ご利用企業によるセキュリティコントロール
ここでは、ソーシャルPLUS をご利用いただくうえで、ご利用企業様側で徹底していただきたいセキュリティ担保のための対策を記載します。
漏えいに注意
個人情報の扱い
ソーシャルPLUS は、プロダクトの性質上、個人情報を大量に扱う機会があります。ソーシャルPLUS から取得できる情報の取り扱いには万全を期していただきますようお願いいたします。
参考情報: 個人情報保護法等(個人情報保護委員会)
ソーシャルPLUS を扱う際のお客様の操作ミス、またはお客様側アプリケーションの実装漏れによる個人情報漏えい、ログインプロバイダ側の対応処置等について、当社は一切その責を負えませんのでご了承ください。
ソーシャルPLUS はお客様に法的なアドバイスを提供する立場にないため、データ保護に関する法的な質問は、お客様の顧問弁護士にご相談されることをお勧めいたします。
ソーシャルPLUS アカウント
ソーシャルPLUS のアカウント によって管理画面(ソーシャルログインマネージャーあるいはメッセージマネージャー)にアクセスすると、ユーザの個人情報 や プロバイダ設定のシークレットキー、API キー を閲覧できます。
ソーシャルPLUS 社内スタッフ、サポート窓口においても、お客様の個人情報やプロバイダのシークレットキー、発行した API キーは直接閲覧できないよう制限しています。
API キー
ソーシャルPLUS の Web API をご利用いただくために必要な「API キー」は、API におけるパスワードとも言えるような重要な文字列です。
API キーが漏えいしますと、ご利用企業と関係のない第三者が、ソーシャルPLUS の Web API を利用してユーザの個人情報を取得することが可能となってしまいます。
ソーシャルPLUS アカウントのパスワードと同様に、メールなどに平文のまま記載しないようご注意ください。
ソーシャルPLUS では基本的に、ご利用企業のシステム側で「API キー」が適切に秘匿管理されていることを前提としています。
「API キー」が漏えいしている状態では適切なアクセス管理が行えないこととなりますのでご留意ください。
ログインプロバイダのシークレットキー
管理画面から設定いただく各ログインプロバイダの接続情報にも、上記 API キーと同様に、その文字列をシステムにおけるパスワードのように扱う「シークレットキー」(App シークレット、チャネルシークレット、シークレットなどログインプロバイダによって呼称は異なります)があります。
こちらもログインプロバイダ側で提供されている API 経由でログインアプリの設定を変更したり、他の情報と合わせることでユーザの個人情報を取得したりすることが可能になります。
基本的にはログインプロバイダ側でもシークレットキーにあたる文字列は漏えいしていないことを前提とされています。
コントロール可能なセキュリティ設定
アカウントのログイン
アカウントのログインは、メールを利用したパスワードレスログイン方式です。
パスワードの管理は不要ですが、供用のメールアドレスを利用している場合には閲覧可能な状態にある対象者を充分ご認識ください。
管理画面へのアクセス元 IP アドレス制限
管理画面(ソーシャルログインマネージャーあるいはメッセージマネージャー)へアクセスするブラウザの「アクセス元 IP アドレス」をホワイトリスト形式で制限できます。
アカウント設定ページから設定可能です。
IP アドレスが1つでも設定されている場合は、指定外の IP アドレスからのアクセスができなくなりますのでご注意ください。
Web API へのアクセス元 IP アドレス制限
Web API ではユーザー情報を取得することができるため、Web API を実行するサーバーの「アクセス元 IP アドレス」をホワイトリスト形式で制限できます。
[設定]>[Web API のアクセス制限]ページからサービスごとに設定可能です。
API キーのリセット
[設定]>[API キー]ページから「API キーをリセット」できます。
Web API で利用する API キーは ソーシャルログインマネージャー から、Messaging API で利用する API キーは メッセージマネージャー からリセットします。
「API キーをリセットする」を行うと現在 Web API で利用している「API キー」がその場ですぐに利用できなくなります。リセット後、新しく発行された「API キー」に変更する必要もありますので、運用中のサービスで行う場合はご留意ください。