Webフォーム作成の記事
ARTICLE問い合わせフォームのセキュリティ対策を紹介!今すぐできる必須対策10選
企業が問い合わせフォームを設置するケースはよくありますが、セキュリティ対策が不十分だと、さまざまなリスクを伴うこととなるため注意しなければなりません。具体的には個人情報の漏洩やWebサイトの改ざん、データ消失、さらにはそれらに伴う社会的信用の失墜などです。
この記事では、問い合わせフォームに潜むセキュリティリスクと、今すぐできる具体的な対策について解説しています。問い合わせフォームの担当の方は、ぜひ参考にしてください。
目次
なぜ対策が必要?問い合わせフォームに潜む5つのセキュリティリスク
ここでは、なぜ問い合わせフォームにおいてセキュリティ対策を行う必要があるのか、フォームに潜む5つのセキュリティリスクの観点から解説します。会社のホームページなどで問い合わせフォームを設置しようと検討中の方はぜひ参考にしてください。
個人情報の漏洩
問い合わせフォームにセキュリティ対策が必要となる背景にあるセキュリティリスクの1つが、個人情報の漏洩です。第三者による問い合わせフォームやフォームで収集した個人情報などを管理するデータベースへの不正アクセスが起こってしまうと、そこから個人情報が漏洩する恐れがあります。
このような事態が起こると、情報漏洩による各所への対応に追われることとなるのはもちろん、フォームの復旧に時間を取られることとなるため、その間は本来の業務がストップしてしまいます。場合によっては情報漏洩に伴い損害賠償が発生するケースも考えられるため、セキュリティ対策は必要不可欠です。
Webサイトの改ざん
問い合わせフォームへの不正アクセスによるリスクは、個人情報の漏洩だけでなく、Webサイトの改ざんも挙げられます。Webサイトの改ざんは、単なるいたずら目的で行っているものもあれば、Webサイトの閉鎖を狙ったものもあります。
また、中には特定のサイトへの誘導を意図して行っているケースやウィルス感染させることを目的としたものもあるなど、ユーザー側に大きな被害を与えようとするものもあるため、注意しなければなりません。
Webサイトの改ざんによって、復旧対応に追われることで業務が停止する可能性が高くなるほか、会社に対する社会的信用の低下、顧客からの損害賠償請求などが起こる可能性もあるため、このような事態を避けるためにも、セキュリティ対策は必須だといえます。
データ消失
セキュリティ対策を怠っていたために、問い合わせフォームを通して収集したデータが消失してしまう恐れもあります。
これは不正アクセスしてきた人が意図的にデータを消してしまうケースに加え、社内でのデータ管理やデータベースなどへのアクセス管理・制限が徹底できていないために人的ミスによって発生するケースなどの可能性もゼロではありません。
さらにクラウド型のフォーム作成ツールを使って問い合わせフォームを作成している場合、ツールのベンダーのサーバートラブルによってデータが消失してしまう恐れもあるでしょう。
ウイルス感染の入り口になる
問い合わせフォームに悪意を持ったスパム投稿をしてくる人もおり、そこからウィルスに感染してしまうといった事例もあるため、セキュリティ対策は欠かせません。
この事例の場合、問い合わせフォームにURLやファイルの添付欄が設置されており、そこにウィルス感染につながるサイトのURLを記載する、ウィルスに感染するファイルを添付するといった形で行われます。企業側は、問い合わせフォームに記載されたリンクやファイルを確認しようとするため、クリックしてウィルスに感染するといった仕組みです。
企業イメージのダウン
ここまで挙げたようなリスクが実際に発生すると、企業イメージのダウンや社会的信用の低下につながる恐れがあります。
顧客の個人情報を漏洩させてしまったといったニュースを見たことのある人もいるかもしれませんが、自分の企業も同じようにニュースに取り上げられて「あの会社はあまりよくないな」という印象を持たれる可能性は十分にありえます。
また、情報漏洩や情報消失によって取引先から「あの会社は情報管理もちゃんとできていないのか」と認識され、信頼が下がる恐れもあるでしょう。企業イメージのダウンは会社にとって致命的なものとなりかねないため、そういった意味でもセキュリティ対策は欠かせません。
今すぐできる問い合わせフォームのセキュリティ対策10選
ここでは、問い合わせフォームのセキュリティ対策として具体的にできる方法を10個紹介します。セキュリティ対策方法はさまざまです。
どれが自社に合っているのか、自社で取り入れられそうなのかといった点を考えながらチェックしてみてください。
通信を暗号化する(SSL/TLS化)
問い合わせフォームのセキュリティ対策としてできる方法の1つが、通信の暗号化(SSL/TLS化)です。暗号化とは、インターネット上の情報を暗号にして、他の人から閲覧できないようにする仕組みのことです。問い合わせフォームに対する暗号化はもちろん、Webサイト全体を暗号化して保護するケースもあります。
なお、暗号化を行うことで、サイトのアドレスが「http」から「https」となるほか、Webサイトのリンク「このページは保護されています。」と表示されるといった変化が起こります。このような点をユーザーが見ると、「セキュリティ対策がちゃんとされているみたいだから安心して問い合わせできそうだ」となる可能性が高まるでしょう。
スパム対策を導入する(reCAPTCHA・画像認証など)
問い合わせフォームの性質上、大量のスパムが送られてくるケースもあり、その中には不正アクセスなどにつながるものもあると考えられるため、スパム対策を導入することもセキュリティ対策の1つです。
スパムの送信にはボットが用いられるケースが一般的です。
これは自動で問い合わせフォームに情報を入力して送信するプログラムとなっています。
ボット対策としては、必須項目の入力欄を設けることや確認画面の設置などが有効です。これによってボットはかんたんに問い合わせを自動送信できなくなります。
そのほかにも「reCAPTCHA(リキャプチャ)」の設置も効果的なスパム対策の1つです。reCAPTCHAはGoogleが提供するセキュリティ対策ツールであり、画像認証によってスパムを送信できなくしている点が特徴です。
Webサイトを利用していて、表示された文字を打ち込んで認証してもらう、「私はロボットではありません」のチェック欄にチェックを入れる、画像選択を行って認証してもらうといった経験をしたことのある人は多いと思いますが、このreCAPTCHAもまさにそのような形となっています。reCAPTCHAは無料で利用できるため、誰でもかんたんに設置できる点が大きな特徴です。
不要なファイル添付欄は設けない
先ほども説明したように、問い合わせフォームのURL記載欄やファイル添付欄に不正アクセスにつながるようなURL、ファイルが記載・添付されるケースもあるため、そもそも不要なファイル添付欄などを設置しないことも大切です。
ファイル添付はセキュリティリスクの面ではもちろん、データの容量という意味でも、大きくなってしまい、送受信や閲覧がしにくくなるケースもあるため、特別な理由がなければ設置しなくていいでしょう。
URL欄に関しても同じですが、URLの場合問い合わせの本文を打ち込む際に一緒に記載することができます。そのため、不要なURL記載欄を設けないのと同時に、むやみにリンクをクリックしないことを従業員に徹底することも大切です。
ソフトウェアは常に最新の状態に保つ
ソフトウェアを最新の状態に保つこともセキュリティ対策の1つです。不正アクセスやウィルス感染などのサイバー攻撃はさまざまな経路で行われますが、その1つにソフトウェアやOSの脆弱性を狙って行うものがあります。
これに対処するためにソフトウェアのベンダーやOSは脆弱性を修正したプログラムを配布します。つまりユーザーはアップデートすることで脆弱性を回避しセキュリティリスクを低くできるということです。
しかし、アップデートを怠っていると、脆弱性が常に存在する状態となり、サイバー攻撃を受けるリスクが高くなってしまいます。このような点からソフトウェアは常に最新状態に保っておく必要があります。
定期的にデータのバックアップを取る
先ほども紹介したように、問い合わせフォームで収集したデータが不正アクセスや人的ミスによって消失してしまう可能性はゼロではないため、定期的にデータのバックアップを取っておくこともセキュリティ対策の1つです。
データのバックアップを取る場合、保管場所をどこにするのか、バックアップに必要な容量はどうやって確保するのかといった点を事前に明確にしておく必要があります。
WAF(Web Application Firewall)を導入する
WAFとはWebアプリの脆弱性を狙ったサイバー攻撃に対するセキュリティ対策のことです。具体的には、ネットワークに配置することで、攻撃を検出し、事前に対処してくれます。外部に対するセキュリティ対策として有効な方法です。
アクセス制限をかける
問い合わせフォームへのアクセス制限をかけることも対策として効果的です。例えば、スパムメールを送信してくるアドレスやドメインからの送信を拒否する、海外から不正アクセスが行われている場合、日本国内のアドレスからしかアクセスできないように制限をかけるといった形です。
また、問い合わせフォームをクラウド型のサービスを使って作成している場合、管理画面への不正アクセスが起こる可能性があるため、こちらもアクセス制限をかけるようにしてください。
具体的には、アクセスできる人を事前に決めておき、その人たちにだけIDとパスワードを伝える、ログインできるユーザーのIPアドレスの制限を行うといったことができます。
入力値を無害化(サニタイズ)する
サニタイズとは、「消毒」や「衛生的にすること」を意味する英語(sanitizing)であり、セキュリティ対策においては、問い合わせフォームの入力内容をチェックして、情報に含まれている有害な文字や文字列を無害化することを意味します。
有害な文字や文字列の例としてはHTMLタグやJavaScript、SQLコードなどが挙げられます。サニタイズする方法はいくつかありますが、中でも代表的なのが文字・文字列の置き換えを行うエスケープです。
文字や文字列によっては元の表記が本来の意味とは別の意味を持っているケースもあります。そのようなときにエスケープを行うことで、受け取ったデータの意味を混同してしまう心配がありません。
保管データを暗号化する
通信の暗号化は先ほど紹介したセキュリティ対策方法の1つですが、通信だけでなく、保管データを暗号化することも可能です。
例えば、データのバックアップをとっていたとしても、データを保管するサーバーが攻撃を受けてしまうと情報漏洩の恐れがあります。
しかし、保管しているデータ自体を暗号化しておけば、万が一情報が漏洩したとしても、暗号化によって解読が困難な状態となっているため、情報漏洩に伴う二次被害の発生を防ぐことができます。
なお、データの暗号化に加え、データの保管場所も考慮することでより高いレベルでのセキュリティ対策が可能となります。
例えば、Webサイトのサーバー上にデータを保管するのではなく、問い合わせフォーム作成ツールのデータベース上に保管するといった形です。
このような形でのデータの保管はコストがかかるケースもありますが、セキュリティ面での安全性を担保できることを考えれば、決して無駄なコストとはなりません。
不要なエラー情報を表示させない
問い合わせフォームに間違った情報が入力されたときや必須情報が抜けているときなどにエラー画面が表示されますが、エラー内容がそのまま画面に表示されると危険であるため、不要なエラー情報は載せないようにしましょう。
具体的には、エラーが発生したときに内部向けの詳細なエラー情報が一般ユーザー向けの画面に表示されないようにするということです。例えば、プログラムのどこでエラーが発生したのかといった情報はデバッグの際に役立ちますが、この情報が外部の一般ユーザーに知られてしまうとプログラム内容を予測できてしまうため、そこから脆弱性を見つけ出し、サイバー攻撃につながる恐れもあります。
サイトやフォームに脆弱性があることは決して珍しいことではなく、脆弱性に対して正しく対処すればリスクを回避できます。しかし、その脆弱性を外部に知られてしまうと大きなトラブルにつながる可能性があるため、不要なエラー情報は表示させないようにしてください。
画面に表示する際は「入力に誤りがあります。再度ご確認ください。」など一般ユーザー向けのメッセージにとどめるのがポイントです。
セキュリティを意識した問い合わせフォーム作成のポイント
ここではセキュリティ面を意識したうえで問い合わせフォームを作成するポイントを紹介します。これから問い合わせフォームを作成しようとしている企業の担当者はぜひ参考にしてください。
セキュリティに定評のあるツールやプラグインを選ぶ
問い合わせフォームの作成にWordPressを使用している企業は多いと思われますが、問い合わせフォームのようにプラグインを使用する際は、セキュリティ対策に定評があるものを選ぶようにしてください。
知名度の低いプラグインや評価がわからないプラグインはどういったセキュリティ対策がされているかが把握しにくいためです。有名なプラグインであれば、オンライン上にもさまざまな情報が出回っているため、特徴なども把握しやすく、安心して導入できます。
プラグインの入れすぎに注意する
セキュリティをより強固にするためにプラグインを導入すること自体は悪いことではありませんが、入れすぎには注意してください。
これは、プラグインを入れすぎてしまうとサーバーへの負荷が大きくなってしまうためです。それによってプラグインの健全性を維持しにくくなってしまいます。また、プラグイン同士の相性が悪いケースもあるため、どれを入れるのかは事前に検討しておく必要があります。
パスワード管理を徹底する
問い合わせフォームの管理画面にアクセスするパスワードの管理も徹底して行う必要があります。
例えば、先ほども紹介したように、管理画面にアクセスできる人を制限することでセキュリティリスクを低減できます。また、パスワードはかんたんに推測できてしまうものは避け、英数字や記号を組み合わせた長めのものを設定してください。
そのほかにも、管理者用のパスワードは第三者に共有しない、チーム内であっても共用アカウントの使用は避ける、パスワードを定期的に変更する、複数のツールやサービスで同じパスワードを使いまわさないといった点も重要です。
SPIRAL®︎ Webフォーム作成ツールの主な特長
ここまで問い合わせフォームに潜むセキュリティリスクやリスクに対してできる対策などについて解説しましたが、それでも問い合わせフォーム作成に不安を感じる人もいるのではないでしょうか。そのような方にはSPIRAL®︎のWebフォーム作成ツールの使用をおすすめします。
SPIRAL®︎のWebフォーム作成ツールは、Webアプリケーションを部品を組み合わせるような感覚で構築できるローコード開発プラットフォームです。かんたんな操作でフォームを作成でき、なおかつ高度なカスタマイズや外部システムと連携できるなど利便性の高さが強みです。
セキュリティ面に関しては、悪意をもった連続投稿や不正経路からの登録など、サイバー攻撃を防ぐためのセキュリティ機能が充実しています。セキュリティ診断最高ランクAを取得しており、金融機関で200社以上導入されているなど、実績も十分です。
SPIRAL®︎ Webフォーム作成ツールの詳細はこちら
まとめ
今回は、問い合わせフォームに潜むセキュリティリスクと、具体的にできるセキュリティ対策、セキュリティを意識した問い合わせフォーム作成のポイントなどについて解説しました。
問い合わせフォームは、不正アクセスによる情報漏洩や情報消失、Webサイトの改ざん、これらの事態が発生することによるクライアントや顧客からの社会的信用の低下など、さまざまなセキュリティリスクをはらんでいます。
このようなリスクを避けるためにも、通信や保管データの暗号化、ファイル添付欄の削除、ソフトウェアのこまめなアップデートなどの対策が必要不可欠です。
今回の内容を参考に問い合わせフォームのセキュリティ対策に取り組んでみてください。
このコラムの執筆者
