お問い合わせフォームを設置したものの、セキュリティ対策方法がわからず、お悩みの担当者の方もいらっしゃるのではないでしょうか。フォームのセキュリティ対策には、通信データを暗号化する方法や、アクセス制限をする方法などがあります。この記事では、フォームのセキュリティリスクからその対策方法、主なフォーム制作ツールのセキュリティ対策までを解説します。
なお、セキュリティ対策が万全のフォームを運用したい場合は、クライゼルのフォーム作成ツールをご利用ください。
お問い合わせフォームのセキュリティリスク
お問い合わせフォームに適切なセキュリティ対策を施さなかった場合、どのようなセキュリティリスクがあるのでしょうか。ここでは、5つのリスクについて解説します。
不正アクセス
まず、データベースへの不正アクセスが行われる恐れがあります。お問い合わせフォームからの回答を集めたデータベースに、不正アクセスが行われることで、情報を盗み見される危険性があります。そのデータベースには、顧客の名前や電話番号、メールアドレスなどの個人情報が記入されることが多いため、情報が流出した場合会社の信頼問題にも発展するリスクもあるでしょう。
情報漏えい
お問い合わせフォームにぜい弱性があると、フォームにサイバー攻撃が行われ、情報が漏れたり、改ざんされたりする危険性があります。情報漏えいが起きると、復旧に時間がかかり、その間業務がストップします。それだけでなく、復旧作業や損害賠償、顧客対応など多額の損害が発生する恐れもあるでしょう。
データ消失
データ消失のリスクも忘れてはいけません。セキュリティ事故以外でも人的ミスやサーバーのトラブルなどでデータの消失の可能性はあります。定期的なバックアップを取るなど、対策を怠らないようにしましょう。
なお、クラウド型のフォーム作成ツールを使用する場合、データの保管場所はユーザの自社サーバーではなく、サービス提供者のサーバーにあります。その場合、サービス提供者側でどのような用途や頻度でバックアップを取っているかを確認しておきましょう。
ウイルス感染
お問い合わせフォームへのスパム投稿から、ウイルスに感染するケースもあります。
特に悪質なURL・ファイルが添付されているスパム投稿は、ウイルスが潜んでいる可能性があります。そのため、安易にURLなどをクリックしたり、ダウンロードしたりしないようにしましょう。ウイルスに感染すると情報漏えいの危険性があるだけでなく、パソコンを乗っ取られるなどの恐れがあります。
企業イメージのダウン
情報漏えいやデータ消失を起こした場合、顧客からの企業のイメージが低下するケースも考えられます。「預かった個人情報を管理できない企業」と認識されると、長年築いてきた信頼を失ってしまうため、企業にとって大きな痛手になるでしょう。
お問い合わせフォームのセキュリティ対策ポイント
ここまでセキュリティリスクについて解説しましたが、どのようなセキュリティ対策を行うべきなのでしょうか。ここでは、ポイントを6つ紹介します。
通信データを暗号化する
お問い合わせフォームからの回答データは、サーバーへ保管されるまで、特定の通信経路を通ります。その間にデータを盗み見されたり、改ざんされたりする危険性があります。
そこで通信データを暗号化(SSL化)することで、データを盗み見される可能性が減ります。なお、SSLとは「Secure Sockets Layer」の略で、暗号化によるインターネットセキュリティプロトコルです。
SSL化したデータは、ほぼ解読不可能な文字化けした文字列に見えるため、セキュリティ対策に有効とされています。
保管データを暗号化する
万が一保管サーバーへの不正アクセスがあった場合でも、回答データが暗号化されていれば、情報漏えいのリスクを低減できます。また、データの保管場所も重要です。単にサイトのサーバー上に格納するよりも、フォーム作成ツールなどを利用して、そのデータベースに保管した方がより安全です。利用料金がかかる可能性はありますが、データベースの安全性が担保されているものを選べば、投資効果は高いと言えるでしょう。
バックアップを取る
人的ミスやサーバーの問題でデータが消失した場合でも、バックアップを取ると復元が可能です。なお、データのバックアップを取る場合、保管場所の容量を圧迫する問題があります。
フォーム作成ツールを利用してサービス提供者のデータベースに保管する場合は、どれだけの容量を扱えるのかや費用を確認しておきましょう。
アプリケーションやOSのセキュリティを強化する
アプリケーションやOSのぜい弱性を狙ったサイバー攻撃により、情報漏えいやデータの改ざんが起きる可能性があります。したがって、アプリケーションやOSは必ず最新の状態にアップデートしましょう。また、ぜい弱性診断や、改ざん検知などの利用も効果的です。
アクセス制限
クラウド型のフォーム作成ツールを使用している場合、管理画面への不正アクセスに気を付けなければなりません。そのため、管理画面にアクセスできるユーザーを適切に制限することが大切です。
また、ログインユーザーのIPアドレス制限を行うことで、アクセスできるユーザーを限定したり、ユーザ企業側でSSO(Single Sign On)を導入している場合は管理画面にSAML認証を設定するのも有効な対策となります。
スパムメール対策
お問い合わせフォームから大量のスパム投稿がされる恐れもあるため、スパム対策も行いましょう。スパムメールの送信には、自動でお問い合わせフォームに入力し送信を行う「bot(ボット)」が用いられます。具体的には、以下の対策が有効です。
必須項目や確認画面を設置する
お問い合わせフォームの質問事項に、必須項目を設けることで、botが簡単に自動送信を行えなくなります。また、入力後の確認画面を設置すると、botの送信までの手間を増やすことも可能です。
リンクを禁止する
お問い合わせフォームでの回答に「URLのリンク貼り付け」を禁止すれば、担当者が誤ってリンクをクリックしてしまうことを防げます。悪質なサイトへの流入を防止することが可能です。
reCAPTCHAを設置する
「Google reCAPTCHA(グーグルリキャプチャ)」とは、Googleが無料で提供しているセキュリティ対策ツールです。Google reCAPTCHAには、複数の画像から指定された画像を選択する「v2」と、ユーザーの挙動を監視してbotか否かを判定する「v3」があります。
チェックボックスを選択しなければならない機能になっているため、botによる自動送信を防ぐことが可能です。
ご利用中のフォームのセキュリティに対して、十分であるかチェックをしたい場合は、「フォームセキュリティチェックシート」でチェックしてみましょう。
より高度なお問い合わせフォームのセキュリティ対策
セキュリティ対策には、ほかにもできることがあります。ここでは、ファイアウォールやWAF、IPSについて解説します。それぞれの仕組みを理解し、セキュリティ対策に生かしましょう。
ファイアウォールで保護する
ファイアウォールは防火壁という意味です。インターネットの出入り口に設置し、外部から内部、内部から外部への不正なアクセスを防火壁のように遮断することで、ネットワークを保護する仕組みを指します。
許可された通信以外を遮断することで、許可した通信のみを注視できるようになるため、不正アクセスを防ぐことが可能です。不正アクセスがあった場合は、管理者へ通報が行くように設計されているほか、より高いセキュリティを保てるように、さまざまな付加機能があるものもあります。
WAFの導入
WAFはWeb Application Firewallの略で、WEBアプリケーションのぜい弱性を突いた攻撃に対するセキュリティ対策です。ネットワークなどに配置して、ぜい弱性を悪用した攻撃を検出し、低減できます。
ファイアウォールはインターネットの外部と内部を遮断するものですが、WAFは外部のセキュリティ対策を行うものとなります。
IPSの導入
IPSとはIntrusion Prevention Systemの略です。サーバーやネットワークの外部通信を監視して不正アクセスを検出し、サイバー攻撃を未然に防ぐシステムのことを指します。主にネットワーク型IPS(NIPS)とホスト型IPS(HIPS)に分かれます。
NIPSはネットワークの外部と内部の間に配置され、内外の通信を監視するものです。不正アクセスの兆しがあると記録を取り管理者に知らせ、該当アドレスからの通信を遮断するなどの防御を行います。
HIPSはサーバーに常駐するソフトウェアで、サーバーとほかのパソコンとの通信を監視するものです。サイバー攻撃を検知してアクセスを遮断するほか、ソフトウェアのぜい弱性を悪用したサイバー攻撃をOSレベルで防ぎます。また、管理者権限の取得の禁止や、アクセスログの改ざんを防ぐなど、NIPSでは難しい機能も提供します。
ホームページ全体の暗号化
お問い合わせフォームだけでなく、WEBサイトすべてのページをSSL化する方法もあります。これを「常時SSL化」と言います。常時SSL化をすると、WEBサイトの安全性が高まり、よりユーザーに安心感を与えられるでしょう。またSSL化の有無は、Googleの検索結果の順位付けにおいても、良い評価を受けやすいとされています。
サイト全てのURLが「https://~」から始まっていれば「常時SSL化されたホームページ」です。自社サイトの全てのURLが「https://~」から始まっているか確認しておきましょう。
主なフォーム作成ツールやプラグインのセキュリティ対策
ここでは、主なフォーム制作ツールであるGoogleフォームと、WordPressのプラグインについて、どのようなセキュリティ対策が施されているかをご紹介します。
Googleフォーム
Googleフォームは、Googleが無料で提供しているフォーム作成ツールです。さまざまなフォームが、誰でも簡単に作れることが特徴となります。Googleフォームに施されているセキュリティ対策は下記のとおりです。
- 通信データ、保管データの暗号化
- ぜい弱性や不正なソフトウェアの検知
- ログイン時の2段階認証設定
- データセンターを世界中に分散
- Google reCAPTCHAの設置
WordPressプラグイン
WordPressプラグインとは、サイト作成ツールであるWordPressに、追加機能(プラグイン)を与えるものです。プラグインの中には、フォームを作成して設置できるものもあります。代表的なプラグインは、「Contact Form 7」や「MW WP Form」の2つです。
Contact Form 7では、ぜい弱性を修正する更新が継続的に行われています。また、Google reCAPTCHAの設置により、スパムの防止が図られています。MW WP Formも同様に、継続的な更新や、スパム防止策の搭載が特徴的です。
WordPressのフォーム作成プラグインにはさまざまな種類がありますが、導入する際にはぜい弱性について報告がないか、継続的な更新がされているかを確認しましょう。また、サイトやフォームのセキュリティを強化するプラグインもあるため、確認してみましょう。
フォーム作成ツール
多くのフォーム作成ツールには、セキュリティ対策が施されています。WordPressプラグインのように追加でのインストールは不要です。HTMLやPHPの知識がなくともフォームを作成でき、セキュリティ対策も行えます。
ツールによっては無料で使えるものや、無料体験版が用意されているものもあります。しかし有料の商品の方が、サービス内容の質が高いケースが多いため、ぜひ検討してみましょう。
お問い合わせフォームのセキュリティを考慮した作成ツールは?
お問い合わせフォームのセキュリティを考慮すると、よりセキュリティにこだわったフォーム制作ツールが良いでしょう。
フォーム作成ツールの「クライゼル」では、フォーム画面や管理者画面にSSLが施されているため、万全なセキュリティ対策が可能です。管理者画面へアクセスできるIPアドレスも制限でき、管理画面のSAML認証にも対応しています。また、reCAPTCHA v3の設置もでき、スパム対策に役立つ機能も十分です。
セキュリティ対策だけではなく、自動の返信機能や他サービスとの連携機能など、業務効率化のための機能も充実しています。詳しいシステム内容・資料請求については、クライゼルのフォーム作成ツールをご確認ください。
まとめ
お問い合わせフォームは、ユーザーとの窓口になる重要なコンテンツですが、ぜい弱性を突いたサイバー攻撃にさらされることも多い箇所です。セキュリティをおろそかにすると、さまざまなリスクが考えられるため、入念なセキュリティ対策を行いましょう。
そこで安心できるのが、ツールを用いたフォームの運用です。セキュリティの高い安全なフォーム作成ツールをお求めなら、クライゼルを検討されてはいかがでしょうか。
