問い合わせフォームの最新セキュリティ対策とクラウドサービス利用のリスク
問い合わせフォームは、ユーザーからの問い合わせや情報収集などに使用され、ウェブサイトではとても重要な役割があります。
ユーザーやサイト運営者にとって重要な問い合わせフォームですが、潜在的なセキュリティ上の脆弱性があると不正なアクセスやスパム攻撃のターゲットになるリスクがあります。
セキュリティ対策は、常に進化しています。この記事では、クラウドサービスを利用した問い合わせフォームを中心に、リスクと最新セキュリティ対策について詳しく説明します。
問い合わせフォームからの情報漏洩などはユーザーの信頼低下を引き起こしかねません。適切な対策を行い、セキュリティ上のリスクを最小限に抑えて、ユーザーからの信頼を高めましょう。
問い合わせフォームセキュリティのリスクと重要性
問い合わせフォームを作成するには、3つの方法があります。
- クラウドサービスのフォームツールを埋め込む
- 既成のフォームツールを埋め込む
- フォームを自作する
この3つの作成方法すべてに共通して、3つのセキュリティ上のリスクが存在します。さらにクラウドサービスのフォームツールを使用した場合、クラウドサービス特有のリスクが伴うため、それぞれのリスクを理解することが大切です。
そこでここからは、共通する3つのリスク+クラウドサービス利用時のリスクについて解説します。
情報漏洩のリスク
申し込みフォームを利用したSQLインジェクションなどの攻撃により、第三者にデータベースへの不正アクセスを許し、個人情報が漏洩してしまうリスクがあります。
情報漏洩が起こると、原因特定や復旧作業に時間がかかります。
また、取引先やユーザーからの信用低下や機会損失、さらには損害賠償請求や慰謝料、補償金の支払いなどが発生し、大きな損失を生む可能性があります。
情報漏洩は会社の信用問題に繋がることを忘れてはいけません。
ウェブサイトやフォームを改ざんされるリスク
第三者の不正アクセスによって情報漏洩だけでなく、ウェブサイトやフォームの改ざんが行われるリスクがあります。申し込みフォームを活用したXSS攻撃(クロスサイトスクリプティング攻撃)はよく使われる手口の一つです。
管理者権限の乗っ取りによって改ざんが行われれば、業務を停止して対応することになってしまうでしょう。
さらに、改ざんによって意図していない情報の発信や機能の使用などの悪用により、ユーザーからの信頼が低下する恐れがあります。
DDoS攻撃によりサービスが停止するリスク
DDoS攻撃(分散型サービス拒否攻撃)とは、ウェブサイトへ大量のデータを送りつけて高い負荷をかけ、サービスを停止させるサイバー攻撃です。
複数ヶ所から攻撃されるDDoS攻撃が行われると、サーバーなどに大きな負担がかかり、アクセスが不可能になるなどの事態が引き起こされることがあります。さらに、サービスの停止によって売上の低下を招く上に、ユーザーからの信頼低下などの被害も考えられるでしょう。
クラウドサービス利用時のリスク
クラウドサービスのフォームツールを埋め込んで問い合わせフォームを作成する場合、上記3つ以外にアクセス権限の設定ミスのリスクが伴います。
クラウドサービスを利用中にアクセス権限の設定ミスが起こることは少なくありません。設定ミスの中には、アクセス権限の設定だけでなく、公開・非公開設定にミスがあったという事例もあります。
第1位は、クラウドサービスのアクセス権限の設定ミスにより、意図せず社外からもアクセス可能になっていたという事例です。
IPAの「コンピュータウイルス・不正アクセスの届出状況 2022年」(https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108005.pdf)でも、不正アクセスの原因の第2位に「設定不備(セキュリティ上問題のあるデフォルト設定を含む)」が挙げられ、情報漏えいなどの事故に繋がる要因となっていることが分かります。
大手企業の情シスが遭遇した、SaaS利用関連のリスクTOP10を発表 | https://assured.jp/20230816-01
この調査では、51.3%と半数以上が情報漏洩やサービス提供に支障をきたす可能性のある事象を経験したことがあると回答しました。設定ミスによる情報漏洩などの重大な事故を防ぐために、設定ミスをなくすのが一番ですが、人的なミスを完全になくすことは難しいものです。
そこで、クラウドサービスのフォームツールを選ぶ場合は、クラウドサービス側のセキュリティ対策を確認することが大切です。
- クラウドサービス側のサーバーでウイルス対策をしているか
- フォームに入力されたデータは、暗号化などにより安全に保管されるのか
- 万が一のデータ損失に備えて、バックアップは行っているのか
このようにウイルス対策・保管データ暗号化・バックアップなどのセキュリティ対策に対応しているか事前に確認する必要があります。
さらに、データの改ざんや情報漏洩が起こったときに、どのくらいで復旧できる見込みなのかなどを比較してクラウドサービスを検討しましょう。
問い合わせフォームでできる最新セキュリティ対策
問い合わせフォームを作成する際にはさまざまなリスクが伴いますので、しっかりとセキュリティ対策を施すことが大切です。
セキュリティ対策は日々進化していますので、ここでは最新かつ必須のセキュリティ対策を5つご紹介します。
入力検証(バリデーション)とサニタイズの実装
入力検証(バリデーション)とサニタイズを実装し、セキュリティ対策を行いましょう。
入力検証(バリデーション)とは、入力された内容の妥当性をチェックすることです。入力検証には、記入漏れをみる入力チェック・記入内容の整合性をみる書式チェック・添付ファイルをみるデータの形式チェックなどがあります。
入力検証を行うことで不正なデータが送信されることを防ぐことに繋がり、リスク低下を見込めます。
サニタイズとは、悪意ある攻撃者によって入力された有害なコードを無害化することです。サニタイズはXSS攻撃(クロスサイトスクリプティング攻撃)とSQLインジェクションに有効で、不正なプログラムを実行させる攻撃を防ぐ役割を果たします。
もしサニタイズしない場合、有害なコードが含まれた内容がそのまま送信されてしまうため、情報漏洩やウェブサイトの改ざんなどにつながるリスクがあります。
入力検証(バリデーション)やサニタイズを実装し、入力内容をチェックしましょう。
安全な通信のためのSSL暗号化の導入
安全に情報を送受信するためにSSL暗号化を導入しましょう。
SSL暗号化とは、情報を暗号化し、第三者から情報を見られないようにする技術です。問い合わせフォームから送られた内容は、サーバーへ保存されるまでの間に第三者に見られてしまったり、改ざんされてしまったりする危険があります。
問い合わせフォームだけにSSL暗号化を導入することができますが、ウェブサイト全体に導入することも可能です。ウェブサイト全体にSSL暗号化を導入すれば「このページは保護されています」と表示されるため、来訪者に安心感を与えられるでしょう。
スパム対策としてのCAPTCHAとreCAPTCHAの導入
ボットから通信を大量に送りつけるスパム対策として、CAPTCHAを導入しましょう。
CAPTCHAとは、人間とコンピューターを識別するシステムです。コンピューターには識別できないような文字を識別するように求めることで、ボットによるアクセスを防ぎます。CAPTCHAにはさまざまな技術がありますが、ユーザーの入力負担を軽減させるために適切な難易度の設定が重要となります。
よく利用されているものとして、Googleの提供するreCAPTCHAがあります。
すぐに使える実践的スパム対策について知りたい方は、ぜひこちらの記事を参考にしてみてください。
スクリプトの定期的な更新とパッチ適用
セキュリティ対策のためにはスクリプトの定期的な更新を行い、セキュリティパッチを適用する必要があります。
セキュリティパッチとは、OSやアプリケーションの脆弱性を修正するためのプログラムです。脆弱性を狙ったサイバー攻撃を防ぐために、できるだけ早急に最新のセキュリティパッチを適用してください。
また、クラウドサービスでの問い合わせフォームではなく、たとえばWordPressなどで既成のフォームプラグインを利用する場合には、脆弱性を修正するなど定期的にセキュリティ対策が行われているプラグインを選ぶようにしましょう。
送信元のチェックとログの取得
ボットからの大量投稿を防ぐためにアクセス制限を行うのも一つのセキュリティ対策です。送信元のIPアドレスやドメインを特定し制限することで、スパム対策になります。
また、ウェブサイトやフォームへのアクセス状況やエラー内容など、さまざまなイベントのログを記録することで、セキュリティに問題が起きたとき、原因の追及や対応がスムーズに行えます。不審なアクセスが大量発生しているなど、ログによって事前に攻撃を察知し対処できる可能性もあるため、大きな被害を防ぐ効果があります。
ただしログは機密情報ですので、保管・管理といった取り扱いには十分な注意が必要です。
ログには、誰と誰がいつどのような内容の通信を行ったか、という情報が記録されています。また、企業秘密に関する情報や、電子メールの内容、利用者が入力した個人情報などがそのまま含まれている場合もあります。ログは機密情報であるということを理解し、取り扱いには十分な注意が必要です。
例えば、外部のセキュリティ調査会社にログを開示して調査を依頼する際には、ログの内容に関して秘密保持契約を結んだり、ログを外部に持ち出さなければならない際にはデータの暗号化を検討するなど、秘密の保全に関する対応が必要であることを理解しましょう。
ログの適切な取得と保管|国民のためのサイバーセキュリティサイト
Googleフォームのセキュリティリスクは?
無料で使用できるGoogleフォームですが、セキュリティ面でのリスクがあることを理解しておかなければなりません。
Googleフォームの利用には、データが個人所有となるリスクがあります。データはGoogleアカウントを持つ個人の所有となるため、当該アカウントの削除などのアカウントの管理状況によってデータが消失する恐れがあるのです。
Googleフォームを担当者の個人アカウントで作成すると、アカウントの管理状況によってデータの消失だけでなく情報漏洩に繋がる可能性もあるでしょう。
また、ソーシャルエンジニアリング攻撃の標的になることがあります。ソーシャルエンジニアリング攻撃とは、パスワードなどの重要な情報を人の心のスキや思い込みにつけ込んだ攻撃です。
例えば、Googleフォームを模倣して作られた偽のフォームを使って、入力された情報を盗む手口があります。
このようにセキュリティ対策を十分に行わなければ、情報漏洩や改ざんなどのリスクがあります。
企業で問い合わせフォームを導入する場合は、セキュリティ対策がしっかり行われているフォームツールを選択することをおすすめします。
詳しくは以下の記事で解説していますので、ぜひ参考にしてください。
まとめ
ウェブサイトに必須の問い合わせフォームに潜む、さまざまなリスクとその対策について紹介しました。
もしクラウドサービスのフォームツールや既成のフォームツールを利用せず自作するなら、XSS(クロスサイトスクリプティング攻撃)やSQLインジェクションなどの脆弱性を狙ったサイバー攻撃への対策が必須です。
ネット上にあるテンプレートを使って自作することは簡単ですが、セキュリティ面では不安が残ります。たとえば運用開始後に脆弱性が見つかった場合、その対応には技術や知識が必要です。脆弱性対策に自信のない方は自作は避けたほうが無難でしょう。
Pivot-Formなら万全のセキュリティ対策を提供
Pivot-Formでは万全のセキュリティ対策で、安心して問い合わせフォームをご利用いただけます。
- 自社サーバーでデータを管理するため情報漏洩のリスクを軽減できます
- もちろん、システム側のセキュリティ対策は万全です
- 導入後の脆弱性対策へのサポートも可能です
その上、オリジナリティのあるフォームを簡単に作成できます。
問い合わせフォームのセキュリティ対策をしっかり行いたい方は、ぜひPivot-Formをご検討ください。