LiveAgentには多数の追加セキュリティ設定が用意されており、Agent panel(エージェントパネル) > Configuration(設定) > Security(セキュリティ) > Settings(設定) から確認できます。これらの設定により、より高度なセキュリティルールや機能を構成し、LiveAgentアカウントおよびカスタマーポータルをさまざまな脆弱性から守ることができます。

  • Allowed file types(許可ファイルタイプ) - この設定では、訪問者がコンタクトウィジェットからアップロードできるファイルの種類を限定できます。例えば、サポートチームが .pdf ファイルのみを扱う場合、訪問者がチャットやお問い合わせフォームを通じてエージェントに送信できるファイルを .pdf のみに制限することができます。ただし、この設定はメールの添付ファイルには影響しません。メールのセキュリティはメールサーバーまたはメールアカウントプロバイダーが管理します。
  • Visitor cookie lifetime(訪問者クッキーの有効期間) - *この設定では、Webサイト上の顧客・訪問者を識別するクッキーの有効期間(日数)を設定できます。デフォルトでは、訪問者を自動認識するためのLiveAgentクッキーの有効期間は30日に設定されています。0に設定すると、訪問者はまったく記憶されなくなります。LiveAgentが作成・使用するクッキーの詳細については、**こちらのガイド*をご参照ください。
  • Agent panel access(エージェントパネルへのアクセス) - *この設定では、エージェントパネルへのアクセスを許可する特定のIPアドレスを定義できます。**設定の際は十分に注意してください。*誤った設定をすると、自分自身や同僚がパネルにアクセスできなくなる可能性があります。ワイルドカード文字(*)を使用してIPアドレスの範囲を指定したり、特定のIPアドレスの代わりに特定の範囲を定義したりすることができます。具体的な定義の例については、以下のスクリーンショット内のエージェントパネルアクセスの説明をご覧ください。
  • Allow KB in iframe(iframeでのナレッジベース表示を許可) - この設定では、LiveAgentのカスタマーポータル/ナレッジベースをiframe内で使用できるようになります。このオプションはデフォルトで無効になっており、使用するには手動で有効化する必要があります。有効化して初めて、LiveAgentのカスタマーポータルをiframe要素内に表示できるようになります。
  • CSRF Protection(CSRF保護) - CSRF(クロスサイトリクエストフォージェリ)は、攻撃者がWebアプリケーション(LiveAgentサーバー)が信頼するユーザー(エージェントのブラウザ)を通じて、不正なコマンドを実行しようとするエクスプロイト/攻撃の一種です。この設定を有効にすると、クライアントとサーバー間の各リクエストに特別なシークレットトークンを付与し、受信したトークンの正当性を検証することで、こうした攻撃に対する追加のセキュリティ層が設けられます。エージェントからのリクエストに有効なトークンが含まれていない場合、そのリクエストは無視され、サーバーはエラーを返します。
  • CSP headers(CSPヘッダー) - これらの2つの設定では、LiveAgentのエージェントパネルおよびナレッジベースに対するコンテンツセキュリティポリシー(Content Security Policy)ヘッダーを定義できます。詳細については、こちらの別ガイドをご参照ください。
  • Password requirements section(パスワード要件セクション) - このセクションでは、エージェントのパスワード要件を設定できます。詳細については、こちらの別ガイドをご参照ください。

変更内容を忘れずに Save(保存)してください!