうことがあります。

      ____________________10_.png

      図1.クリックジャッキング攻撃の例

      具体的には、悪意のあるサイトから「iframe(インラインフレーム)」等のHTMLタグを使って、通常のWebページを呼び出すことで、指定したURLリンク先のページ内容を、現在表示しているページの一部分であるかのように表示させることができます。

      ____________________11_.png

      図2.クリックジャッキング攻撃の仕組み例

       

      1.2 X-Frame-Optionsとは

      通常のWebサイト側で予めHTTPレスポンスヘッダに X-Frame-Options を指定することで、
      Web ブラウザが別ページ中のframeタグやembedタグ、objectタグから、通常のWebサイト情報を参照して埋め込み表示するのを許可するかどうか指定するもので、クリックジャッキングを防止する対策手法です。

      ____________________12_.png

      図3.X-Frame-Optionsの例

       

      02SMPでのクリックジャッキング攻撃対策について

      2.1 SMPでのクリックジャッキング攻撃対策

      SMPでは、外部のページ内からSMPの画面を呼び出すことに対して制御をかけ、表示できないようにするといったクリックジャッキング攻撃対策が設定できます。

      ____________________5_.png

      図4.SMPでのクリックジャッキング攻撃対策

       

      2.2 影響範囲の調査方法

      SMPにてクリックジャッキング攻撃対策をするためには、
      現在のお客様の設定を確認いただいたうえで、設定する必要がございます。

      以下、お客様の設定をご確認の上、「2.3対策の設定方法」にお進みください。

      1. お客様のSMPのシステム設定一覧で設定されている値を確認します。
        全キャンペーン>サイドメニュー:設定>システム設定一覧
        確認する項目:X-Frame-Options
      2. 外部サイトでのSMPの使用状況の確認をします。
        ①SMPで作成した申込フォームを外部サイトに埋め込んでいるか。
        ②①に該当する場合、以下のタグを使用して申込フォームURLを呼び出しているか。
        使用タグ:iframe、embed、object
        ※お客様の使用しているサイトの構成をご確認ください。

       

      2.3 対策の設定方法・手順

      設定方法は以下のとおりです。

      全キャンペーン>サイドメニュー:設定>システム設定一覧
      1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。

      2. 画面内検索(CTRL+F)で「X-Frame-Options」を検索します。
      3. 画面上部にある「編集」リンクをクリック後、「SAMEORIGIN」を選択し、画面最下部の登録ボタンをクリックします。

       

      • 「2.2影響範囲の調査方法」でSMPで作成したフォームを外部サイトで使用している場合は、「ALLOW-FROM」を選択し、ドメインを設定してください。

      __________2023-01-19_102142.jpg

      図5.システム設定一覧イメージ

      ■各選択肢の説明

      X-Frame-Options 説明

      OFF

      外部WebサイトにてSMPページ表示できる

      SAMEORIGIN

      同一ドメイン内のみ、SMPページ表示を許可(SMP自サイト内のみ表示)

      ALLOW-FROM

      設定手順2.の一つ下にある項目

      「X-Frame-OptionsがALLOW-FROM時の許可ドメイン」で指定したドメインに限り、SMPページ表示を許可

       

      X-Frame-Options対策について

    • システム設定を管理するシステム設定とは、お客様のSMP環境におけるさまざまな設定を管理している画面です。項目によっては、お客様自身で変更できない項目もございます。その際は弊社担当者までご相談ください。設定値の変更方法は、次のとおりです。システム設定一覧画面([設定][システム設定一覧])に遷移します[編集]ボタンをクリックします変更・確認したい項目を探します補足システム設定一覧画面では検索機能はありません。そのため、画面検索を行って探してください。例:PC環境で閲覧している場合キーボードの「Ctrl」+「F」より、画面検索ができます。システム設定一覧画面で「パスワード」をキーワードに検索した場合の例システム設定編集画面に遷移しますキーボードで「Ctrl」+「F」より、「パスワード」検索します項目の詳細説明を確認します項目の右にあるハテナマーク()をクリックします下記キャプチャより、「パスワードの有効期間(日)(管理者)」の項目を変更する例とします。説明内容を確認します設定値を変更します画面下部の[登録]ボタンをクリックして、設定変更を完了させます
      https://smpdoc.shanon.co.jp/ja/setting/multisystemsetting/

      システム設定を管理する

    • SHANON MARKETING PLATFORMには、アクセス集中時やエラーが発生した場合の画面、システムのメンテナンス中に表示される画面があります。
      各画面の表示に関しましては、以下のマニュアルに詳しい記載があります。

      関連マニュアル

       

      アクセス集中時、どのような画面が表示されるのか

    • 管理画面UIバージョンを最新バージョンに変更することで可能です。
      管理画面UIバージョンとは、SHANON MARKETING PLATFORM (以下、SMPと表記)の管理画面デザインを変更できる機能を指します。利用できる製品機能や仕様制限等に違いはありません。

      2020年7月現在、管理画面UIバージョンは「バージョン最新」「バージョン1」の二種類から選択できます。

      【1】バージョンによる管理画面UIの違い

      ◆管理画面UIバージョン最新の場合

      61.png

      図1:管理者UIバージョン最新

      ◆管理画面UIバージョン1の場合

      71.png

      図2:管理者UIバージョン1

       

      【2】設定の確認・変更方法

      1. 全キャンペーン(セミナー)管理モード>[設定]タブ>[システム設定一覧]メニューを開きます。
      2. システム設定項目「管理画面UIバージョン」から、現在の設定値を確認します。
      3. 設定値を変更したい場合には、画面上部の[編集]ボタンをクリックし設定値を変更して、[登録]をクリックします。

        51.gif

       

      注意点

      ・特権管理者権限をお持ちの管理者のみが変更できる設定機能となります。

      ・管理画面カスタマイズ※1 を行われている環境では、カスタマイズ部分に画面崩れ等の影響が出る恐れがあります。

      ・「管理画面UIバージョン」にて「バージョン 1」以外を選択すると以下も設定されます。
       「管理画面UIバージョン」を「バージョン 1」に戻す場合は、以下の項目も合わせてご確認ください。
       ー管理画面JQueryバージョン: 3.3.1
       ー大規模向けページャーを利用する: 有効

      ※1 管理画面カスタマイズとは
      管理画面のデザインを個別環境独自で変更することができる機能です。
      全キャンペーン(セミナー)管理モード>[設定]タブ>[システム設定一覧]メニューのシステム設定項目「ヘッダー・フッター 」が「無効」となっている場合に、管理画面カスタマイズを利用している可能性があります。
      「ヘッダー・フッター:無効」のドメインをご利用の場合は、変更前に担当営業へ管理画面UIバージョンの変更可否をご確認ください。  

      41.PNG 

      管理画面のUIバージョンを変更したい

  • ユーザ・アカウントを管理

    • グループを管理するグループはユーザとロールを紐づけるために利用します。ユーザは1つのグループだけに属することができます。一つのグループは複数のロールを持つことができます。ロール設定については「ロールを管理する」ページをご参照ください。グループを登録するグループをダウンロードするグループを登録するあらかじめ作成していたロールを選択(複数選択可)し、管理者の権限を細かく設定するグループを登録することができます。登録方法は、次のとおりです。グループ設定画面([設定][グループ設定])に遷移します[新規登録]ボタンをクリックしますグループ情報を入力し、紐づけるロールにチェックします補足「一覧」のロールは「ロールを登録する」ページより作成されたロールが対象となります。[登録]ボタンをクリックしますグループをダウンロードするグループ情報を一覧にして出力します。出力方法は、次のとおりです。ユーザ設定一覧画面([設定][グループ設定])に遷移します「の操作」より[CSVダウンロード]をクリックします注意ロールのダウンロード機能は、全件が出力されます。ロール検索を行ってからダウンロードを実施しても、全件の出力となります。[今すぐダウンロードする]ボタンをクリックします検索結果
      https://smpdoc.shanon.co.jp/ja/setting/group/

      グループを管理する

    • 管理者をダウンロードする管理者情報を一覧にして出力します。出力方法は、次のとおりです。ユーザ設定一覧画面([設定][ユーザ設定])に遷移します「の操作」より[全CSVダウンロード]をクリックします注意管理者のダウンロード機能は、全件が出力されます。管理者検索を行ってからダウンロードを実施しても、全件の出力となります。[今すぐダウンロードする]ボタンをクリックします検索結果
      https://smpdoc.shanon.co.jp/ja/setting/admindata/chapter004/

      管理者をダウンロードする

    • 管理者を一括登録する複数の管理者を一括で登録することができます。個別に登録したい場合は「管理者を登録する」ページをご参照ください。管理者の一括登録方法は、次のとおりです。ユーザ設定画面([設定][ユーザ設定])に遷移します[アップロード]ボタンをクリックします一括登録項目を指定します項目の詳細は、次の表のとおりです。項目説明モード管理者を新規登録するか、既に登録されている管理者に上書き更新するかを選択します。選択肢は次の通りです。・新規登録(※1)・上書き更新(※2)※1 管理者を新規で登録します。※2 キーに一致した場合は管理者情報を更新します。更新キー一括登録の際に更新キーを指定します。更新キーの変更は、システム設定一覧の「管理者CSVアップロード時の更新キー」より設定変更することができます。また、複数の更新キーを同時に指定することが可能です。その場合はそれぞれのキーを「:(コロン)」で区切って登録してください。例)name1:name2新規に作成する管理者宛てに登録完了を伝えるメールを送信しますか?登録した管理者宛てに登録完了メールを送信するかを指定します。実際に送信されるメールテンプレートは、メール設定画面([メール][メール設定])のカテゴリ「管理者登録時(登録対象管理者宛)」をご参照ください。CSVファイル一括登録用のファイルをアップロードします。「ベースファイルダウンロード」を利用すると容易にCSVファイルを作成することができます。ベースファイルCSVをダウンロードします[ベースファイル]リンクをクリックし、ベースファイルをダウンロードします。CSVファイルを作成しますベースファイルCSVの上部2行の列は、基本項目設定の項目の情報となりますので、上部2行に合わせて3行目以降の管理者情報を入力します。注意・郵便番号や電話番号など、ゼロ(”0”)で始まる数字を入力する場合は、ゼロ落ちしないように表示形式にご注意してください。・更新キーにしている項目(例:E-mail)は値を入力しなくてはいけません(列を削除してはいけません)。・空白の列は空白で上書き更新されます。ベースファイルの列を削除して新規登録または更新されないようにします。CSVファイルをアップロードします登録画面の「CSVファイル」項目に作成したファイルを選択し、[登録]ボタンでアップロードを実行します。アップロード結果を確認しますアップロードした結果は、CSV登録結果画面で確認することができます。正常にアップロードされた場合は、[アップロード件数]と[登録完了件数]の値が一致し、[エラー(未登録)件数]が[0]と表示されます。また、一括登録画面の[CSV一括登録履歴]ボタンをクリックすることで、アップロード履歴を参照することが可能です。
      https://smpdoc.shanon.co.jp/ja/setting/admindata/chapter003/

      管理者を一括登録する

    • 管理者を登録するSMPのシステム管理者の登録ができます。複数の管理者を一括で登録したい場合は「管理者を一括登録する」ページをご参照ください。管理者登録手順について管理者の登録管理者登録手順について管理者を登録する際には、グループ設定やロール設定があらかじめ登録されている必要があります。管理者の登録手順は、次を参考にしてください。ロールを登録しますグループを登録します手順1で設定したロールを選択します。管理者を登録します手順2で設定したグループを選択します。管理者の登録方法は、以降をご確認ください。管理者の登録管理者の登録方法は、次のとおりです。ユーザ設定画面([設定][ユーザ設定])に遷移します[新規登録]ボタンをクリックします管理者登録情報を入力します管理者項目における特殊項目(制限機能がある項目)の詳細は、次のとおりです。項目説明グループグループ設定より作成・変更したものを選択します。詳細は「グループを管理する」ページをご参照ください。ログインID管理者ログインする際に必要なログインIDです。管理者レベル管理者のレベルを選択します。選択肢は次のとおりです。・特権管理者 (※1)・キャンペーン管理者(※2)・サブキャンペーン管理者(※3)※1全キャンペーンおよび個別キャンペーン両方の全てのURLの権限を割当てることができます。主にシステム担当者や管理者が保持する権限となります。※2個別キャンペーンの担当するキャンペーンのみのURLを操作することができる権限です。また、キャンペーンの担当割当方法は、「キャンペーンに担当者を設定する」ページをご参照ください。※3個別キャンペーンの担当するサブキャンペーンのみのURLを操作することができる権限です。システム設定一覧画面より「サブキャンペーン管理者」を「有効」としている場合のみ選択肢に復元されます。ご希望の場合は、弊社担当者までご相談ください。また、サブキャンペーンの担当割当方法は、「サブキャンペーンに担当者を設定する」ページをご参照ください。タイムゾーン管理者が使用する地域のタイムゾーンを選択します。「デフォルト」を選択する場合、ご使用のパソコンが理解する地域でのタイムゾーンとなります。通知メール(満席・残席・申込期限)担当とするキャンペーン、サブキャンペーンの通知を有効とするかを選択します。選択肢は、次のとおりです。・配信なし・担当キャンペーンのみ配信する(※)・全て配信する※担当割当されているキャンペーンの満席、残席、申込期限の通知のみを配信します。ダッシュボードアカウントダッシュボードの権限を選択します。選択肢は、次のとおりです。・なし・閲覧・編集・共有※権限の詳細は、「権限の種類について」ページをご参照ください。補足・残席通知はシステム設定一覧画面の「「残席わずか」の表示しきい値」項目の値より通知されます。しきい値は「申込数/定員×100」です。デフォルトは「80(%)」です。特権管理者とキャンペーン管理者の違い操作できるレベルに違いがあります。次の表をご参照ください。管理者説明特権管理者全キャンペーン管理/個別キャンペーン管理のモードを利用できる管理者レベルになります。最上位の管理者レベルとなります。キャンペーン管理者特権管理者が許可をしたキャンペーンのみを変更できる管理者レベルとなります。担当する(紐付けられた)キャンペーン情報・申込者を確認・修正することが可能となります。[確認]ボタンをクリックします「新規に作成する管理者宛てに登録完了を伝えるメールを送信しますか?」より[送信しない][送信する]のどちらかにチェックをします注意「新規に作成する管理者宛てに登録完了を伝えるメールを送信しますか?」より「送信する」を選択した場合について・送信されるメールの内容を必ず確認してください。・送信先の管理者に、メールを受信した際にはログイン再設定の手続きをしてほしい旨を事前に連絡してください(メール内URLの期限は24時間です)。・メール設定画面(「メール」「メール設定」)の「管理者登録時(登録対象管理者宛)」カテゴリを自動送信「ON」にしていないと「送信する」を選択してもメールは送信されません。あらかじめご確認ください。登録内容またはメールの送信文面を確認し、[登録]ボタンをクリックします管理者情報が登録されたことを管理者ユーザ情報一覧画面より確認します
      https://smpdoc.shanon.co.jp/ja/setting/admindata/chapter002/

      管理者を登録する

    • 管理者ログイン・ログアウトする管理者ログイン・ログアウト、または、ログインパスワードをお忘れた場合にはログインパスワードを再設定することができます。管理画面にログインする管理画面をログアウトする管理者パスワードを再設定する管理者の代理でログインする管理画面にログインする管理画面ログイン方法は、次のとおりです。次のURLにアクセスしますhttps://{お客様ドメイン}/public/admin/login「ログインID」と「ログインパスワード」を入力します[ログイン]ボタンをクリックします管理画面に遷移できたら、ログイン完了となります。補足「ログインパスワード」を忘れてしまった方は「管理者パスワードを再設定する」をご参照ください。管理画面をログアウトする管理画面をログアウトする方法は、次のとおりです。管理画面にログイン(https://{お客様ドメイン}/public/admin/login)します管理画面のログイン方法は、「管理画面にログインする」をご参照ください。管理画面の右上部よりログイン中の管理者にマウスオーバーをします(マウスポインタをあてる)[システムログアウト]リンクをクリックします管理者ログイン画面に遷移できたら、ログアウト完了となります。補足管理者画面より、ブラウザのアドレスバーに次のURLを直接指定することでも管理画面のログアウトができます。https://{お客様ドメイン}/public/admin/logout管理者パスワードを再設定する管理者ログイン画面で”ログインパスワード”の再設定ができます。補足管理者は、事前に次のメール設定がONになっているかを確認してください。・パスワード再設定受付時(管理者宛)再設定方法は、次のとおりです。管理者ログイン画面(https://{お客様ドメイン}/public/admin/login)に遷移します管理者のログイン方法は、「管理画面にログインする」をご参照ください。画面下部の[パスワードをお忘れの方はこちら]リンクをクリックしますログインパスワード再設定画面に遷移します”自身のメールアドレス”を入力し、[送信]ボタンをクリックします注意実際にご登録のある管理者のメールアドレスをしなかった場合は、メールアドレスを入力してもメールは受信できません。管理者登録されているメールアドレスを入力してください。メールアドレスが不明の場合は、環境におけるシステム管理者様(お客様のご担当者様)にご確認ください。再設定メールの送信完了画面を確認します再設定メールを受信しているかを確認します補足再設定メールが届かない場合は、管理者までお問い合わせください。メール内に記載されているURLに24時間以内にアクセスしますパスワード再設定画面より、”メール文に記載されていたログインID”を入力し、[次へ]ボタンをクリックします注意・ログインIDの変更はできません。管理画面ログイン後に管理者編集画面より変更してください。・秘密の質問がONになっている環境の場合は、秘密の質問も入力します。パスワード再設定画面より、新しいパスワードを入力し、[再設定する]ボタンをクリックしますパスワード再設定完了画面に遷移したら、再設定が完了となります管理者ログイン画面に遷移して、先ほど新しく再設定した新パスワードでログインします管理者ログイン方法は、「管理画面にログインする」をご参照ください。管理者の代理でログインする管理画面ログイン後、他の管理者に代理ログインすることができます。代理ログイン方法は、次のとおりです。管理者ログイン画面(https://{お客様ドメイン}/public/admin/login)に遷移します管理者のログイン方法は、「管理画面にログインする」をご参照ください。ユーザ設定画面([設定][ユーザ設定])に遷移します代理ログインする[代理]リンクをクリックします[代理ログイン]ボタンをクリックします管理者の代理ログインをすると、管理画面上部に緑色の帯が表示されます。そして、ログイン中の管理者の名前も表示されます。管理者ログイン時の表示例特権管理者代理前の管理者に戻る[代理前の管理者に戻る]はリンクとなっていて、リンクをクリックすると代理前の管理者(自分)に戻ります。
      https://smpdoc.shanon.co.jp/ja/setting/admindata/chapter001/

      管理者ログイン・ログアウトする

  • 機能を管理

    • 注意・制限事項制限事項API利用停止時の注意事項制限事項サンドボックスにAPIキーの情報はコピーされません。API利用停止時の注意事項APIサービスの利用を停止された場合、数日後にAPIキーが削除されます。すぐにAPIサービスの利用を再開する場合は、発行済みのAPIキーを引き続きご使用いただけます。
      https://smpdoc.shanon.co.jp/ja/setting/apikey/chapter005/

      注意・制限事項

    • API定義のダウンロードAPI定義とは、SMPのAPIで利用するリードやキャンペーンなどのデータを、WSDLで定義したファイルです。Javaや.NETなどのプログラム言語でSMPのAPIを使ったアプリケーションを作成するときに、WSDLファイルを利用して、SMPのリード、キャンペーンといったデータを定義したソースコードを作成することができます。「WSDLファイルの取得方法」ページも合わせてご参照ください。ご利用手順は、次のとおりです。APIキー一覧画面([設定][API])に遷移します[API定義のダウンロード]ボタンをクリックします
      https://smpdoc.shanon.co.jp/ja/setting/apikey/chapter004/004/

      API定義のダウンロード

    • APIキー削除APIキーが不要となった場合に、APIキーを削除することができます。補足削除されたAPIキーは、その時点で失効します。削除方法は、次のとおりです。APIキー一覧画面([設定][API])に遷移します削除するAPIキーの[削除]リンクをクリックします設定情報を確認し、[削除]ボタンをクリックします
      https://smpdoc.shanon.co.jp/ja/setting/apikey/chapter004/003/

      APIキー削除

    • APIキー詳細APIキーの設定情報や、クライアント認証に使用された日時を確認できます。確認方法は、次のとおりです。APIキー一覧画面([設定][API])に遷移します確認するAPIキーの[詳細]リンクをクリックしますAPIキーの情報を確認します項目の詳細は、次のとおりです。項目説明APIキーAPI利用時に使用する認証鍵です。用途、許可IPアドレス、有効期限設定した値が表示されます。詳細は「APIキー発行と設定」をご参照ください。最終クライアント認証日時最後にAPIキーをクライアント認証に使用した日時が表示されます。最終クライアント認証IPアドレス最後にAPIキーをクライアント認証に使用したアクセス元IPアドレスが表示されます。
      https://smpdoc.shanon.co.jp/ja/setting/apikey/chapter004/002/

      APIキー詳細

    • APIキー発行と設定APIキーの発行APIキーの編集APIキーの発行APIキー一覧画面より、新規APIキーを発行できます。発行の流れは、次のとおりです。APIキー一覧画面([設定][API])に遷移します[新規登録]ボタンをクリックしますAPIキーの設定項目を入力します項目の詳細は、次のとおりです。項目必須説明用途オプションAPIキーの用途、および説明を入力します。許可IPアドレスオプションAPIの利用を許可するIPアドレスを入力します。※1空欄の場合は、すべてのIPアドレスからのアクセスを許可します。※2IPアドレスの指定方式については、「指定IPアドレスをトラッキング対象から除外する」のページを参照してください。有効期限オプションAPIキーの有効期限を入力します。※年月日のみ指定でき、指定された日の23:59:59が実際の期限となります。[登録]ボタンをクリックし、発行されたAPIキーの情報を控えます注意次の認証情報はこの画面でのみ表示されます。別の画面に遷移する前に控えを取り、大切に保管してください。シークレットキーパスワードAPIキーの編集既存のAPIキーの設定情報を編集することができます。編集の方法は、次のとおりです。APIキー一覧画面([設定][API])に遷移します編集するAPIキーを選び、[編集]リンクをクリックしますAPIキーの設定項目を入力します設定できる項目については、前述と同様です。補足有効期限を過ぎて失効したAPIキーについても、有効期限を未来日に設定することで、再度有効化することができます。[登録]ボタンをクリックします
      https://smpdoc.shanon.co.jp/ja/setting/apikey/chapter004/001/

      APIキー発行と設定

  • 表示項目設定を管理

    • 表示項目を設定する表示項目設定機能とは、管理画面の項目の表示/非表示を設定することができる機能です。この設定機能を利用することで、実際に使用する項目のみを表示したり、表示する項目の並び順を変更することが可能となるため、利便性を向上することができます。利用の流れ制限事項利用の流れ利用設定と権限付与設定状況の一覧設定の作成設定の適用優先順位表示の確認設定の削除1.利用設定と権限付与本機能はシステム設定の管理画面UIバージョンが「常に最新」の設定のみ利用できます。利用にあたって設定の変更を行ってください。また、本機能への権限付与が必要になります。設定を実施する管理者に権限付与を行ってください。権限付与は、ロール設定画面([設定][ロール設定])より対象管理者に付与されているロールの設定で行います。本機能では次の4つの権限が必要となります。機能名コメント表示項目設定一覧/display/settings/list表示項目設定追加/setting/display/add表示項目設定編集/setting/display/edit表示項目設定削除/setting/display/delete2.設定状況の一覧表示項目設定画面([設定][表示項目設定])に遷移します。この画面では「管理画面の項目設定」、「シャノン名刺の項目設定」を行うことができ、現在登録済みの設定がある場合はその設定データが表示されます。3.設定の作成設定対象の機能、管理者の入力項目設定画面の構成表示する項目の追加、削除、移動セクションの項目、空白の項目全追加項目の項目表示するブロックの追加、削除、移動3-1.設定対象の機能、管理者の入力[新規登録]ボタンより設定の登録を開始し、次の情報を入力し、[次へ]ボタンで進みます。項目の詳細は、次のとおりです。項目名説明対象機能表示設定を行う対象の画面を選択します。現在、次の画面の設定を行うことができます。・キャンペーン登録(編集)・キャンペーン詳細・キャンペーン削除・サブキャンペーン登録(編集)・サブキャンペーン詳細・サブキャンペーン削除・リード一覧・リード登録(編集)・リード詳細・リード削除・活動履歴登録(編集)・活動履歴詳細・活動履歴削除・企業登録(編集)・企業詳細・企業削除・講演者登録(編集)・講演者詳細・講演者削除・ユーザ登録(編集)・ユーザ詳細・ユーザ削除対象権限対象権限、グループでは設定を適用する管理者単位を選択します。・全ユーザ:すべての管理者に適用されます・グループ:下のグループで選択した管理者グループに所属する管理者に適用されますグループ対象権限でグループを選択すると選択が可能になります。設定を適用する管理者グループを選択してください。3-2.項目設定画面の構成項目の詳細は、次のとおりです。画面パーツ説明①設定対象ブロック項目の設定を行うブロックです。選択中のブロックには青色の枠線となります。②デフォルトに戻す現在編集中の設定を、対象権限・グループの設定前の項目に戻すことができます。[登録]ボタンをクリックするまで保存はされません。③2列表示項目の表示を「1列表示」「2列表示」で切り替えることができます。④使用可能項目次の項目が表示されます。-空白:空白の項目-セクション:セクション分けするための項目-現在使用していない項目⑤使用可能ブロック現在使用していない履歴ブロックが表示されます。リード詳細の設定時のみ表示されます。3-3.表示する項目の追加、削除、移動表示したい項目を追加「使用可能項目」ブロックに表示されている項目を、左側の選択中のブロックにドラッグ&ドロップします(上記画像①参照)。表示する項目の削除非表示にしたい項目の右側の[×]アイコンをクリックします。非表示にした項目は「使用可能項目」に戻ります(上記画像②参照)。登録画面の設定では必須の項目は削除することはできません。リード項目の場合、全キャンペーンの基本項目設定での必須設定が利用されます。項目の表示順序変更表示順を変更したい項目をドラッグ&ドロップで移動させます(上記画像③参照)。3-4.セクションの項目、空白の項目セクション項目セクション項目を使うことで、ブロック中の項目をグループ分けすることができます(上記画像①参照)。空白項目2列表示を使用している場合に空白項目を使うことで、郵便番号のような順序がある項目が段違いにならないようにすることができます(上記画像②参照)。3-5.全追加項目の項目追加項目の並び順などを個別に設定する場合、新規に項目を追加した際に項目の表示も同時に行う必要があります。全追加項目の項目を使用することで、新しく項目を追加した際に自動ですべての項目が表示されます。3-6.表示するブロックの追加、削除、移動項目の追加と同様の方法でブロックの追加、削除、移動することが可能です。4.設定の適用優先順位表示項目設定機能では、設定を適用する対象で「全ユーザ」か「グループ」かを選択して設定を作成します。同一画面で複数の表示設定が登録された際に、どの設定が適用されるかは以下の優先順位で一番優先順位が高い設定が利用されます。優先順位1.管理者個人ごとに登録された設定(一覧のみ管理者個人の表示設定ができます)優先順位2:表示項目設定機能の対象権限が自身が属するグループの設定優先順位3:表示項目設定機能の対象権限が全ユーザの設定優先順位4:旧表示項目設定機能の対象権限が自身が属するグループ設定優先順位5:SMPが提供するデフォルトの設定(表示項目設定画面には表示されません)5.表示の確認設定の作成後は必要に応じてその管理者に代理ログインを行うなどで期待する表示となっているか確認してください。別の管理者への代理ログインは、ユーザ設定画面([設定][ユーザ設定])から該当管理者の[代理]リンクへ進むことで利用することができます。6.設定の削除表示項目設定画面([設定][表示項目設定])の登録済みの設定の[削除]リンクから、設定を削除することができます。設定を削除後は、項目設定の適用優先順位に従って画面表示がされます。制限事項この機能は対象画面の項目を非表示にするものであり、全ての画面の項目を制御するものではありません。データに対するアクセス制御はロール設定で行ってください本機能は、システム設定の管理画面UIバージョンが「常に最新」の設定のみ利用できます。管理画面を独自にカスタマイズしている場合は登録した設定が正常に適用されず、画面が崩れることがあります。本機能は、文字コードがUnicode(UTF-8)のみ対応しています。文字コードがEUC-JPの場合は対応しておりません。文字コードを確認したい方は、左側メニューの「設定」「言語設定」画面の「日本語」の「HTML文字コード」をご覧ください。必ず事前にサンドボックスで正常に動作するか確認を行ってください。
      https://smpdoc.shanon.co.jp/ja/setting/displaysetting/

      表示項目設定を管理する

  • 利用状況を管理

    • 利用状況を管理するSMPの利用状況を確認することができます。確認方法は、次のとおりです。利用状況画面([設定][利用状況])に遷移します項目の詳細は、次のとおりです。項目説明リード数毎月24日時点のリードの合計件数企業数毎月24日時点の企業の合計件数管理者ユーザー数毎月24日時点の管理者ユーザの数(シャノンの管理者を除く)SSO/IdP対象管理者数SSO/IdP機能有効時、毎月24日時点の管理者ユーザの数(シャノンの管理者・システム管理者を除く)SSO/IdP対象リード数SSO/IdP機能有効時、毎月24日時点のリードの数管理者シングルサインオン対象管理者数管理者シングルサインオン機能有効時、毎月24日時点の「外部IDプロバイダ経由のログイン」が有効な、管理者ユーザの数(シャノンの管理者を除く)当月公開キャンペーン数(明細を表示)当月(先月25日から当月24日まで)に公開になったキャンペーンの数(初めて公開されたもののみがカウントされる)詳しくは「明細を表示」リンクをご参照ください。当月公開サブキャンペーン数(明細を表示)当月(先月25日から当月24日まで)に公開になったサブキャンペーンの数(初めて公開されたもののみがカウントされる)詳しくは「明細を表示」リンクをご参照ください。当月のトラッキングPV数当月(先月25日から当月24日まで)のトラッキングのページアクセス数(匿名ユーザアクセス数も含む)ファイル(MB)毎月24日時点のファイルサイズリードおよびアンケートのファイル、公開資料、講演資料が対象になります。クレンジング対象リード数毎月24日時点のクレンジング対象のリード数の合計件数当月の名刺デジタル化枚数(PC)当月(先月25日から当月24日まで)にデジタルされた名刺の枚数(シャノン名刺よりデジタルされた名刺の枚数を除く)当月の名刺手書きデジタル化枚数(PC)当月(先月25日から当月24日まで)にデジタルされた名刺のうち手書きオプションを利用した枚数シャノン名刺利用ライセンス数毎月24日時点のシャノン名刺利用ライセンス数当月のシャノン名刺デジタル化枚数(有償分)当月(先月25日から当月24日まで)にシャノン名刺よりデジタルされた名刺の枚数のうち、有償分の枚数ダッシュボード閲覧アカウント上限数毎月24日時点のダッシュボード閲覧アカウントの上限数ダッシュボード共有アカウント上限数毎月24日時点のダッシュボード共有アカウントの上限数有効なサンドボックス数毎月24日時点の有効なサンドボックス数当月のDM送信通数当月(先月25日から当月24日まで)に発送されたDMの数当月のDM総額(円/税込)当月(先月25日から当月24日まで)に発送されたDMの総額(円/税込)補足画面下部の「詳細を表示」からも項目の説明を参照することができます。「明細を表示」の例明細を表示できるのは、「当月公開キャンペーン数」「当月公開サブキャンペーン数」です。公開されたキャンペーンとサブキャンペーンが実際にどれなのかを確認することができます。「当月公開サブキャンペーン数」の[明細を表示]リンクをクリックした場合の例「当月公開サブキャンペーン数」の[明細を表示]リンクをクリックします公開されたサブキャンペーンを確認します補足サブキャンペーンが先に登録されてからキャンペーンが初めて公開になった場合は、サブキャンペーンの公開日がキャンペーンの公開日となります。一度公開になったキャンペーンにサブキャンペーンを登録する場合、サブキャンペーンの公開日がサブキャンペーンの作成日となります。
      https://smpdoc.shanon.co.jp/ja/setting/usagereport/

      利用状況を管理する

    • SHANON MARKETING PLATFORM (以下、SMPと表記)のキャンペーン(セミナー)およびサブキャンペーン(セッション)の公開数や利用状況は、以下の機能で確認できます。

      利用状況画面の当月公開キャンペーン数、当月公開サブキャンペーン数で当月の利用数が確認できます。
      また当月公開キャンペーンや当月公開サブキャンペーン数の[明細を表示]リンクをクリックすると、詳細情報として公開日、キャンペーンID、キャンペーンタイトルを一覧で確認することができます。
      なお、各集計内容や集計条件は「説明を表示」より確認することができます。
      あわせて確認してください。

      ※利用状況に応じたご契約内容・ご請求内容については担当営業までご連絡ください。

       

      キャンペーン(セミナー)・サブキャンペーン(セッション)の利用状況の確認方法

      キャンペーン(セミナー)・サブキャンペーン(セッション)の利用状況は、管理画面から確認することができます。

      1. 全キャンペーン(セミナー)管理モードの[WEB]タブ>[設定]メニュー>[利用状況]メニューをクリックします。
      2. 利用状況画面が表示されます。

        __10.gif

        図1:利用状況画面

       

      各項目の条件や内容の確認方法

      1. 全キャンペーン(セミナー)管理モードの[WEB]タブ>[設定]メニュー>[利用状況]メニューをクリックします。
      2. 利用状況画面が表示されます。
      3. 利用状況画面の下部の[説明を表示]リンクをクリックします。
      4. 確認できる項目の条件や内容の一覧が表示されます。

        __11.gif

        図2:利用状況画面

       

      キャンペーン及び、サブキャンペーンの従量数を確認したい

  • セキュリティ状態

    • このガイドラインでは、セキュリティダッシュボードの追加背景から利用方法まで記載してあります。

       

      01セキュリティダッシュボードについて

      1.1 追加された背景

      セキュリティダッシュボードはお客様が自身のSMP環境のリスクを把握し、
      適切な設定変更を促すことでセキュリティインシデントの発生を抑えることを目的として追加されました。

      SMPでは定期的に機能やセキュリティに対するアップデートを行っていますが、
      アップデートのみで全てのセキュリティリスクの発生を抑えることができるとは限りません。

      また、SMPを利用しているお客様がセキュリティに問題のある状態のまま、
      SMPを運用していることを知らずに、リスク対策を適切にできていない状態も考えられます。

      利用しているSMPのセキュリティ設定がどのようになっているのか定期的に確認し、
      セキュリティリスクへ備えるようにしましょう。

       

      1.2 セキュリティダッシュボードでできることについて

      セキュリティダッシュボードでは、
      セキュリティに関する設定項目を一覧で確認することができます。

      また、SMP上でセキュリティリスクが懸念されるような設定を行っていた場合は、
      安全な設定値に変更するよう、管理画面上で注意喚起が行われます。

      設定を変更したい場合は、セキュリティダッシュボードの管理画面上から変更することができます。

      image001.png

      図1.セキュリティダッシュボードの管理画面イメージ

       

      • セキュリティダッシュボードでは「リスクレベル」ごとに項目が表示されます。
        各リスクレベルごとに、基準は異なっており「リスクレベル:高」になるほど重大なリスクにつながる可能性があります。
        リスクレベルの説明や基準はこちらのマニュアルをご参照ください。

       

      02セキュリティダッシュボードの利用方法について

      2.1 セキュリティダッシュボードの有効化について

      セキュリティダッシュボードを利用するためには、機能を有効化していただく必要があります。
      有効化の方法に関しては、以下のマニュアルをご参照ください。

       

      2.2 システム設定の変更について

      基本的に、セキュリティダッシュボードに表示される設定は、
      システム設定を変更すれば解決できるものがほとんどです。

      しかしながら、システム設定以外にも変更を加える必要のある設定が一部存在します。
      下記はそれぞれの状況に応じた、コンテンツの一覧となります。

       

       

      03関連コンテンツ

       

      変更履歴

      項番 変更日 変更内容
      1 2023/1/21
      • 初版

       

      セキュリティダッシュボードについて

    • SMPのセキュリティダッシュボードで、「クエリパラメータにID/パスワードを渡してのログインの許可」についてエラー表示されている場合は、脆弱性、情報漏洩のリスクがあります。

      対策を必要とする場合は、システム設定より変更を行う必要があります。

       

      01クエリパラメータの基礎知識

      1.1 クエリパラメータとは

      サーバーに情報を共有するため、URLの末尾に付け加える文字列のことです。
      通常のURLの末尾に「?」と任意の変数を付与することで、URLクエリパラメータ作成し、サーバーに送信したいデータを付与することが可能となります。

      SPF_DKIM.png

      図1.クエリパラメータの見方について

       

      ログインを行うURLでクエリパラメータにID/PASSの情報を付与した状態で使用することで、ログイン時にID/PASSの入力を省略することも可能になります。

      しかし、もしクエリパラメータを使用しログインを行った場合は該当のID/PASSの情報が流出する可能性があり、情報の脆弱性が危ぶまれます。

       

      1.2 SMPでの影響について

      ログインURLにクエリパラメータを付与することがSMPでも可能です。

      クエリパラメータを付与した場合は、URLにIDとPASSが含まれてしまうため、アクセスログなどから流出する危険性があります。

      SMPのログインIDとPASSが流出してしまうと、SMPの管理画面にログインされてしまい悪意のある人が情報の閲覧や、管理画面の操作などを行うことが可能となります。

      情報の流出を防ぐため、SMPではクエリパラメータを使用したログインを許可しないようにする設定があります。

       

      02SMPでのクエリパラメータ対策について

      SMPではクエリパラメータ対策として、設定[システム設定一覧]から、設定を変更することが可能です。

      2.1 設定手順

      1. 全キャンペーン(青色の画面)>設定[システム設定一覧]をクリック
      2. 上部にある[編集]をクリック
      3. 画面内検索で「クエリパラメータ」と検索
      4. 「クエリパラメータにID/パスワードを渡してのログインの許可」「クエリパラメータにID/パスワードを渡してのログインの許可(サイト認証)」の項目に[0]を入力
        settei.gif
      5. 下部にある[登録]をクリック

       

      2.2 確認

      設定完了後は、パラメータを利用しない通常のログインができるか確認を行います。
      以下URLのログイン画面より、管理者でのログインが可能か確認を行ってください。

      機能 ログインURL(https://{ドメイン}「ログインURL」)
      管理者ログイン機能

      /public/login
      /public/admin/login

      リードログイン機能 /public/login
      /public/mypage/login 

      ユーザー認証APIログイン機能

      ※ユーザー認証APIを利用している場合はこちらも併せて確認を行ってください。

      /public/authapi/login/admin
      /public/authapi/login/visitor
      /public/authapi/login

       

      03関連コンテンツ

       

       

      「クエリパラメータにID/パスワードを渡してのログインの許可」設定について

    • SMPのようなWebアプリケーションに対するサイバー攻撃対策の一つとして「XSS」という手法があります。
      対策を行わない場合、WEBフォームへ不正なリンクを挿入され、クリックによるマルウェアの感染個人情報の漏えいが発生する恐れがあります。

      このFAQでは、XSSの具体的な攻撃手法や対策方法についてご紹介します。

      また、SMPのセキュリティダッシュボードで「管理画面のXSSエスケープ」のエラー表示されていている場合は、影響範囲を確認した上で、システム設定の「XSSエスケープ」を有効にご変更頂く必要があります。

      01XSSの基礎知識

      1.1 XSS(クロスサイト・スクリプティング)とは

      Webサイトの脆弱性を利用し、Webフォームに悪質なスクリプトを埋め込むサイバー攻撃のひとつです。
      一般的に、Webフォームの入力ボックスに不正なスクリプトコードを挿入し、リンクに誘導してクリックさせることでマルウェアへの感染や個人情報の漏洩を引き起こします。

      SMPの場合、管理画面から項目を入力してWEBフォームを作成するため、管理画面からスクリプトを入力することでフォームに反映されて動作します。

      例えば、画面上に以下のようにアラートを表示させ、不正なリンクに誘導させるなどが可能です。

      xss2.png

      図1.入力項目にアラートのスクリプトを入力した例

       

       

      1.2 SMPへのXSSの影響範囲について

      XSS対策を行わない場合、管理画面からスクリプトの入力が可能な状態となります。

      SMPのキャンペーン詳細ページなどの入力項目に不正なスクリプトが入力された場合、リードが対象の画面にアクセスした際に管理者が意図しない内容が表示されてしまいます。

      XSS_FAQ.jpg
      図2.XSS(クロスサイト・スクリプティング)イメージ図

       

      02SMPでのXSS対策について

      2.1 SMPでのXSS対策

      セキュリティダッシュボードで表示される「管理画面のXSSエスケープ」は、管理画面から設定する入力項目へ不正なスクリプトを入力された場合に、内容をスクリプトではなくテキストとして扱い、スクリプトが動作しないようにします。
      管理画面でエスケープ処理を施すことによって、XSSリスクを軽減する対策となります。

      エスケープ処理の例

      <script>alert('Hello!')</script> → &lt;script&lt;alert('Hello!')&lt;/script&lt;

       

      2.2 XSSに対するセキュリティ対策の判断について

      セキュリティ状態は、管理画面のセキュリティダッシュボードから確認が可能です。
      「管理画面のXSSエスケープ」が表示されている場合は対策をご検討ください。
       
      1. 全キャンペーン管理画面 >設定 >システム設定一覧 > セキュリティ状態 をクリックします
      2. セキュリティダッシュボードで「管理画面のXSSエスケープ」の表示を確認する

       

      2.3 SMPでのXSSエスケープ設定方法について

      1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
      2. 画面内検索(CTRL+F)で「管理画面のXSSエスケープ」を検索します。
      3. 設定が「有効」になっていることを確認します。

      xss______.png

      図3.システム設定一覧イメージ

      本対策はこの設定に加え、弊社での対応が必要な内容となります。
      システム設定の「XSSエスケープ」を有効にご変更いただき、担当営業またはカスタマーサポートにお問い合わせをお願いいたします。

      ■お問い合わせ先

      • WEBフォームからのお問合わせ
        https://support.shanon.co.jp/hc/ja/requests/new

      • メールからのお問合わせ
        Mail: support@shanon.co.jp

      • お電話からのお問合わせ
        TEL:050-3196-1091
        (営業時間:10:00-18:00 土・日・祝祭日を除く)

       

      03関連コンテンツ

      管理画面のXSSエスケープ対策について

    • SMPのようなWebアプリケーションに対するサイバー攻撃の対策の一つに「CSRF」という手法があります。
      対策を行っていないと、攻撃者がWebアプリケーションに対して任意の処理を行うことが可能となり、データ漏えいや、データを改ざんされる恐れがあります。

      このFAQでは、CSRFの具体的な攻撃手法やCSRFの対策方法についてご紹介します。

       

      01CSRFの基礎知識

      1.1 CSRFとは

      CSRF(クロスサイトリクエストフォージェリ)とは、ログイン状態であるWebアプリケーションの利用者に、特定のURLをクリックさせることなどによって、実行できないはずのリクエストを、利用者を介して第三者が実行する攻撃手法のことです。

      例えば、SNSアプリにログイン中のユーザが、攻撃者から誘導されたURLをクリックした場合、
      攻撃者がユーザに偽ってSNSアプリサーバーに不正リクエストを送信することができます。
      不正リクエストを受けとったSNSアプリサーバーは、ユーザからの正規のリクエストだと判断し、リクエストの処理を実行してしまいます。

      その結果、不正投稿されたり、パスワードを変更されるなどの被害に繋がる恐れがあります。

      __.png

      図1.CSRF具体的な攻撃手法イメージ

       

      1.2 SMPでのCSRFの影響について

      CSRFへの対策を行わない場合、SMPで用意した会員サイトフォームにおいて、攻撃者がリードに偽って申込みリクエストを送信し、申込み処理やキャンセル処理、個人情報の改ざんが行われる恐れがあります。

      __.png

      図2.SMPでのCSRF影響例

       

       

      02SMPでのCSRF対策について

       

      CSRF対策のために必要な手順は3ステップあります。

      対策 設定方法
      ステップ1:「リード側CSRF対策」を「有効」にする 設定一覧>リード側CSRF対策を「無効」から「有効」にする。
      ステップ2:「CSRFチェックレベル」を「7」にする

      設定一覧>CSRFチェックレベル を「7」にする。

      ステップ3:申込みフォームのテンプレート内に特定の変数を記載する デザインテンプレートのカスタマイズで、申込フォームの入力画面と確認画面のテンプレート内に変数$FORM{Common.all_vars}を記載する。

       

      ステップ1と2では、システム設定一覧の各項目「リード側CSRF対策」と「CSRFチェックレベル」の項目設定内容を変更します。

      ステップ3では、CSRF対策のために、あらかじめ用意されている弊社独自のデザインテンプレート変数を、SMPで用意する申込みフォームページの入力画面と確認画面のhtmlファイルに記載します。

      上記3つの対策を行うことで、システム側でリクエストの照合が強化されリスクを軽減することができます。


      ■ステップ3:CSRF対策のために用意された変数

      $FORM 説明
      $FORM{Common.all_vars} CSRF対策のために用意された弊社独自のデザインテンプレート変数

       

      __.PNG

      図3.ステップ3:$FORM{Common.all_vars}記載したページのソースを
      テキストエディタで開いたイメージ

       

      変数記載時 注意点

      $FORM{Common.all_vars}に加え、図3.<form AUTOCOMPLETE ~から始まる変数も、申込みフォームに必要な要素です。コメントアウトまたは削除しないようにご注意ください。

       

      03対策の設定方法・手順

      設定方法は以下のとおりです。

      3.1 ステップ1:「リード側CSRF対策」を「有効」にする

      全キャンペーン>サイドメニュー:設定>システム設定一覧
      1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
      2. 画面内検索(CTRL+F)で「リード側CSRF対策」を検索します。
      3. 「無効」になっている場合は、画面上部にある「編集」リンクをクリック後、半角数字の1(有効)と入力し画面最下部の登録ボタンをクリックします。

      __.PNG

      図4:システム設定一覧イメージ

       

      3.2 ステップ2:「CSRFチェックレベル」を「7」にする

      全キャンペーン>サイドメニュー:設定>システム設定一覧
      1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
      2. 画面内検索(CTRL+F)で「CSRFチェックレベル」を検索します。
      3. 値が「7」以外になっている場合は、画面上部にある「編集」リンクをクリック後、半角数字の7と入力し画面最下部の登録ボタンをクリックします。

      CSRF____.PNG

      図5:システム設定一覧イメージ

       

      注意点

      最高レベルは「7」ですが、CSRFチェックの最高レベルが更新された場合には、それに合わせて最高レベルが変更される場合があります。


      3.3 ステップ3:申込みフォームのテンプレート内に特定の変数を記載する

      CSRF対策のための変数を、申込みフォームのhtmlファイルに記載するには、デザインテンプレートのカスタマイズが必要です。カスタマイズするテンプレートの変更先は、「system.zip」または「seminar.zip」です。

      カスタマイズ時 注意点

      デザインテンプレートのカスタマイズを行うにあたっての注意点は、以下ユーザマニュアルをご参照ください。

      • デザインテンプレートをカスタマイズする
        デザインテンプレートの概要について説明したユーザマニュアルです。
      • system.zipのテンプレートを修正する場合は、全キャンペーン(セミナー)に影響があります。
        サンドボックス環境にて検証後に、本番環境へ適用するなど、ご注意の上、作業をすることを推奨します。サンドボックス環境のご用意がない場合は、弊社営業担当者にご相談いただくかカスタマーサポートまでお問い合わせください。

       

      設定手順(system.zip)

      全キャンペーン>サイドメニュー>WEB>テンプレート変更
      1. 全キャンペーン>サイドメニュー>WEB>テンプレート変更をクリックします。
      2. 最新登録日時のsystem.zipのダウンロードをクリックします。
        ※登録日時がついた[ダウンロード]リンクがない場合は、
        [デフォルトダウンロード(system.zip)]をクリックし、ダウンロードします。
        ※ダウンロードしたsystem.zipは修正用とバックアップ用に分けて保存してください。
      3. system.zipを解凍し、申込入力画面と確認画面のindex.htmlをテキストエディタで開きます。
        ※キャンペーンのフローにより、index.htmlへのファイルパスは異なります。

        ■申込入力画面
        例1)フロー名:キャンペーン申し込み([ユーザー情報])
        申込み入力画面:seminar_base/application/application_flow_master_id/user/index.html

        例2)フロー名:キャンペーン申し込み([ユーザー情報/アンケート])
        申込み入力画面:seminar_base/application/application_flow_master_id/userenquete/index.html

        ■確認画面
        seminar_base/application/application_flow_master_id/confirm/index.html

      4. $FORM{Common.all_vars}がコメントアウトされているまたは記述自体ない場合は修正・追記し、上書き保存します。

      5. 修正が終わったsystem.zipを再度ZIPに圧縮します。
      6. SMPの管理画面>全キャンペーン>WEB>テンプレート変更画面に戻ります。
      7. 画面右上の[新規登録]ボタンをクリックして、system.zipを選択し、 [登録]ボタンをクリックします。

      __.png

      図6.{Common.all_vars}がコメントアウトされている際のイメージ

       

      設定手順(seminar.zip)

      全キャンペーン>個別キャンペーン:「管理開始」リンク>サイドメニュー>[キャンペーンテンプレート変更]
      1. 全キャンペーンより、個別キャンペーンの[管理開始]リンクをクリックします。
      2. サイドメニュー>[キャンペーンテンプレート変更]リンクをクリックします。
      3. キャンペーン内の最新登録日時のseminar.zip、または[デフォルトダウンロード(seminar.zip)]リンクをクリックします。
      4. seminar.zipを解凍します。
      5. 申込入力画面と確認画面のindex.htmlをテキストエディタで開きます。
        ※キャンペーンのフローにより、申込入力画面のindex.htmlへのファイルパスは異なります。

        ■申込入力画面
        例1)フロー名:キャンペーン申し込み([ユーザー情報])
        申込み入力画面:seminar/application/application_flow_master_id/user/index.html

        例2)フロー名:キャンペーン申し込み([ユーザー情報/アンケート])
        申込み入力画面:seminar/application/application_flow_master_id/userenquete/index.html

        ■確認画面
        seminar/application/application_flow_master_id/confirm/index.html

        上記、seminar.zipを適用されている場合のファイルパスとなります。
      6. $FORM{Common.all_vars}がコメントアウトされているまたは記述自体ない場合は修正・追記し、上書き保存します。
      7. 修正が終わったseminar.zipを再度ZIPに圧縮します。
      8. 個別キャンペーン画面に戻り、サイドメニュー>[キャンペーン]をクリックします。
      9. サイドメニューの[キャンペーンテンプレート変更]をクリックします。
      10. [新規登録]ボタンをクリックして、seminar.zipを選択し、 [登録]ボタンをクリックします。

      __.gif

      図7.デザインテンプレート編集イメージ(seminar.zip)

       

      04対策後の確認方法

      上記設定手順でSMPでのCSRF対策を行うことにより、
      下記タグが申込みページのHTMLソース内に表示されるようになります。

      ■申込みページのHTMLソース内に表示されるようになるタグ

      タグ 説明
      <input type="hidden" name="csrf_id" value="XXXXX"> CSRF対策が行われている場合
      HTMLソース内に表示されるようになります。
      ※"XXXXX"には変動値が入ります。

       

      下記手順にてタグが表示されているのかを確認することができます。

      1. 対策をした申込みフォームページにアクセスします。
      2. 右クリックし、「ページのソース」を表示します。
      3. 以下タグを画面内検索(CTRL+F)し、HTMLソース内に表示されるか確認します。
        ※検索するタグ
        <input type="hidden" name="csrf_id" value=

      __.png

      図8.画面内検索イメージ

      05関連コンテンツ

      リード側CSRF対策について

  • 言語を管理

    • 言語を編集する言語の変更方法は、次のとおりです。言語設定画面([設定][言語設定])に遷移します[編集]ボタンをクリックします言語を変更します初期設定より、日本語と英語(翻訳済み)をご利用いただけるようになっております。他言語のご利用をご希望の際は、弊社担当者までご相談ください。「言語の利用」を有効化している言語は、個別キャンペーンでキャンペーン毎の言語の変更利用等も可能であり、管理者の言語としてもご利用可能です。項目説明名前環境内でご利用可能とされている言語です。他言語のご利用を検討する場合は、弊社担当者までご連絡くださいませ。言語タグ「名前」による言語に対する、言語タグです。申込フォームやメール文章等で利用します。「言語タグとURLパラメータ」ページも参考にご参照ください。言語の利用環境内で実際に利用する言語を選択します(複数選択可)。選択していない場合は、個別キャンペーンでも利用できないため、個別キャンペーン内でも利用する可能性がある場合は、選択をしてください。管理者のデフォルトSMP管理画面のデフォルト言語を選択します。申込のデフォルト申込フォーム画面のデフォルト言語を選択します。HTML文字コード申込フォームにおけるHTML文字コードです(変更不可)。メール文字コードメールで記載した言語における文字コードを選択します。「文字コード」ページも参考にご参照ください。CSV文字コードCSVで記載された言語における文字コードを選択します。「文字コード」ページも参考にご参照ください。ZIPファイル名文字コードZIP内のファイル名における文字コードを選択します。「文字コード」ページも参考にご参照ください。デフォルトタイムゾーンデフォルトのタイムゾーンを選択します。基本的に管理画面を操作するタイムゾーンを基準とします。注意全キャンペーン管理モードの言語設定は、全ての申込フォーム、テンプレート、CSV、ZIPファイルに適応されます。個別に対応したい場合は、個別キャンペーン設定の言語設定(「キャンペーン」「言語設定」)で変更することをお勧めします。[登録]ボタンをクリックします
      https://smpdoc.shanon.co.jp/ja/setting/i18nview/chapter003/

      言語を編集する

    • 言語設定作業の流れ言語設定を利用する際の設定作業の流れです。言語設定作業の流れ翻訳SMP各種設定動作の確認言語設定作業の流れお客様と弊社の設定における作業の役割とその流れは、次のとおりです。補足・作業はお客様作業で行うことができます。・翻訳作業とSMP各種設定は、弊社で委託することも可能ですが、作業内容に応じた費用がかかりますので、弊社担当者までご相談ください。・英語利用の場合は、特に翻訳作業する必要はないですが、特定の文言やメッセージをデフォルト翻訳ではないものに変更したい場合は、翻訳作業をしてください。翻訳メッセージ設定画面から翻訳するメッセージの「言語」「メッセージID」「現在の値」を検索し、「編集」画面でメッセージを変更します。SMP各種設定「言語設定作業の流れ」より、SMP各種設定作業は次のとおりです。・言語設定・リマインドメールの言語設定・タイムゾーン設定・画面文言・メッセージ設定・デザインテンプレート設定・メールテンプレート設定・管理者入力データの言語設定詳細な設定の説明は、以降をご参照ください。言語設定全キャンペーンの言語設定(必要に応じて個別キャンペーンの言語設定も含む)を行います。詳細は、「言語を編集する」ページをご参照ください。管理者毎の言語設定管理者ログイン時、管理者毎に設定された言語に従ってデータを表示します。管理画面編集画面([設定][ユーザー設定][編集])より、設定できます。詳細は、「管理者の登録」ページをご参照ください。リード毎の言語設定メール配信などリードに対するアクション時の言語決定はリード情報の使用言語に従います。リード編集画面([リード][一覧][編集])より、設定できます。リード情報の使用言語は、キャンペーン申込時の言語に従って自動的に設定されます。管理者によって使用言語の変更は可能ですが、リードがマイページなどリード関連画面を表示する際は、この言語に従って表示するわけではなく、次の「リード関連画面の表示優先順位について」に従って表示します。リード関連画面の表示優先順位について言語設定の言語の利用以外のリード関連画面(キャンペーン申込ページ、マイページなど)の表示優先順位は、次のとおりです。優先順位設定説明1言語設定メニューの言語の利用利用言語が1つの場合は言語タグによる言語の解決はありません。2か国語以上の場合は下記2~6によって決まります。2URLのパラメータでlangを指定する/public以下のURLに「?lang={言語タグ}」(※言語の利用にチェックがついているURLパラメータ)を指定します。言語タグについては「言語タグとURLパラメータ」ページをご参照ください。※言語設定画面より、「言語の利用」にチェックがついていない言語が指定された場合は、優先順位5をご参照ください。3リード関連画面で前回ページを開いた際に利用した言語セッション中の最後の言語が適用されます。4ブラウザの設定言語ブラウザの言語設定で優先順位の高い言語から適用します。※FireFoxの場合の優先順位の確認方法は、[ツール][オプション][コンテンツ][言語]で優先順位を変更できます。5言語設定メニューで利用している言語に該当しない場合言語設定の申込のデフォルトの言語を適用します。6言語設定メニューの申込のデフォルト言語に該当しない場合system.zipやseminar.zip中に対応する言語タグが存在しない場合、言語タグがついていないデザインテンプレートのHTML部分をデフォルトとして表示します。リマインドメールの言語設定システムが自動送信するリマインドメールは次の条件に従って送られます。リマインドメール言語CSVダウンロード完了通知ログインしている管理者の言語メール予約送信リマインド通知言語設定の管理者のデフォルトメール予約送信完了通知言語設定の管理者のデフォルトメール送信完了通知言語設定の管理者のデフォルトSalesForce連携エラー日本語のみタイムゾーン設定タイムゾーンとは、同じ標準時を利用する地域や区分です。世界中で日時データを比較、変換して利用できるようにするためタイムゾーンの設定を行います。タイムゾーンの定義は、tzdatabase(別名Olsondatabase)とよばれる「世界各地域の標準時(timezone、タイムゾーン)情報を共同収録したデータ」に基づくデータ(バージョンは2011n)を利用しています。詳細は、「言語を編集する」ページをご参照ください。画面文言・メッセージ設定画面に表示される文言・メッセージの設定を、「翻訳」で翻訳作業した内容を設定変更を行います。メッセージの設定変更方法は、「メッセージを管理する」ページをご参照ください。デザインテンプレート設定デザインテンプレートの内容を言語毎に記述します。デザインテンプレートのカスタマイズ方法は「テンプレート変更を利用する」ページをご参照ください。注意対応する言語タグが存在しない場合、言語タグがついていないデザインテンプレート部分を表示します。サンプル次のサンプルは、日本語と英語を共存させた時の例です。前半が「日本語」、タグで囲ってある後半が「英語」での表記となります。タグについては、「言語タグとURLパラメータ」ページをご参照ください。$FORM{check_cookie}$FORM{title}パスワードアシスタンス(セミナー)アカウントへのログインに使用しているメールアドレスを入力してください。$FORM{Common.all_vars}メールPasswordAssistance(Seminar)$FORM{check_cookie}$FORM{title}PasswordAssistance(Seminar)PleaseInputyouremail.$FORM{Common.all_vars}メールメールテンプレート設定メールテンプレートの内容を言語毎に記述します。メールテンプレートの記述方法は「メールテンプレートを管理する」ページをご参照ください。注意対応する言語タグが存在しない場合、言語タグがついていないデザインテンプレート部分を表示します。サンプル次のサンプルは、日本語と英語を共存させた時の例です。タグについては、「言語タグとURLパラメータ」ページをご参照ください。Thisisatestmail.新しい管理者が登録されました。グループ:[%User.group_master_id%]ログインID:[%User.login_id%]ログインパスワード:[%User.login_password%]登録日時:[%User.date_regist%]更新日時:[%User.date_update%]Thisisatestmail.Anewadministratorwasregistered.Group:[%User.group_master_id%]LoginID:[%User.login_id%]LoginPassword:[%User.login_password%]DateRegist:[%User.date_regist%]DateUpdate:[%User.date_update%]管理者入力データの言語設定管理者が入力するデータの内容を言語毎に記述します。ここでは全キャンペーン管理モードのキャンペーン情報をサンプルとして説明します。サンプル次のサンプルは、日本語と英語を共存させた時のキャンペーン情報の例です。タグについては、「言語タグとURLパラメータ」ページをご参照ください。キャンペーンタイトル キャンペーンタイトルCampaignTitleキャンペーンサブタイトル キャンペーンサブタイトルCampaignSubTitle補足CSV一括登録でデータ登録する場合は、言語設定画面より該当する言語がアップロードできる文字コードになっているかを確認してください。個別キャンペーンでCSVアップロードを行う場合は、個別キャンペーン管理モードの言語設定(「キャンペーン」「言語設定」)で設定されたCSV文字コードを確認します。動作の確認言語設定が全て完了した後、動作の確認作業を必ず行ってください。確認手順は、次のとおりです(例:ロンドンで日本語・英語で同時開催されるキャンペーンを想定)。動作確認に入る前に準備を行います言語設定画面([設定][言語設定])より、タイムゾーンを「(GMT+00:00)西ヨーロッパ時間-ロンドン」に設定します確認するPCのタイムゾーンを「(GMT+00:00)西ヨーロッパ時間-ロンドン」を上記で設定変更したタイムゾーンと同様の設定に変更します言語設定画面より、「言語の利用」項目の日英にチェックをつけます「デザインテンプレート設定」を参考に、デザインテンプレートの日英の言語設定を行います「メールテンプレート設定」を参考に、「管理者登録時(アカウント発行者宛)」「申込完了時(リード宛)」、一斉メール配信用メールテンプレートの日英の言語設定を行います「管理者入力データの言語設定」を参考に、日英で開催されるキャンペーン情報を登録します「リード関連画面の表示優先順位について」を参考に、ブラウザの言語設定で優先順位の言語を「英語」のみとします管理者の動作を確認します管理者宛メールの確認します管理者宛のメールが英語で届くか確認します。確認手順は次のとおりです。ユーザ設定画面([設定][ユーザ設定])より、[新規登録]ボタンをクリックします次のようなサンプルデータを「特権管理者」として登録し、管理者にメールを送信しますメールの内容が英語になっていることを確認します管理者ログイン時の表示を確認します言語が「英語」の管理者で管理者ログインして、管理画面表示を確認します。確認手順は次のとおりです。言語が「英語」の管理者でログインします・メニュー、メッセージの文言が画面文言・メッセージの設定の英語で表示されているか確認します・管理者による言語データ設定方法で設定した英語の言語タグのデータが表示されているか確認しますCSVダウンロード内容を確認しますCSVダウンロード内容が英語表記になっていることを確認します。確認手順は次のとおりです。言語設定を「英語」とした管理者でログインしますユーザ設定画面([設定][ユーザ設定])より、[CSVダウンロード]ボタンをクリックします・ダウンロードされたCSVファイルをサクラエディタなどで開き、言語設定が英語になっているか確認します・CSVヘッダーや画面文言はダウンロードした管理者の言語でダウンロードることを確認します・入力値がそのままダウンロードされる(言語タグが入った状態)ことを確認します補足・個別キャンペーンでCSVアップロードを行う場合は、個別キャンペーン毎の言語設定で設定したCSV文字コードを確認します。・リードの基本項目設定のCSVダウンロード、リードのCSVダウンロードメニュー、アンケート回答のCSVダウンロードメニューのみダウンロードするデータの言語を指定することができます。ただし、ダウンロードファイルのヘッダはダウンロードを行った管理者の言語で表示されます。メールのテスト送信を確認しますログインしている管理者の言語に従ってメールの内容が送信されるかを確認します。この時、ダミーリードを作成した方法でメールのテスト送信をしてください。手順の詳細は「ダミーリードでテスト送信する」ページをご参照ください。注意CSVダウンロード完了通知などシステムが自動送信するリマインドメールはテスト送信できません。リード関連画面の動作を確認しますリード関連画面の表示やリード宛メールの内容を確認します確認手順は、次のとおりです。確認準備(動作確認に入る前に準備を行います)で登録したキャンペーンにアクセスします・開催時刻、申込時刻など日時情報がロンドン時間に従っているか確認します・画面やメッセージの文言が英語で表示されているか確認します・キャンペーン情報が英語で表示されているか確認しますキャンペーンに申込みます・申込んだリード宛に届いたメールが英語で表示されているか確認します申込んだリードでマイページにログインします・マイページが英語で表示されているか確認します管理者で管理画面にログインします・申込んだリードの言語が英語になっていることを確認します管理者が上記で申込んだリードに一斉メール配信します・一斉メール配信で届いたメールが英語で表示されているか確認します
      https://smpdoc.shanon.co.jp/ja/setting/i18nview/chapter002/

      言語設定作業の流れ

    • SMPの言語についてSMPで利用可能な言語とそのタグ、パラメータを用いて、申込フォームやマイページ等で日本語、英語の他の言語を使用することができます。また、一緒にタイムゾーンを利用することで、その地域に沿ったフォーム表示を実現することができます。言語設定の流れについては「言語設定作業の流れ」ページをご参照ください。多言語をサポートしない機能言語タグとURLパラメータ文字コード翻訳対象テンプレート多言語をサポートしない機能次の機能は多言語をサポートしません。日本語のみ利用可能です。シナリオリードスコアリング企業管理DMConnectPlus.クレンジング名刺デジタル化シャノン名刺(モバイル)APISMPforSalesforcekintone連携eセールスマネージャー連携DataSpiderCloudSMPアダプター言語タグとURLパラメータ日本語以外の言語は、お客様自身で翻訳作業を行う必要があります。翻訳作業を弊社で委託することも可能ですが、作業内容に応じた費用がかかります。言語言語タグURLパラメータ(accept-language受け入れ)ユーザー翻訳日本語ja不要英語en一部要簡体中国語zh-cn要繁体中国語zh-tw要韓国語ko要ロシア語ru要ドイツ語de要補足右から左に読む言語は対応していません(例:アラビア語等)。文字コード文字コードの種類は「言語を編集する」より、利用できる設定項目は、次のとおりです。HTML文字コードメール文字コードCSV文字コードZIPファイル名文字コード文字コードの種類は、次のとおりです。文字コード日本語(EUC-JP)日本語(Shift_JIS)西欧(ISO-8859-1)Unicode(UTF-8)簡体中国語(GB2312)繁体中国語(BIG5)韓国語(EUC-KR)キリル文字(ISO-8859-5)キリル文字(KOI8-R)キリル文字(Windows-1251)複数言語利用時の文字コードについて日本語と英語以外の言語を含む場合は、「UTF-8」を利用します。メール文字コード:UTF-8CSV文字コード:UTF-8ZIPファイル名文字コード:UTF-8補足メールテンプレートの文字コードは「送信対象者の言語(自動検出)」を利用します。翻訳対象テンプレート対象箇所ユーザ翻訳画面文言・メッセージ日本語・英語以外は必要全キャンペーンデザインテンプレート(system.zip)日本語以外は必要個別キャンペーンデザインテンプレート(seminar.zip)日本語以外は必要メールテンプレート日本語以外は必要リマインドメールテンプレート日本語以外は必要
      https://smpdoc.shanon.co.jp/ja/setting/i18nview/chapter001/

      SMPの言語について