メインコンテンツへスキップ
  • このガイドラインでは、セキュリティダッシュボードの追加背景から利用方法まで記載してあります。

     

    01セキュリティダッシュボードについて

    1.1 追加された背景

    セキュリティダッシュボードはお客様が自身のSMP環境のリスクを把握し、
    適切な設定変更を促すことでセキュリティインシデントの発生を抑えることを目的として追加されました。

    SMPでは定期的に機能やセキュリティに対するアップデートを行っていますが、
    アップデートのみで全てのセキュリティリスクの発生を抑えることができるとは限りません。

    また、SMPを利用しているお客様がセキュリティに問題のある状態のまま、
    SMPを運用していることを知らずに、リスク対策を適切にできていない状態も考えられます。

    利用しているSMPのセキュリティ設定がどのようになっているのか定期的に確認し、
    セキュリティリスクへ備えるようにしましょう。

     

    1.2 セキュリティダッシュボードでできることについて

    セキュリティダッシュボードでは、
    セキュリティに関する設定項目を一覧で確認することができます。

    また、SMP上でセキュリティリスクが懸念されるような設定を行っていた場合は、
    安全な設定値に変更するよう、管理画面上で注意喚起が行われます。

    設定を変更したい場合は、セキュリティダッシュボードの管理画面上から変更することができます。

    image001.png

    図1.セキュリティダッシュボードの管理画面イメージ

     

    • セキュリティダッシュボードでは「リスクレベル」ごとに項目が表示されます。
      各リスクレベルごとに、基準は異なっており「リスクレベル:高」になるほど重大なリスクにつながる可能性があります。
      リスクレベルの説明や基準はこちらのマニュアルをご参照ください。

     

    02セキュリティダッシュボードの利用方法について

    2.1 セキュリティダッシュボードの有効化について

    セキュリティダッシュボードを利用するためには、機能を有効化していただく必要があります。
    有効化の方法に関しては、以下のマニュアルをご参照ください。

     

    2.2 システム設定の変更について

    基本的に、セキュリティダッシュボードに表示される設定は、
    システム設定を変更すれば解決できるものがほとんどです。

    しかしながら、システム設定以外にも変更を加える必要のある設定が一部存在します。
    下記はそれぞれの状況に応じた、コンテンツの一覧となります。

     

     

    03関連コンテンツ

     

    変更履歴

    項番 変更日 変更内容
    1 2023/1/21
    • 初版

     

    セキュリティダッシュボードについて

  • SMPのセキュリティダッシュボードで、「クエリパラメータにID/パスワードを渡してのログインの許可」についてエラー表示されている場合は、脆弱性、情報漏洩のリスクがあります。

    対策を必要とする場合は、システム設定より変更を行う必要があります。

     

    01クエリパラメータの基礎知識

    1.1 クエリパラメータとは

    サーバーに情報を共有するため、URLの末尾に付け加える文字列のことです。
    通常のURLの末尾に「?」と任意の変数を付与することで、URLクエリパラメータ作成し、サーバーに送信したいデータを付与することが可能となります。

    SPF_DKIM.png

    図1.クエリパラメータの見方について

     

    ログインを行うURLでクエリパラメータにID/PASSの情報を付与した状態で使用することで、ログイン時にID/PASSの入力を省略することも可能になります。

    しかし、もしクエリパラメータを使用しログインを行った場合は該当のID/PASSの情報が流出する可能性があり、情報の脆弱性が危ぶまれます。

     

    1.2 SMPでの影響について

    ログインURLにクエリパラメータを付与することがSMPでも可能です。

    クエリパラメータを付与した場合は、URLにIDとPASSが含まれてしまうため、アクセスログなどから流出する危険性があります。

    SMPのログインIDとPASSが流出してしまうと、SMPの管理画面にログインされてしまい悪意のある人が情報の閲覧や、管理画面の操作などを行うことが可能となります。

    情報の流出を防ぐため、SMPではクエリパラメータを使用したログインを許可しないようにする設定があります。

     

    02SMPでのクエリパラメータ対策について

    SMPではクエリパラメータ対策として、設定[システム設定一覧]から、設定を変更することが可能です。

    2.1 設定手順

    1. 全キャンペーン(青色の画面)>設定[システム設定一覧]をクリック
    2. 上部にある[編集]をクリック
    3. 画面内検索で「クエリパラメータ」と検索
    4. 「クエリパラメータにID/パスワードを渡してのログインの許可」「クエリパラメータにID/パスワードを渡してのログインの許可(サイト認証)」の項目に[0]を入力
      settei.gif
    5. 下部にある[登録]をクリック

     

    2.2 確認

    設定完了後は、パラメータを利用しない通常のログインができるか確認を行います。
    以下URLのログイン画面より、管理者でのログインが可能か確認を行ってください。

    機能 ログインURL(https://{ドメイン}「ログインURL」)
    管理者ログイン機能

    /public/login
    /public/admin/login

    リードログイン機能 /public/login
    /public/mypage/login 

    ユーザー認証APIログイン機能

    ※ユーザー認証APIを利用している場合はこちらも併せて確認を行ってください。

    /public/authapi/login/admin
    /public/authapi/login/visitor
    /public/authapi/login

     

    03関連コンテンツ

     

     

    「クエリパラメータにID/パスワードを渡してのログインの許可」設定について

  • SMPのようなWebアプリケーションに対するサイバー攻撃対策の一つとして「XSS」という手法があります。
    対策を行わない場合、WEBフォームへ不正なリンクを挿入され、クリックによるマルウェアの感染個人情報の漏えいが発生する恐れがあります。

    このFAQでは、XSSの具体的な攻撃手法や対策方法についてご紹介します。

    また、SMPのセキュリティダッシュボードで「管理画面のXSSエスケープ」のエラー表示されていている場合は、影響範囲を確認した上で、システム設定の「XSSエスケープ」を有効にご変更頂く必要があります。

    01XSSの基礎知識

    1.1 XSS(クロスサイト・スクリプティング)とは

    Webサイトの脆弱性を利用し、Webフォームに悪質なスクリプトを埋め込むサイバー攻撃のひとつです。
    一般的に、Webフォームの入力ボックスに不正なスクリプトコードを挿入し、リンクに誘導してクリックさせることでマルウェアへの感染や個人情報の漏洩を引き起こします。

    SMPの場合、管理画面から項目を入力してWEBフォームを作成するため、管理画面からスクリプトを入力することでフォームに反映されて動作します。

    例えば、画面上に以下のようにアラートを表示させ、不正なリンクに誘導させるなどが可能です。

    xss2.png

    図1.入力項目にアラートのスクリプトを入力した例

     

     

    1.2 SMPへのXSSの影響範囲について

    XSS対策を行わない場合、管理画面からスクリプトの入力が可能な状態となります。

    SMPのキャンペーン詳細ページなどの入力項目に不正なスクリプトが入力された場合、リードが対象の画面にアクセスした際に管理者が意図しない内容が表示されてしまいます。

    XSS_FAQ.jpg
    図2.XSS(クロスサイト・スクリプティング)イメージ図

     

    02SMPでのXSS対策について

    2.1 SMPでのXSS対策

    セキュリティダッシュボードで表示される「管理画面のXSSエスケープ」は、管理画面から設定する入力項目へ不正なスクリプトを入力された場合に、内容をスクリプトではなくテキストとして扱い、スクリプトが動作しないようにします。
    管理画面でエスケープ処理を施すことによって、XSSリスクを軽減する対策となります。

    エスケープ処理の例

    <script>alert('Hello!')</script> → &lt;script&lt;alert('Hello!')&lt;/script&lt;

     

    2.2 XSSに対するセキュリティ対策の判断について

    セキュリティ状態は、管理画面のセキュリティダッシュボードから確認が可能です。
    「管理画面のXSSエスケープ」が表示されている場合は対策をご検討ください。
     
    1. 全キャンペーン管理画面 >設定 >システム設定一覧 > セキュリティ状態 をクリックします
    2. セキュリティダッシュボードで「管理画面のXSSエスケープ」の表示を確認する

     

    2.3 SMPでのXSSエスケープ設定方法について

    1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
    2. 画面内検索(CTRL+F)で「管理画面のXSSエスケープ」を検索します。
    3. 設定が「有効」になっていることを確認します。

    xss______.png

    図3.システム設定一覧イメージ

    本対策はこの設定に加え、弊社での対応が必要な内容となります。
    システム設定の「XSSエスケープ」を有効にご変更いただき、担当営業またはカスタマーサポートにお問い合わせをお願いいたします。

    ■お問い合わせ先

    • WEBフォームからのお問合わせ
      https://support.shanon.co.jp/hc/ja/requests/new

    • メールからのお問合わせ
      Mail: support@shanon.co.jp

    • お電話からのお問合わせ
      TEL:050-3196-1091
      (営業時間:10:00-18:00 土・日・祝祭日を除く)

     

    03関連コンテンツ

    管理画面のXSSエスケープ対策について

  • SMPのようなWebアプリケーションに対するサイバー攻撃の対策の一つに「CSRF」という手法があります。
    対策を行っていないと、攻撃者がWebアプリケーションに対して任意の処理を行うことが可能となり、データ漏えいや、データを改ざんされる恐れがあります。

    このFAQでは、CSRFの具体的な攻撃手法やCSRFの対策方法についてご紹介します。

     

    01CSRFの基礎知識

    1.1 CSRFとは

    CSRF(クロスサイトリクエストフォージェリ)とは、ログイン状態であるWebアプリケーションの利用者に、特定のURLをクリックさせることなどによって、実行できないはずのリクエストを、利用者を介して第三者が実行する攻撃手法のことです。

    例えば、SNSアプリにログイン中のユーザが、攻撃者から誘導されたURLをクリックした場合、
    攻撃者がユーザに偽ってSNSアプリサーバーに不正リクエストを送信することができます。
    不正リクエストを受けとったSNSアプリサーバーは、ユーザからの正規のリクエストだと判断し、リクエストの処理を実行してしまいます。

    その結果、不正投稿されたり、パスワードを変更されるなどの被害に繋がる恐れがあります。

    __.png

    図1.CSRF具体的な攻撃手法イメージ

     

    1.2 SMPでのCSRFの影響について

    CSRFへの対策を行わない場合、SMPで用意した会員サイトフォームにおいて、攻撃者がリードに偽って申込みリクエストを送信し、申込み処理やキャンセル処理、個人情報の改ざんが行われる恐れがあります。

    __.png

    図2.SMPでのCSRF影響例

     

     

    02SMPでのCSRF対策について

     

    CSRF対策のために必要な手順は3ステップあります。

    対策 設定方法
    ステップ1:「リード側CSRF対策」を「有効」にする 設定一覧>リード側CSRF対策を「無効」から「有効」にする。
    ステップ2:「CSRFチェックレベル」を「7」にする

    設定一覧>CSRFチェックレベル を「7」にする。

    ステップ3:申込みフォームのテンプレート内に特定の変数を記載する デザインテンプレートのカスタマイズで、申込フォームの入力画面と確認画面のテンプレート内に変数$FORM{Common.all_vars}を記載する。

     

    ステップ1と2では、システム設定一覧の各項目「リード側CSRF対策」と「CSRFチェックレベル」の項目設定内容を変更します。

    ステップ3では、CSRF対策のために、あらかじめ用意されている弊社独自のデザインテンプレート変数を、SMPで用意する申込みフォームページの入力画面と確認画面のhtmlファイルに記載します。

    上記3つの対策を行うことで、システム側でリクエストの照合が強化されリスクを軽減することができます。


    ■ステップ3:CSRF対策のために用意された変数

    $FORM 説明
    $FORM{Common.all_vars} CSRF対策のために用意された弊社独自のデザインテンプレート変数

     

    __.PNG

    図3.ステップ3:$FORM{Common.all_vars}記載したページのソースを
    テキストエディタで開いたイメージ

     

    変数記載時 注意点

    $FORM{Common.all_vars}に加え、図3.<form AUTOCOMPLETE ~から始まる変数も、申込みフォームに必要な要素です。コメントアウトまたは削除しないようにご注意ください。

     

    03対策の設定方法・手順

    設定方法は以下のとおりです。

    3.1 ステップ1:「リード側CSRF対策」を「有効」にする

    全キャンペーン>サイドメニュー:設定>システム設定一覧
    1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
    2. 画面内検索(CTRL+F)で「リード側CSRF対策」を検索します。
    3. 「無効」になっている場合は、画面上部にある「編集」リンクをクリック後、半角数字の1(有効)と入力し画面最下部の登録ボタンをクリックします。

    __.PNG

    図4:システム設定一覧イメージ

     

    3.2 ステップ2:「CSRFチェックレベル」を「7」にする

    全キャンペーン>サイドメニュー:設定>システム設定一覧
    1. 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
    2. 画面内検索(CTRL+F)で「CSRFチェックレベル」を検索します。
    3. 値が「7」以外になっている場合は、画面上部にある「編集」リンクをクリック後、半角数字の7と入力し画面最下部の登録ボタンをクリックします。

    CSRF____.PNG

    図5:システム設定一覧イメージ

     

    注意点

    最高レベルは「7」ですが、CSRFチェックの最高レベルが更新された場合には、それに合わせて最高レベルが変更される場合があります。


    3.3 ステップ3:申込みフォームのテンプレート内に特定の変数を記載する

    CSRF対策のための変数を、申込みフォームのhtmlファイルに記載するには、デザインテンプレートのカスタマイズが必要です。カスタマイズするテンプレートの変更先は、「system.zip」または「seminar.zip」です。

    カスタマイズ時 注意点

    デザインテンプレートのカスタマイズを行うにあたっての注意点は、以下ユーザマニュアルをご参照ください。

    • デザインテンプレートをカスタマイズする
      デザインテンプレートの概要について説明したユーザマニュアルです。
    • system.zipのテンプレートを修正する場合は、全キャンペーン(セミナー)に影響があります。
      サンドボックス環境にて検証後に、本番環境へ適用するなど、ご注意の上、作業をすることを推奨します。サンドボックス環境のご用意がない場合は、弊社営業担当者にご相談いただくかカスタマーサポートまでお問い合わせください。

     

    設定手順(system.zip)

    全キャンペーン>サイドメニュー>WEB>テンプレート変更
    1. 全キャンペーン>サイドメニュー>WEB>テンプレート変更をクリックします。
    2. 最新登録日時のsystem.zipのダウンロードをクリックします。
      ※登録日時がついた[ダウンロード]リンクがない場合は、
      [デフォルトダウンロード(system.zip)]をクリックし、ダウンロードします。
      ※ダウンロードしたsystem.zipは修正用とバックアップ用に分けて保存してください。
    3. system.zipを解凍し、申込入力画面と確認画面のindex.htmlをテキストエディタで開きます。
      ※キャンペーンのフローにより、index.htmlへのファイルパスは異なります。

      ■申込入力画面
      例1)フロー名:キャンペーン申し込み([ユーザー情報])
      申込み入力画面:seminar_base/application/application_flow_master_id/user/index.html

      例2)フロー名:キャンペーン申し込み([ユーザー情報/アンケート])
      申込み入力画面:seminar_base/application/application_flow_master_id/userenquete/index.html

      ■確認画面
      seminar_base/application/application_flow_master_id/confirm/index.html

    4. $FORM{Common.all_vars}がコメントアウトされているまたは記述自体ない場合は修正・追記し、上書き保存します。

    5. 修正が終わったsystem.zipを再度ZIPに圧縮します。
    6. SMPの管理画面>全キャンペーン>WEB>テンプレート変更画面に戻ります。
    7. 画面右上の[新規登録]ボタンをクリックして、system.zipを選択し、 [登録]ボタンをクリックします。

    __.png

    図6.{Common.all_vars}がコメントアウトされている際のイメージ

     

    設定手順(seminar.zip)

    全キャンペーン>個別キャンペーン:「管理開始」リンク>サイドメニュー>[キャンペーンテンプレート変更]
    1. 全キャンペーンより、個別キャンペーンの[管理開始]リンクをクリックします。
    2. サイドメニュー>[キャンペーンテンプレート変更]リンクをクリックします。
    3. キャンペーン内の最新登録日時のseminar.zip、または[デフォルトダウンロード(seminar.zip)]リンクをクリックします。
    4. seminar.zipを解凍します。
    5. 申込入力画面と確認画面のindex.htmlをテキストエディタで開きます。
      ※キャンペーンのフローにより、申込入力画面のindex.htmlへのファイルパスは異なります。

      ■申込入力画面
      例1)フロー名:キャンペーン申し込み([ユーザー情報])
      申込み入力画面:seminar/application/application_flow_master_id/user/index.html

      例2)フロー名:キャンペーン申し込み([ユーザー情報/アンケート])
      申込み入力画面:seminar/application/application_flow_master_id/userenquete/index.html

      ■確認画面
      seminar/application/application_flow_master_id/confirm/index.html

      上記、seminar.zipを適用されている場合のファイルパスとなります。
    6. $FORM{Common.all_vars}がコメントアウトされているまたは記述自体ない場合は修正・追記し、上書き保存します。
    7. 修正が終わったseminar.zipを再度ZIPに圧縮します。
    8. 個別キャンペーン画面に戻り、サイドメニュー>[キャンペーン]をクリックします。
    9. サイドメニューの[キャンペーンテンプレート変更]をクリックします。
    10. [新規登録]ボタンをクリックして、seminar.zipを選択し、 [登録]ボタンをクリックします。

    __.gif

    図7.デザインテンプレート編集イメージ(seminar.zip)

     

    04対策後の確認方法

    上記設定手順でSMPでのCSRF対策を行うことにより、
    下記タグが申込みページのHTMLソース内に表示されるようになります。

    ■申込みページのHTMLソース内に表示されるようになるタグ

    タグ 説明
    <input type="hidden" name="csrf_id" value="XXXXX"> CSRF対策が行われている場合
    HTMLソース内に表示されるようになります。
    ※"XXXXX"には変動値が入ります。

     

    下記手順にてタグが表示されているのかを確認することができます。

    1. 対策をした申込みフォームページにアクセスします。
    2. 右クリックし、「ページのソース」を表示します。
    3. 以下タグを画面内検索(CTRL+F)し、HTMLソース内に表示されるか確認します。
      ※検索するタグ
      <input type="hidden" name="csrf_id" value=

    __.png

    図8.画面内検索イメージ

    05関連コンテンツ

    リード側CSRF対策について