Adobe Campaign | Update – Gold Standardへのアップデート後の新機能ご紹介 ~その3~ Audit Trail CSRF対策としてGoogle reCAPTCHAの実装方法の紹介

Adobe Campaign Gold Standardへのアップデート後に追加・強化される新機能のうち、Google reCAPTCHAについて紹介します。これは、監査記録機能とCSRF対策としての機能になります。監査記録機能はインスタンスに対して行われた全ての変更を記録することで、運用の問題点の特定、早期把握、解決に役立ちます。

またGoogle reCAPTCHAの実装は、ボットによるスパムの投稿や悪意のある目的を防止し、オンライントランザクションを安全に保ちます。

Audit Traitについて

ビジネス的な価値

• • インスタンスに対して⾏われた全ての変更を記録することで、運⽤の問題点の特定、早期把握、解決に役⽴ちます。

主な機能的なメリット

• 以下の記録によって、オブジェクトに何が起きたか、誰が最後にいつ修正したか、変更前の状態はどうだったかを知ることができます

  • スキーマ監査証跡:
    • アクティビティおよびスキーマに対して⾏われた最後の変更を確認します。
  • ワークフロー監査証跡:
    • ワークフローに対して⾏われたアクティビティと最後の変更を確認し、さらに次のようなワークフローの状態を確認します。
  • オプション監査証跡:
    • アクティビティと、オプションに対して⾏った最後の変更を確認します。

ご利用条件

• • インスタンスの管理者のみが使⽤できます。
  • Adobe Campaignでは、ユーザーの権限、テンプレート、パーソナライゼーションまたはキャンペーン内で⾏われた変更は監査されません。監査証跡は、インスタンスの管理者のみが管理できます。
  • インスタンスの管理者のみが使⽤できます。
  • Adobe Campaignの18.10リリースおよび8700(18.10)のビルドでこの機能を利⽤できます

監査証跡へのアクセス⽅法

1. 1. インスタンスのメExplorer ニューにアクセスします。
   2. メニューの下Administration で、Auditを選択します。
   3. エンティティのリストが表⽰されたウィンドウが開きます。エンティティの1つを選択して、最後の変更の詳細を確認します。

監査証跡の利⽤⽅法

1. 1. オペレーターがソーススキーマ、ワークフロー、あるいはオプションで⾏ったアクションが記録されます。
   2. ログとして記録されるアクション：作成・変更・削除が記録されます。

Adobe Campaign ClassicでのGoogle reCAPTCHAの利用

ビジネス的な価値

• • ボットによるスパムの投稿や悪意のある⽬的を防⽌し、オンライントランザクションを安全に保ちます。

主な機能的メリット

• • Google reCAPTCHAのメカニズムによって、ランディングページをスパムやボットによる不正使⽤から守ることができます。※CSRF対策として有効
  • このメカニズムは、ユーザーによる操作が不要で、お客様のサイトとのやり取りに基づいているので、ユーザーにとっては負担になりません

ご利用条件

• • Google reCAPTCHAを設定するには、Google アカウントが必要になります。

Google reCAPTCHA概要

概要

• • • サイトへの機械的なアクセス（BOT等）を排除し、サイトの安全性を⾼める仕組み
      ※基本的なCAPTCHA利⽤であれば、reCAPTCHA v2のwidget/badgeが必要です。

reCAPTCHA v3

• • • スコアリングによりBOTを判定し、お気に⼊りやユーザーの声を表⽰する仕組みでBOT排除を⾃動的に⾏うことができる。

reCAPTCHA v2 (“I’m not a robot widget”)

• • • ユーザーに「I’m not arobot」のチェックを選択させることでBOTを排除。

reCAPTCHA v2 (Invisible reCAPTCHA badge)

• • • ユーザーからのCAPTCHA⽤の⼊⼒が不要。既存のボタン等のアクション等から判断。

reCAPTCHA v2 (Android)

• • • Google App用のCAPTCHA用API。

設定⼿順（reCAPTCHA v2:widgit)

1. 1. Googleアカウントの作成
      • 法人アカウントの作成については以下を参照してください。
        https://gsuite.google.co.jp/intl/ja/
   2. Google reCAPTCHAの設定
      • GoogleアカウントからCAPTCHA対応などを設定します。
   3. サイトキー/シークレットキーの取得
      • No.2の登録後に表示されるサイトキーとシークレットキーを保存します。
   4. Adobe Campaign Marketingサーバーのconfファイル変更
      • Google reCAPTCHA APIエンドポイントへのアクセス許可whitelist設定をconfファイルに追加します。(Adobe Campaign Build 8789以降のみ)
   5. アプリケーションのプロパティ変更
      • Webアプリケーションで使用する変数とライブラリを追加します。
   6. ワークフロー変更（認証処理追加）
      • Webアプリケーションに認証処理を行うアクティビティを追加します。
   7. サイト実装変更（表示）
      • クライアント側ページに、処理スクリプトとCAPTCHAウィジットを追加します。
   8. サイト実装変更（入力値の認証）
      • ユーザー入力の確認と対応処理（サーバー側）を実装します。
   9. 動作確認
      • 色々なブラウザから表示を確認します。

サンプル

参考資料

• CSRF概要
  • https://www.owasp.org/index.php/Top_10-2017_A8-Insecure_Deserialization
• Google reCAPTCHA
  • https://developers.google.com/recaptcha/
• Google G Suite（法⼈アカウント）
  • https://gsuite.google.co.jp/intl/ja/
• Adobe Campaign ClassicにおけるSecurity（Google reCAPTCHA実装⽅法含む）
  • https://helpx.adobe.com/jp/campaign/kb/acc-security.html
    →DevelopmentセクションのRead Moreページ

この記事のPDFファイルはこちら
「Adobe Campaign | Update – Gold Standardへのアップデート後の新機能ご紹介 ~その3~ Audit Trail CSRF対策としてGoogle reCAPTCHAの実装方法のご紹介」

GoldStandardへのアップデート後の新機能ご紹介 ~その3~ AuditTrail