セキュリティ

  • 更新

セキュリティ関連の設定をする

セキュリティ対策の為の下記の設定が行えるメニューです。

パスワード変更通知期日 クライゼルの各アカウントのパスワードを指定期間毎に変更するように促す機能です。
最終パスワード変更日から指定日が経過すると、管理画面上部にアラートが出ます。ただし、アラートは変更を強制できるものでは有りません。
パスワード再発行の認証設定 クライゼルの各アカウントがパスワード再発行を実行する際に、メールアドレスの入力だけでなく、ここで指定した項目についての正しい値の入力が必要となります。
アカウント毎の正しい値の管理は、 [アカウント]のアカウント管理画面にある[編集]から設定できます。
ワンクリックログイン・ 削除期限の上限日 各種メール文面から設定可能な、更新・削除フォームや会員限定サイトへパスワードを入れずに遷移させるURLの有効期間について、初期値では最大13日23時間59分後までしか指定できませんが、このメニューで90日23時間59分後まで指定できるような変更が行えます。
ただし、ワンクリックログインについては、個人情報が閲覧できるURLを発行できるため、そのURLを含むメールをユーザ自身が誤って他人に転送してしまうことなどがあると危険です。
フォームによっては個人情報の表示をしない更新フォームもありますので、そういった場合には長期間のワンクリックログイン期間を設けても良いでしょう。
※フォームから遷移させるワンクリックログイン([デザイン]の[差込記号]から設定できるフォーム同士の連結用)の有効期限は設定できません。当該URLの期限はフォームのセッションタイムアウトまでとなります。
管理画面のIPアドレス制限 管理画面へアクセス可能なIPアドレスを指定できます。
アカウント毎に利用可能なIPアドレスを指定する機能もあります。
APIのアクセス許可IPアドレス API経由でクライゼルへアクセスする場合IPアドレスを指定する機能です。APIオプションを申し込む場合は設定が必須となります。設定しないとAPIが実行できません。
webhook許可URL webhookを使用するために送信先を許可します。
各フォームのwebhook設定画面で[リクエスト送信先URL]に指定可能なURLを指定します。
webhook署名キー webhook通知のリクエストヘッダーには「X-Autobahn-webhook-Signature」というクライゼル固有のヘッダーが付与されます。 このヘッダーの値を検証することで、クライゼルから送信されたものか否かを判定することができます。
1.40のバージョンアップより、再ログイン後に表示される画面が、タイムアウト前に表示していた元ページとなりました。
タイムアウトまでの時間 最後に操作を行ってから、どの程度時間をおいたらセッションタイムアウトとするかを設定できる機能です。 こちらは環境ごとに変更可能です。
投稿画像差込記号URLの有効期限(フォーム) フォームの投稿画像差込記号URLの有効期限(分)を指定できる機能です。
未設定の場合は5分となります。
起点となる日時は、画面が表示されて差込記号が投稿画像URLに置換されたタイミングからとなります。
投稿画像差込記号URLの有効期限(サイト) サイトの投稿画像差込記号URLの有効期限(分)を指定できる機能です。
未設定の場合は5分となります。
起点となる日時は、画面が表示されて差込記号が投稿画像URLに置換されたタイミングからとなります
投稿画像差込記号URLの有効期限(webhook) webhookの投稿画像差込記号URLの有効期限(分)を指定できる機能です。
未設定の場合は30分となります。
起点となる日時は、画面が表示されて差込記号が投稿画像URLに置換されたタイミングからとなります。
投稿画像差込記号URLの有効期限(API) APIの投稿画像差込記号URLの有効期限(分)を指定できる機能です。
未設定の場合は5分となります。
起点となる日時は、画面が表示されて差込記号が投稿画像URLに置換されたタイミングからとなります。

注意

[セキュリティ]はシステム管理者および特権ユーザのみ表示出来るメニューとなり、一般ユーザは変更する事は出来ません。

パスワード変更通知期日を変更する

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [パスワード変更通知期日]に任意の日数を入力し[次へ]をクリックします。

パスワード変更通知期日を変更する:手順2.jpg

3 設定内容を確認し、[実行]をクリックします。

4 [パスワード変更通知期日]が過ぎている場合、画面上部に警告が表示されます。

パスワード変更通知期日を変更する:手順4.jpg

パスワード再発行の認証設定をする

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [パスワード再発行の認証設定]を有効にします。

パスワード再発行の認証設定をする:手順2.jpg

パスワード再発行時に、メールアドレス以外に必要な任意の項目を追加し、
確認ができるよう対象の名称を変更し、[次へ]をクリックします。

3 設定内容を確認し、[実行]をクリックします。

4 [パスワード再発行の認証設定]設定後、認証内容が未設定の場合、画面上部に警告が表示されます。

パスワード再発行の認証設定をする:手順4.jpg

注意

  • [パスワード再発行の認証設定]を有効にした場合、有効なアカウントは全て、対象の認証項目を設定する必要があります。認証項目を設定されていないアカウントはパスワード再発行を行う事が出来なくなります。
  • 認証項目が設定されていないアカウントが存在する場合、システム管理者と特権ユーザに対して画面上部へ警告が表示され続けます。
  • [パスワード再発行の認証設定]を有効にした際の認証項目設定は必須となります。認証項目が何も選択されていない場合、エラー画面が表示され確認画面に進む事が出来なくなります。
  • 設定済みの認証項目を削除すると、各アカウントに設定された認証項目の値も削除されます。認証項目を削除せずに設定を無効とした場合は各アカウントの認証項目値は残ります。

ワンクリックログイン・削除期限の上限日を変更する

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [ワンクリックログイン・削除期限の上限日]に任意の日数を入力します。[次へ]をクリックします。

ワンクリックログイン・削除期限の上限日を変更する:手順2.jpg

3 設定内容を確認し、[実行]をクリックします。

注意

ワンクリックログイン削除期限は、0~90日の間で設定ができます。
ワンクリックログイン期限の上限日を既存文面に設定されている期限より短くした場合、文面更新時にリセットされ0日0時間となり、自動返信メールなどでは、過去の期限日が確認できなくなりますのでご注意ください。

管理画面のIPアドレス制限設定をする

操作手順

1 [システム]>[セキュリティ]を選択します。

2 [管理画面のIPアドレス制限]は、管理画面へアクセス可能なIPアドレスを指定できます。
「有効」にチェックを入れ、下段の入力欄にIPアドレスを記載していきます。

  • 1行1IPアドレス、もしくはIPアドレスの範囲(サブネットマスク表記・CIDR表記)が指定できます。
  • 空欄(半角スペース)は無視されます。
  • IPアドレスの記載の右側に#でコメントを入れることができます。
    何のIPアドレスなのかなどのメモとして活用できます。
  • 上限:1行最大100文字、全体でコメント含め10000文字の制限があります。

補足:IPアドレス記述例:(CIDR表記)
0.0.0.0/0 #全アクセスを許可する設定
0.0.0.0/32 #全アクセスをブロックする設定

[トライコーンからのアクセスを許可する]にチェックを入れると、トライコーンに設定を依頼する際などにログインアカウントを付与した弊社スタッフが、貴社環境にアクセスできるようになります。

管理画面のIPアドレス制限設定をする:手順2.jpg

3[次へ]をクリックし、確認画面へ遷移します。

4「トライコーンからのアクセスを許可する」にチェックをいれた場合、以下のIPアドレスからのアクセスが許可されます。

5設定した内容を確認し[実行]をクリックします。

補足:
「管理画面のIPアドレス制限」において以下のいずれかの変更が行われた際、システム管理者のメールアドレス宛に変更通知メールが送信される仕様となっております。

・有効/無効の切り替え
・設定値の追加・削除(変更)
・トライコーンからのアクセスのチェックの有無の切り替え

また、設定は即時反映されます。

注意

管理画面のIPアドレス制限を変更せずに、実際に利用するIPアドレスが変更されますと、管理画面に一切アクセスできなくなることもございます。くれぐれもご注意いただけますようお願いいたします。
IPアドレス制限の解除は有償にて承っております。詳細はカスタマーサポートまでご連絡ください。

 

APIのアクセス許可IPアドレスを設定する

操作手順

1 [システム]>[セキュリティ]を選択します。

2 [APIのアクセス許可IPアドレス]は、API経由でクライゼルへアクセスする場合のIPアドレスを指定する機能です。
APIオプションをご利用の場合のみ表示され、設定が必須となります。設定しないとAPIが実行できません。

  • 1行1IPアドレス、もしくはIPアドレスの範囲(サブネットマスク表記・CIDR表記)が指定できます。
  • 空欄(半角スペース)は無視されます。
  • IPアドレスの記載の右側に#でコメントを入れることができます。
    何のIPアドレスなのかなどのメモとして活用できます。
  • 上限:1行最大100文字、全体でコメント含め10000文字の制限があります。

APIのアクセス許可IPアドレスを設定する:手順2.jpg

補足:IPアドレス記述例:(CIDR表記)
0.0.0.0/0 #全アクセスを許可する設定
0.0.0.0/32 #全アクセスをブロックする設定

3 [次へ]をクリックし、確認画面へ遷移します。

4 設定した内容を確認し[実行]をクリックします。

webhook許可URL

webhook許可URL.png

各フォームのwebhook設定で[リクエスト送信先URL]に指定できるURLを登録します。
空欄の状態である場合はwebhookは設定できません。
webhookボタン.png

webhook設定新規作成.png

注意

  • 当機能は2024年9月24日に追加された機能です。それ以前からご利用の環境へは送信先の制限がない状態の設定「*」が設定されています。すでに設定されているフォーム機能側のwebhook設定の[リクエスト送信先URL]についてwebhook送信の制限がかかることはありません。
  • 上記の既存環境に制限をかけるためには、本画面で「*」を削除して、許可したい送信先URLを登録してください。
  • この設定はシステム管理者のみ変更可能です。(特権ユーザがアクセスした場合には値の確認のみ可能)

操作手順

1 [システム]>[セキュリティ]を選択します。

2 フォームのwebhook設定の[リクエスト送信先URL]に指定して良いURLを指定します。

  • 改行区切りで複数URLを追加可能
  • webhook新規追加・更新画面のバリデーションチェックに利用されます。
  • 「*」はワイルドカードとして判定されます。
  • 改行区切りで複数URLを追加可能
  • この項目の設定変更時に、指定値と不整合となるwebhook設定(フォーム側)がある場合は、入力エラーで保存できません。
    条件を満たさないwebhook設定の先頭10件が表示されます。
    各webhook設定の[リクエスト送信先URL]を修正してから[webhook許可URL]を修正してください。 

webhook許可URL:手順2.png

3 [次へ]をクリックし、確認画面へ遷移します。

4 設定した内容を確認し[実行]をクリックします。

webhook署名キーの確認と検証方法について

操作手順

1 [システム] > [セキュリティ] を選択します。

2 "webhook署名キー"の項目にキー情報が記載されています。

"X-Autobahn-webhook-Signature"値の検証方法について

"X-Autobahn-webhook-Signature"の値は以下の2つの文字列で構成されます。
<署名キーのハッシュ>.<リクエストボディのHMACハッシュ>
各文字列の説明は以下の通りです。
 
  • <署名キーのハッシュ>:"webhook署名キー"をsha256でハッシュ化した値
  • <リクエストボディのHMACハッシュ>:リクエストボディから改行や空白スペースをトリムしたものをHMAC方式でハッシュ化した値
    例)PHPで算出する際のサンプルコード

    $body = trim(<リクエストボディ>);
    $key = <署名キー>
    $hash = hash_hmac('sha1', $body, $key, true);
    $hash = base64_encode($hash);
 PHPによる"X-Autobahn-webhook-Signature"の検証サンプルコード
function isValidRequest(){
  // リクエストヘッダからX-Autobahn-webhook-Signatureを取得
  $headers = getallheaders();
  if (array_key_exists("X-Autobahn-webhook-Signature", $headers) === false) {
    return false;
  }
  $signature = $headers["X-Autobahn-webhook-Signature"];
  // 署名キーを定義
  $key = "<署名キー>";
  // リクエストボディを取得
  $body = file_get_contents("php://input");
  if (is_string($body) === false) {
    return false;
  }
  // リクエストボディのハッシュ値を算出
  $body = trim(body);
  $hashed_body = hash_hmac('sha1', $body, $key, true);
  $hashed_body = base64_encode($hash);
  // 署名キーのハッシュ値を算出
  $hashed_key = hash('sha256', $key);
  // 照合した結果を返す
  return ($signature === "{$hashed_key}.{$hashed_body});
}
 

 

タイムアウトまでの時間を設定する

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 管理画面の[タイムアウトまでの時間]を選択して設定できます。[次へ]をクリックします。

3 設定内容を確認し、[実行]をクリックします。

セッションタイムアウト後には、ログアウト画面が表示され、 再度クライゼル管理画面にログインを行っていただく必要がございます。
ログイン後、タイムアウト直前に開いていたページが表示されます。

投稿画像差込記号URLの有効期限(フォーム)

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [投稿画像差込記号URLの有効期限(フォーム)]に任意の分数を入力します。[次へ]をクリックします。

3 設定内容を確認し、[実行]をクリックします。

投稿画像差込記号URLの有効期限(サイト)

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [投稿画像差込記号URLの有効期限(サイト)]に任意の分数を入力します。[次へ]をクリックします。

3 設定内容を確認し、[実行]をクリックします。

投稿画像差込記号URLの有効期限(webhook)

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [投稿画像差込記号URLの有効期限(webhook)]に任意の分数を入力します。[次へ]をクリックします。

3 設定内容を確認し、[実行]をクリックします。

投稿画像差込記号URLの有効期限(API)

操作手順

1 [システム]>[セキュリティ]を選択します。
[セキュリティ設定]画面が表示されます。

2 [投稿画像差込記号URLの有効期限(API)]に任意の分数を入力します。[次へ]をクリックします。

3 設定内容を確認し、[実行]をクリックします。