ほかのWebサイトなどへのcybozu.com画面の埋め込みを許可する

セキュリティ上の保護機能によって、cybozu.comのコンテンツは、ほかのWebサイトやシステムなどに埋め込めません。埋め込む場合は、保護を解除する必要があります。

コンテンツの埋め込みとは

コンテンツの埋め込みとは、iframeタグまたはframeタグを使って、cybozu.comのコンテンツをほかのWebサイトやシステムに表示することを言います。
たとえば、kintoneで作成した在庫管理アプリを、お使いの業務システムに埋め込んで、メンバーがすぐに在庫数を確認できるようにする、といった使いかたができます。

{{%kintone%}}のアプリをWebサイトに埋め込んだ例

なお、埋め込んだアプリを利用するにはcybozu.comへのログインが必要です。また、IPアドレス制限などcybozu.comへのアクセスに制限をかけている場合は、その制限が適用されます。

セキュリティリスク

ただし、保護を解除すると、セキュリティ上のリスクが生じます。必要がない限り、初期設定のまま、保護を有効にしておくことをおすすめします。

保護を解除することで生じるリスクは、クリックジャッキングとクロスサイトリクエストフォージェリの2つです。

クリックジャッキング

クリックジャッキングとは、Webページの透過表示機能などを悪用し、ユーザーが閲覧しているページとは別のサイトをユーザーにクリックさせる攻撃のことです。
非公開の情報をユーザー自身の操作で公開させてしまうなど、情報漏えいの原因の1つとなっています。 クリックジャッキングを説明する図

初期設定(保護が有効な状態)では、サーバーのレスポンスのヘッダーに「X-Frame-Options: SAMEORIGIN」が付きます。
アドレスバーに表示されたドメインと同じWebサイトのみ表示が許可され、攻撃者のサイトにcybozu.comのサイトを表示できなくなります。

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ(CSRF)とは、ユーザーがサイトでフォームへの入力など何らかの操作をしたときに、そのサイトとは別のサイトを裏で操作させる攻撃のことです。
たとえば、悪意のあるサイトにユーザーがアクセスすることで、ユーザーが意図せずkintoneにコメントを書き込んでしまう、といったことが起こり得ます。

初期設定(保護が有効な状態)では、別のサイトを介してcybozu.comのサービスを操作することはできないようになっています。それにより、ユーザーの意図しない操作がcybozu.com上で行われることを防ぎます。

保護を無効にすると、別のサイトを介してcybozu.comのサービスを操作することが可能になり、ユーザーが意図しない操作が行われてしまう可能性が生じます。

設定方法

  1. cybozu.com共通管理画面で「システム管理」の[外部への公開設定]をクリックします。
  2. 「外部への公開設定」画面で、「外部サイトへの埋め込み」の「許可する」のチェックボックスを選択します。
  3. [保存]をクリックします。

設定の変更が反映されるタイミングは、ユーザーごとに異なります。ユーザーが次の操作を行ったときに、新しい設定が反映されます。

  • 一度ログアウトし、ログインし直す
  • ログインの有効期限が切れたあとにログインし直す
    初期設定では、有効期限は最終アクセスから24時間です。

Safariで必要な設定

外部サイトへの埋め込みを許可しても、MacOSのSafariでは、初期設定では埋め込んだcybozu.comのコンテンツが表示されません。

Safariの環境設定で、「サイト超えトラッキングを防ぐ」の設定を無効にしてください。