セキュリティリスクへの対応 | Community
Skip to main content
郁_山中
郁_山中
Level 1
September 3, 2018

セキュリティリスクへの対応

  • September 3, 2018
  • 2 replies
  • 173 views

JMUGのみなさま、こんにちは。NTTLS 山中と申します。

今後ともよろしくお願いいたします。

早速ですが、みなさんの意見や取り組みをお聞かせいただきたく、ディスカッションを立ち上げさせていただきました。

テーマは「セキュリティリスクへの対応」です。

個人情報を取り扱ううえでは、大きくは2つの種類のリスクがあるのでは、と思っています。

1.Marketoの1ユーザーとして、Marketo上の個人情報のデータを扱ううえでの、リスク

 例)・MarketoのユーザーID/PWが漏れ、第三者がログインし、情報が漏えいされる

   ・(Marketo外ではありますが)エクスポートしたリストの取り扱い。社内のNASサーバ等にパスワードもなく置いてしまい、

    関係者外の第三者に閲覧されてしまう。

2.Marketoの機能と関わるによる、個人情報漏えいのリスク

 例)・エンドユーザーに送付するメール内に姓・名を差し込み機能を利用し表示、

    リード情報のデータのずれにより、誤ったメールアドレスと姓・名の組み合わせで情報が漏えいされる

   ・Marketoフォームの自動入力機能をオンにしていたが

    メール受信リードがそのメールを転送または、メール内リンクで表示されたURLをSNS等に張り付けた、

    別の人がそのリンクをクリックした際に、フォーム上で自動入力で表示される個人情報が漏えいされる

この場をお借りして、意見交換を行うことで

Marketoを利用するうえでのセキュリティ対策について、知見を貯めていき、

Marketoユーザーが、セキュリティ面に関し安全な状態でMarketoを利用していくことができたら、と考えております。

ぜひ、みなさんが行っている取り組みや対策、運用ルールを共有いただけないでしょうか。

よろしくお願いいたします。

This post is no longer active and is closed to new replies. Need help? Start a new post to ask your question.

2 replies

Misaki_Oomawari
Misaki_Oomawari
Level 2
September 4, 2018

@郁 山中​ さま

初めまして!ホームプロ大廻と申します。

toC向けの住宅リフォームマッチングサイトを運営しております。

あまり大した取り組みはしていませんが、ご参考までに。。

1.Marketoの1ユーザーとして、Marketo上の個人情報のデータを扱ううえでの、リスク

 例)・MarketoのユーザーID/PWが漏れ、第三者がログインし、情報が漏えいされる

ログインやAPIのIP制限をかけています。

   ・(Marketo外ではありますが)エクスポートしたリストの取り扱い。社内のNASサーバ等にパスワードもなく置いてしまい、

    関係者外の第三者に閲覧されてしまう。

社内ルールとして、個人情報を含むデータを共有ドライブに置くこと自体がNG、

Marketoでは、エクスポートするリストに個人情報を含めないようにしています。

また、今年度中に、MarketoへのアクセスをセキュアVDIに限定する予定です。

※動作がかなり重たくなるので、正直あまりやりたくないですが…。

2.Marketoの機能と関わるによる、個人情報漏えいのリスク

 例)・エンドユーザーに送付するメール内に姓・名を差し込み機能を利用し表示、

    リード情報のデータのずれにより、誤ったメールアドレスと姓・名の組み合わせで情報が漏えいされる

メアドなど、個人を特定できる情報はメール内に差し込まないというルールになっています。

いまどきあまりイケてない…。

フォームは利用していないので、特に対策等はとっていません。すみません。

Marketo側で、特定の権限以外はメアドなど個人情報を閲覧できない、個人情報を含むデータをエクスポートできない、

という機能を搭載していただけると、1の2つめのようなリスクは軽減されるので有難いんですよね…。

ディスカッション初めてなのですが、こんな感じで大丈夫でしょうか、、

よろしくお願いいたします。

    Taishi_Yamada
    Taishi_Yamada
    Level 6
    September 4, 2018

    >>Marketo側で、特定の権限以外はメアドなど個人情報を閲覧できない、個人情報を含むデータをエクスポートできない、

    >>という機能を搭載していただけると、1の2つめのようなリスクは軽減されるので有難いんですよね…。

    Field単位で閲覧可・不可が制御できれば、運用の幅は広がりそうですね。

    ↓こんな機能があればいいのになぁ。。。。といった話は、下記の"Ideas"に投稿してもらうと良いそうです。賛同を多く得られたものは開発計画にも乗る可能性があるそうです(期待は禁物ですが)。なお、英語で投稿すると、「それは既に○○で実装されている」とか「そのアイデアは○○として既に掲載されているね」といったコメントが寄せられるので尚良ですが、日本語で投稿してもOKとのことです。日本語の場合は、日本の製品担当の方が投稿を確認されるそうです。

    Ideas

    ぜひ、お時間あれば投稿してみてください。

    -Yamada

      Misaki_Oomawari
      Misaki_Oomawari
      Level 2
      September 5, 2018

      @Taishi Yamada​ さま

      いつもご返答、ありがとうございます!

      ちなみに、この要望はIdeasには投稿済だったりします

      日本語で投稿したからか、いまいち投票は伸びておりませんが…

        R
        ryosukeh6977737
        Level 2
        September 7, 2018

           ・Marketoフォームの自動入力機能をオンにしていたが

            メール受信リードがそのメールを転送または、メール内リンクで表示されたURLをSNS等に張り付けた、

            別の人がそのリンクをクリックした際に、フォーム上で自動入力で表示される個人情報が漏えいされる

        こちら極めて危険なため、こちらでは Marketoフォームの自動入力機能 は原則オフとするルールとしています。

        一律オフにする方法もあったと思うのですが、業務上、どうしても必要なときがあります。

        その場合、複数人で、よーく考えた上で、絶対に問題ない場合のみ使っています。

        Marketo上、デフォルトではオフにしてほしいんですがねぇ・・・

        郁_山中
        郁_山中Author
        Level 1
        September 12, 2018

        Haradaさま、ご意見いただき、ありがとうございます。

        > こちら極めて危険なため、こちらでは Marketoフォームの自動入力機能 は原則オフとするルールとしています。

        > 一律オフにする方法もあったと思うのですが、業務上、どうしても必要なときがあります。

        > その場合、複数人で、よーく考えた上で、絶対に問題ない場合のみ使っています。

        > Marketo上、デフォルトではオフにしてほしいんですがねぇ・・・

        我々も、もともと自動入力機能が、MAツールの便利な機能という認識から入ってしまっていました。

        改めて考えると、おっしゃられるように極めて危険、ですよね。

        デフォルトでオフにしてほしいのと、

        利用する際の注意事項、といいますか、機能を使うことにないするリスクに関してのアナウンスがあると

        判断もしやすいのになぁ、と思います。

        Terms & ConditionsAccessibility statement

        Loading footer...