Googleフォームは安心して使える?企業が知るべきリスクとセキュリティ対策
Googleフォームは無料で誰でも気軽に利用できる非常に便利なツールで、幅広いシーンで利用されています。しかし、その便利さの裏には、セキュリティ面で注意すべきリスクが潜んでいます。
この記事では、Googleフォームのリスクと対策を詳しく解説していきます。とくにビジネスでGoogleフォームの利用を検討されている方は、ぜひこの記事をセキュリティ対策の参考にしてください。
このページの目次
( 開く )
何ができる?Googleフォーム
Googleフォームは、Googleが提供する無料のフォーム作成ツールです。その使いやすさと多機能性から多くのユーザーに愛用されています。お問い合わせフォーム、アンケート、登録フォーム、フィードバック収集など、さまざまな用途に対応しています。
Googleフォームの主な特徴
- 直感的な操作で簡単にフォーム作成できる
- 短文・長文回答、チェックボックス、ドロップダウンなど、多様な質問タイプを設置できる
- リアルタイムで回答を集計するため、データの分析・管理が楽
- ブランドやイベントのテーマに合わせてデザインをカスタマイズ可能
- リンクで簡単に共有でき、共同編集も可能
ビジネスでの利用
ビジネスでは、顧客からのフィードバック収集、イベントの出欠管理、社内アンケートなど、多岐にわたる用途でGoogleフォームが活用されています。その手軽さと柔軟性により、小規模事業から大企業まで幅広く利用されています。
Googleフォームの基本的な使い方からビジネスシーンでの応用方法まで、以下の記事で詳しく解説していますので、ぜひ参考にしてください。
Googleフォームのセキュリティリスク
Googleフォームは多くのビジネスや教育機関で利用されていますが、その利便性の裏には、いくつかのセキュリティリスクが存在します。これらのリスクを理解し、適切に対処することが重要です。
データが個人所有になるリスク
無料のGoogleアカウントで作成したGoogleフォームは、当該Googleアカウントをもつ個人の所有物になります。そのため、以下のタイミングでデータが消失するリスクがあります。
- その個人が当該Googleアカウントを削除した場合
- 当該アカウントへのログインがしばらくなく、Google社がアカウントを凍結・削除した場合
- 何らかの理由で、当該Googleアカウントにログインができなくなった場合
これらの理由で消失したデータは、取り戻すことができません。
企業で利用するフォームを、担当者が無料の個人のGoogleアカウントでフォームを作成して利用するのは非常に危険です。例えば、普段から自社ドメインと無料のGoogleアカウントを紐づけて利用している場合、個人のアカウントであるという認識が薄くなりやすいです。その担当者が離職後にデータにアクセスできなくなったり、適切なセキュリティ対策が行なわれず情報漏洩のリスクにさらされることになります。
ちなみに、無料のGoogleアカウントではなく、Google WorkspaceでGoogleアカウントを管理している企業の場合は、上記リスクを回避できます。担当者が離職時に当該アカウントを削除する際、収集したデータが「共有ドライブ(会社所有)」に格納されていれば消失するリスクはありませんし、「マイドライブ(個人所有)」に格納されていたとしてもデータを他のGoogleアカウントに移行することができます。もし、データを移行せずに当該アカウントを削除してしまっても、20日間はアカウントを復元することができます。
他社ツールへのデータ移行も困難
Googleフォームは一回きりのアンケートで使うなら便利なツールですが、今後もそのアンケートを使いまわしたり、継続的な問い合わせ窓口として利用したいと考えている企業も少なくありません。問い合わせデータをGoogleがずっと安全に保管してくれていると思い込んでいたリスクに気づき、取り急ぎ溜まったデータをそのまま他社のツールに移行したいと思っても、できずに困るケースがよくあります。その場合、スプレッドシートや他のCRMに取り込むことになりますが、ひと手間加えないと取り込めなかったり、スプレッドシートのアドオンが正常に動かなかったりと、さまざまな問題がありデータ移行が困難になるケースが多いです。
情報の漏洩・改ざん・設定ミス
Googleフォームの設定ミスは、情報漏洩やデータの改ざんにつながることがあります。例えば、フォームの回答が公開設定になっている場合、誰でもその情報を閲覧できる状態になります。また、フォームの共有リンクには「閲覧」と「編集」がありますが、誤って「編集」できるリンクを共有すると、第三者がフォームを改ざんするリスクもあります。
Googleフォームを通じて収集されたデータは、Googleスプレッドシートに保存されます。Googleフォームやスプレッドシートへの不正アクセスは、重大な個人情報の流出につながる可能性があります。フォームの共有設定が不適切な場合、外部から簡単にアクセスできてしまいます。個人情報やパスワードを保存しているようなGoogleフォームの場合は特に注意が必要です。
ソーシャルエンジニアリング攻撃や、設定ミスによるスパム攻撃
Googleフォームは、スパムやフィッシングなどのソーシャルエンジニアリング攻撃に利用されることがあります。ソーシャルエンジニアリング攻撃とは、人の心のスキや思い込みを狙った攻撃のことです。たとえば攻撃者が、Googleフォームを模倣したフィッシングサイトへユーザーを誘導し、偽のフォームから個人情報を不正に収集するケースが報告されています。ユーザーが見分けがつかないほど巧妙に作られた偽のフォームの場合、重要な情報を盗まれる可能性があります。
また最近ではGoogleフォームのテスト機能を利用した詐欺も横行しています。
▼参考)スパム送信者が Google フォームのテスト(クイズ:Make this a quiz)機能を詐欺に悪用
https://gblogs.cisco.com/jp/2023/11/talos-google-forms-quiz-spam/
サードパーティのアドオンによるリスク
Googleフォームには多くのサードパーティ製アドオン(拡張機能)が存在しますが、これらのアドオンを利用することで新たなセキュリティリスクが生じることがあります。アドオンによっては、不適切なデータアクセスや情報漏洩の原因となることがあります。
顧客との信頼関係の損失
取引先企業のセキュリティ対策によっては、Googleフォームにアクセスできないように規制している場合もあります。相手がアンケートや問い合わせをしようと思ってもフォームが使えず、機会損失につながる可能性があります。
また、Googleフォームの利用により情報漏洩が一度起こってしまうと、顧客との信頼関係にも悪影響がでてしまいます。
Pivot-Formでは、11万円(税込)の買い切り型で最大5フォームまで作成・運用できる「ライトプラン」をご用意しています。
セキュリティ面では、第三者機関による脆弱性診断を受けており、高い安全性を確保しています。また、作成したフォームは何度でも作り直せるため、時期や目的に応じて柔軟にフォームを作成・更新できます。
手軽な作成と高いセキュリティを両立したいとお考えの方は、ぜひこの機会にPivot-Formをお試しください。
Googleフォームのセキュリティ対策5ポイント
これまで説明したさまざまなリスクを軽減するためには、適切な対策が必要です。以下に、Googleフォームのセキュリティを強化するための5つの重要なポイントを紹介します。
Googleフォームのアクセス権限の管理
フォームや収集したデータへのアクセス権限を適切に管理することが非常に重要です。不必要なユーザーには編集権限を与えず、閲覧のみに制限するなど、権限を適切に設定します。また、フォームの共有設定を確認し、意図しない公開を避けることも重要です。
Googleフォームの個人情報漏洩事故の事例として、以下のようなものがあります。
【実際の事例】Googleフォーム利用による個人情報漏洩事故
2023年2月、福井県越前市で、北陸新幹線の駅舎見学会の応募者の氏名や住所などが18日間にわたり閲覧できる状態になっていた事故が発生しました。原因は、Googleフォームの設定で「結果の概要を表示する」を有効にしていたためです。
▼詳細はこちら)北陸新幹線の駅舎見学会に応募した132人の個人情報漏えい 福井県越前市、18日間閲覧できる状態に
https://www.fukuishimbun.co.jp/articles/-/1732400
この事例からわかるように、Googleフォームの設定ミスが情報漏洩の原因となることがあります。そのため、Googleフォームを利用する際には、公開設定やアクセス権限を正しく設定することが重要です。
Googleフォームのセキュリティを強化するために、フォームのアクセス権限と共有設定を適切に管理し、SSL暗号化を利用してデータの安全性を高めましょう。また、定期的なセキュリティチェックを行い、不審な活動を監視したり、社内教育などによって関係者のセキュリティ意識を高めることが大切です。安全なフォームの利用には、これらの基本的なセキュリティ対策の実施が欠かせません。
追加機能・拡張機能の管理
前出のようにクイズ機能はスパム攻撃に利用されています。Googleフォームの新しい機能を利用する場合は、その機能を使った攻撃がないか調査してから利用しましょう。
また、Googleフォームの拡張機能を利用するためアドオンをダウンロードするときは、アドオンの権限を確認して説明をよく読みましょう。導入後も、最新のレビューを確認したり、アドオン自体をアップデートする等の対策が必要です。
スパム対策機能の導入
Googleフォームには、スパムや不正な回答を防ぐための機能が備わっています。例えば、reCAPTCHAを利用することで、自動化されたスパムからフォームを保護できます。また、不審な回答パターンに注意を払い、必要に応じてフィルタリングを行うことも有効です。
Googleログイン履歴の監視
Googleアカウントには、不正なログインを監視する機能が備わっています。Googleフォームへの適切なアクセス権限を設定した後でも不正なログインや操作履歴がないか、確認する方がよいでしょう。不正なログインを防ぐため、二段階認証を利用するのもよい方法です。
保管データの暗号化・バックアップ
収集したデータの安全性を確保するためには、データの暗号化とバックアップが重要です。Googleスプレッドシートに保存されるデータは、Googleのクラウドサーバー上で暗号化されていますが、追加のバックアップを取ることで、データ損失のリスクをさらに減らせます。
よりテクニカルなGoogleフォームのセキュリティ強化法
ユーザーは、Googleフォーム自体のセキュリティ対策だけでなく、サイト全体のセキュリティも気にします。また悪意のある攻撃者もフォームだけではなくサイト全体を狙ってきます。Googleフォームのセキュリティをさらに強化するためには、サイト全体においてもテクニカルな対策が必要です。特にSSL暗号化、ファイアウォール、WAF(Web Application Firewall)、IPS(Intrusion Prevention System)の導入は、ウェブサイトのフォームの保護において重要な役割を果たします。
サイト全体をhttps通信対応(SSL暗号化)する
GoogleフォームはデフォルトでSSL暗号化を使用しているため、基本的にGoogleフォームとユーザー間の通信は、SSL(Secure Socket Layer)で暗号化されますが、サイト全体を暗号化することが重要です。これにより、ユーザーもより安心して入力ができますし、Googleフォーム以外で送信されるデータが第三者によって読み取られるリスクを大幅に減少できます。
サーバー環境のセキュリティ対策。ファイアウォール、WAF、IPSの導入
サイト全体を守るには、サイトを設置しているレンタルサーバーやパブリッククラウドのセキュリティレベルにも気を配りましょう。ある特定のレンタルサーバー会社が一斉に狙われたという事例もあります。サーバー側では、下記のような対策が施されます。
ファイアウォール
- ファイアウォールとは、ネットワークレベルの防御を行い、サイバー攻撃や不正なアクセスをブロックする仕組みです。
- ビジネスのニーズや自社環境に合わせて、オンプレミス型・クラウド型・ソフトウェア型いずれかのファイアウォールを導入します。
WAF
- WAFとは、ウェブアプリケーションを対象とした攻撃から保護するファイアウォールです。
- SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を防ぎます。
- ウェブサーバーにWAFを直接統合するか、またはクラウド型WAFサービスを導入します。
IPS
- IPS(不正侵入防止システム)とは、ネットワークトラフィックを監視し、ネットワーク上に流れる不審なパターンを検出したり、その不正なアクセス・トラフィックを遮断するシステムです。
- OS・ソフトウェアへの不正侵入を防ぎ、攻撃を自動的にブロックし、セキュリティインシデントの報告を行います。DDos攻撃やDos攻撃などにも有効です。
- ビジネスのニーズや自社環境に合わせて、オンプレミス型・またはクラウド型いずれかのIPSを導入します。ファイアウォールやWAFと併用するのが一般的です。
社内パソコンのアプリケーション/OSのセキュリティ強化
Googleフォームやウェブサイトの問題ではありませんが、使用しているデバイスのオペレーティングシステム(OS)やアプリケーションがウィルスなどにかかってしまうと、データをダウンロードした時に漏えいする危険性があります。パソコンを常に最新の状態に保つことが重要です。定期的なウィルス対策ソフトウェアのアップデートにより、セキュリティの脆弱性を修正し、不正アクセスやマルウェアなどから保護します。
万全なセキュリティ対策を備えたフォーム作成ツールの導入
Googleフォームは手軽に設置できる分、あまり考えずに設置されるケースが多いです。しかし今までお伝えしたようにセキュリティに対する専門知識がないと、思わぬ情報漏えいを発生させる可能性があります。脆弱性をついた攻撃は日々進化しているため、さらなる対応もしていく必要があります。
サイト内の問い合わせフォーム等でGoogleフォームを利用していると、フィッシング詐欺でGoogleフォームを悪用される可能性があり、同じイメージでページを作られてしまってもユーザーは気づきません。しかし、他のフォーム作成ツールを使用していれば、まったく違うデザインのフォームを見てユーザーが詐欺ページだと気づきやすくなります。
Googleフォームの代わりに、高度なセキュリティ機能を備えた専門のフォーム作成ツールを導入することも、セキュリティを強化する有効な手段です。これらのツールは、データの暗号化、アクセス制御、監査ログなどの高度なセキュリティ機能を提供し、機密データの保護を強化します。専門のフォーム作成ツールはカスタマイズ性が高く、企業のブランディングや特定のニーズに合わせてフォームを設計できる利点もあります。
Pivot-Formは、高度なセキュリティ対策を提供します
弊社のPivot-Formの標準パッケージでは、万全のセキュリティ対策を実施しています。
- XSSやSQLインジェクション、OSコマンドインジェクションなどへの対策
- 外部のセキュリティ診断会社の診断を受ける
アプリケーションとしての脆弱性対策はもちろん、ご要望に応じて、カスタマイズした機能について追加の脆弱性診断を受けることも可能です。より専門的なセキュリティ対策を行った安全なフォームをお求めの方は、ぜひPivot-Formをご検討ください。