ご利用企業によるセキュリティコントロール

ここでは、ソーシャルPLUS をご利用いただくうえで、ご利用企業様側で徹底していただきたいセキュリティ担保のための対策を記載します。

漏えいに注意

個人情報の扱い

ソーシャルPLUS は、プロダクトの性質上、個人情報を大量に扱う機会があります。ソーシャルPLUS から取得できる情報の取り扱いには万全を期していただきますようお願いいたします。

参考情報: 個人情報保護法等（個人情報保護委員会）

警告

ソーシャルPLUS を扱う際のお客様の操作ミス、またはお客様側アプリケーションの実装漏れによる個人情報漏えい、ログインプロバイダ側の対応処置等について、当社は一切その責を負えませんのでご了承ください。

備考

ソーシャルPLUS はお客様に法的なアドバイスを提供する立場にないため、データ保護に関する法的な質問は、お客様の顧問弁護士にご相談されることをお勧めいたします。

ソーシャルPLUS アカウント

ソーシャルPLUS のアカウントによってソーシャルログインマネージャーにアクセスすると、ユーザの個人情報 や ログインプロバイダ設定のシークレットキー、API キー を閲覧できます。

サポート窓口などでの閲覧可能範囲について

ソーシャルPLUS 社内スタッフ、サポート窓口においても、お客様の個人情報やログインプロバイダのシークレットキー、発行した API キーは直接閲覧できないよう制限しています。

パスワードについて

ソーシャルPLUS 側ではご利用者様が設定したパスワードは暗号化されているため「○○という文字列で合っているか？」といったお問い合わせには回答できません。

パスワードが不明な場合は、アカウントID を添えてパスワードの初期化をご依頼ください。

パスワードの使いまわし、脆弱なパスワード文字列

ここまで記載したとおり、ソーシャルPLUS アカウントでアクセスしますと、ユーザの個人情報などにアクセス可能となります。そのためご利用になるパスワード文字列を他サービスでも使いまわしたり、脆弱なパスワード文字列を設定しないよう充分ご配慮ください。

ソーシャルPLUS アカウントの漏えい（お客様側での事例）

社内関係者にアカウント情報を伝えるため、アカウントID と平文のパスワードをメールに記載して送付した。

その後、メールのやり取りが続き、社外関係者宛に同一スレッドでメールを送信（返信に宛先を追加）した。過去のやり取りにアカウント情報がそのまま残っており、社外関係者もソーシャルログインマネージャーにログイン可能なアカウント情報を知る状態となった。

社外関係者は個人情報などを閲覧できるべきではないため、知り得たパスワードについて企業側へ即時変更を依頼した。

留意事項

メールにアカウント情報（アカウントID, 平文のパスワード）を記載して送信しないでください
メールの返信時には多くのメールソフトで、過去のメール内容が引用されて含まれます。過去のメール内容が現在のメール送信先に送信して問題のないものであるかご確認ください

API キー

ソーシャルPLUS の Web API をご利用いただくために必要な「API キー」は、API におけるパスワードとも言えるような重要な文字列です。

API キーが漏えいしますと、ご利用企業と関係のない第三者が、ソーシャルPLUS の Web API を利用してユーザの個人情報を取得することが可能となってしまいます。

ソーシャルPLUS アカウントのパスワードと同様に、メールなどに平文のまま記載しないようご注意ください。

Web API のセキュリティ

ソーシャルPLUS では基本的に、ご利用企業のシステム側で「API キー」が適切に秘匿管理されていることを前提としています。

「API キー」が漏えいしている状態では適切なアクセス管理が行えないこととなりますのでご留意ください。

ログインプロバイダのシークレットキー

ソーシャルログインマネージャーから設定いただく各ログインプロバイダの接続情報にも、上記 API キーと同様に、その文字列をシステムにおけるパスワードのように扱う「シークレットキー」（App シークレット、チャネルシークレット、シークレットなどログインプロバイダによって呼称は異なります）があります。

こちらもログインプロバイダ側で提供されている API 経由でログインアプリの設定を変更したり、他の情報と合わせることでユーザの個人情報を取得したりすることが可能になります。

基本的にはログインプロバイダ側でもシークレットキーにあたる文字列は漏えいしていないことを前提とされています。

コントロール可能なセキュリティ設定

アカウントのパスワード変更

「アカウント設定」ページから任意のタイミングでアカウントのパスワードを変更できます。

ソーシャルログインマネージャー - アカウント設定メニュー

パスワードの変更には「現在のパスワード」も必要となります。

ソーシャルログインマネージャー - アカウント設定ソーシャルログインマネージャー - アカウント設定（パスワードを変更）

ソーシャルログインマネージャーへのアクセス元 IP アドレス制限

ソーシャルログインマネージャーへアクセスするブラウザの「アクセス元 IP アドレス」をホワイトリスト形式で制限できます。

「アカウント設定」ページから設定可能です。

ソーシャルログインマネージャー - IPアドレス制限

警告

IP アドレスが１つでも設定されている場合は、指定外の IP アドレスからのアクセスができなくなりますのでご注意ください。

Web API へのアクセス元 IP アドレス制限

Web API ではユーザー情報を取得することができるため、Web API を実行するサーバーの「アクセス元 IP アドレス」をホワイトリスト形式で制限できます。

［設定］>［Web API のアクセス制限］ページからサービスごとに設定可能です。

ソーシャルログインマネージャー - Web API のアクセス制限

API キーのリセット

［設定］>［API キー］ページから「API キーをリセット」できます。

Web API で利用する API キーはソーシャルログインマネージャーから、Messaging API で利用する API キーはメッセージマネージャーからリセットします。

ソーシャルログインマネージャー - API キー（API キーをリセットする）

API キーをリセットする

「API キーをリセットする」を行うと現在 Web API で利用している「API キー」がその場ですぐに利用できなくなります。リセット後、新しく発行された「API キー」に変更する必要もありますので、運用中のサービスで行う場合はご留意ください。

漏えいに注意​

個人情報の扱い​

ソーシャルPLUS アカウント​

留意事項​

API キー​

ログインプロバイダのシークレットキー​

コントロール可能なセキュリティ設定​

アカウントのパスワード変更​

ソーシャルログインマネージャーへのアクセス元 IP アドレス制限​

Web API へのアクセス元 IP アドレス制限​

API キーのリセット​

関連ドキュメント​