メールフォーム(WEBフォーム)とは、WEBサイトにある入力フォームにテキストを入力し、サイト管理者へメールを送信するシステムです。
WEBサイトから気軽にフォーム送信ができるため、資料請求やアンケート、お問い合わせなどのさまざまな用途で活用されています。
しかし、気軽にアクセスできる反面、サイバー攻撃などのセキュリティリスクがあるため、導入の際は対策が必須です。この記事では、メールフォームのセキュリティリスクとその対策方法や注意点を紹介します。
なお、セキュリティ対策の知見が不要で、かつ高セキュリティのフォームツールをお探しなら「クライゼルのフォーム作成ツール」をご利用ください。
メールフォーム(WEBフォーム)のセキュリティリスク
メールフォーム(WEBフォーム)には、どのようなセキュリティリスクが存在するのでしょうか。ここからは、サイバー攻撃などのセキュリティリスクと、その影響について解説します。
クロスサイトスクリプティング(XSS)
攻撃者が悪意のあるスクリプトを注入し、ユーザーのブラウザでそのスクリプトを実行させるセキュリティ攻撃です。
この攻撃が成功すると、ユーザーのセッション情報や個人情報が盗まれてしまう可能性があります。
SQLインジェクション
攻撃者がフォームの入力フィールド等に対して、悪意のあるコマンドを実施し、フォームシステムのデータベースに対してアクセスする攻撃です。
この攻撃が成功すると、データベースの内容が漏洩したり、改ざんされたりする可能性があります。
クロスサイトリクエストフォージェリ(CSRF)
攻撃者がユーザーのブラウザを利用して、ユーザーが認証済みであることを利用して不正なリクエストを送信します。
この攻撃が成功すると、攻撃者はユーザーのログイン情報を不正に操作したり、不正なアクションを実行されてしまう可能性があります。
情報漏洩や改ざん
マルウェア感染や不正アクセスにより、情報漏洩やデータ改ざんのリスクがあります。それらが起こると、まず対応に時間を割かれます。損害賠償やデータ復旧のための費用など、多大な損害を被ることになるでしょう。
セッションハイジャッキング
攻撃者がユーザーのブラウザ等のセッションIDを盗み、ユーザーのアカウントになりすます攻撃です。
文章:この攻撃が成功すると、攻撃者はユーザーとしてアプリケーションにログインし、不正なアクションを実行できてしまう可能性があります。
ファイルアップロードの脆弱性
不正なファイルのアップロードや実行が可能になることで、攻撃者はシステムに悪意のあるコードを注入することができてしまう可能性があります。
不適切なアクセス制御
本来ユーザーにはアクセスさせるべきでは無いページや情報にアクセス出来てしまうなど、システムが適切な認可やアクセス制御の機構を持っていない場合、攻撃者は機密情報や機能にアクセスできてしまう可能性があります。
企業イメージの低下
上記に挙げた要因などにより、情報漏洩や改ざんなどのトラブルが発生すると、企業のイメージが大きく低下してしまいます。自社のシステムがサーバー攻撃に合う事により、利用者から信用を失うだけではなく、訴訟問題へ発展する可能性もあるでしょう。
一度失った信用を取り戻すことは非常に難しく、被害後に対策を講じてもインターネット上には悪評が残り続けます。
最悪の場合、経営難に陥り倒産も考えられるため、セキュリティ対策を徹底することが大切です。
メールフォーム(WEBフォーム)のセキュリティ対策のポイント
メールフォーム(WEBフォーム)のセキュリティリスクを防ぐにはどのようなものがあるのでしょうか。ここからは、セキュリティ対策のポイントをいくつか解説します。
通信データの暗号化(SSL化)
メールフォーム(WEBフォーム)から送信された入力データは、サーバーに保存されるまでの通信経路上でデータを盗聴・改ざんされるリスクがあります。そのため、フォームのSSL化が不可欠です。なお、WEBサイト全体のSSL化を「常時SSL化」と呼びます。より安全にWEBサイトを利用してもらうためには、常時SSL化が必須になりつつあります。
保管データの暗号化
メールフォーム(WEBフォーム)を活用するときは、大量の個人情報や機密情報を扱うため、保管データを暗号化する必要があります。これは情報漏洩の危険から守るためのセキュリティ対策の一つで、保管データを元の内容がわからないように変換して保存するものです。
内容が読み取れない状態にしてデータを保管するため、正しい鍵を使いデータを元に戻す処理をしないと確認できなくなります。不正な手段でのぞき見されても内容が判別できないため、保管データの暗号化はセキュリティ対策として欠かせません。
バックアップを取る
不正アクセスやマルウェア感染によりデータが消失する場合があります。データが消失すると業務停止してしまうほか、取引先に多大な迷惑をかける、情報管理ができていない企業だと思われるなど、信用問題にも関わります。
データはヒューマンエラーによる消失も考えられるため、常にバックアップをとり、何かあったときはすぐにデータを復旧する環境を整えることが大切です。なお最近では、クラウドを利用してバックアップをとることが一般的になっています。
アプリケーションやOSのセキュリティ強化
前述の通り、メールフォーム(WEBフォーム)には、セキュリティ上の不備を狙う攻撃による情報漏洩や、改ざんのリスクが存在します。
多くはプログラムのコーディングやシステムの設計に不備があることが多い為、様々なリスクを考慮したプログラム開発やシステム設計を行う必要があります。また、WAF(WEBアプリケーションファイアウォール)や外部からのコードレビュー、IDS/IPSなどの対策が効果的です。
メールフォーム(WEBフォーム)のスパム対策のポイント
メールフォーム(WEBフォーム)は大量のBOT等による大量のスパム登録がされるリスクがあるため、対策が必要です。ここでは、スパム対策のポイントを解説します。
アクセス制限の設定
BOTによるスパムメール送信を防ぐには、アクセスログからスパムメール送信元のIPアドレスやドメインを特定し、アクセス制限を設定することが有効です。
しかし、自社で対応する場合は専門的な知識が必要なほか、確認作業に工数を取られます。労力をかけずにアクセス制限を行うのであれば、機能が豊富なフォーム作成ツールを利用すると良いでしょう。
必須項目の設置
メールフォーム(WEBフォーム)の名前や電話番号、メールアドレスなどを必須項目にすると、スパム登録をしづらくなります。
さらに入力後の確認画面を用意すると、手間と時間が増えるため、より一層BOTが簡単にメールを送れなくなるでしょう。
チェックボックスの設置
メールフォーム(WEBフォーム)にチェックボックスを設置することもスパム対策の一つです。手動で操作を行うチェックボックスは、スパムBOTの自動送信プログラムを防げます。しかし、BOTは日々進化し続けるため、ほかの対策と併用することでより効果的に対策できるでしょう。
ダブルオプトインの導入
ダブルオプトインとは、メールフォーム(WEBフォーム)への情報送信後、ユーザー宛に確認メールを送信し、確認メール文中の本登録用URLをクリックすることで、正式に登録がされる仕組みを指します。
基本的にBOTは実際に存在するメールアドレスを利用することは少ないため、効果が高い対策とされています。
reCAPTCHAの設置
reCAPTCHAはGoogle社が提供する、フォームの不正利用やスパム対策の認証システムで、「reCAPTCHA v2」と「reCAPTCHA v3」の二つがあります。
「reCAPTCHA v2」には、フォーム内に「私はロボットではありません」と記載されたチェックボックスが設置されており、チェックを入れると複数の画像が表示されます。その中から提示した条件に合う画像を選択させることで、スパムBOTかどうかを判別することが可能です。
一方で「reCAPTCHA v3」は画像選択などの操作はなく、WEBサイトでの利用者の動きを分析し、スパムBOTかどうかを判別します。「reCAPTCHA v2」は利用者の画像選択を行う労力が発生するため、「reCAPTCHA v3」の設置がおすすめです。
メールフォーム(WEBフォーム)にセキュリティ対策・スパム対策を行う方法
メールフォーム(WEBフォーム)のセキュリティリスクを防ぐためには、どのような対策を行えば良いのでしょうか。ここでは、セキュリティ対策・スパム対策を行う方法について解説します。
Googleフォーム
Googleフォームは、Google社が提供している無料のフォーム作成ツールです。「SSL化」「脆弱性の管理」「不正ソフトウェアの検出」「スパム防止」などのさまざまなセキュリティ対策ができます。
またGoogleは、ISO27001やISO27017を取得しています。これらは、全世界で統一されたセキュリティ基準をクリアしている証明です。したがって、Googleフォームは強固なセキュリティ対策を行っていることがわかります。
一方で、Googleフォームは無料で提供されているサービスであることから、個別のユーザーサポートが備わっているわけではありません。
自身で公式のヘルプページやコミュニティを利用して課題を解決していくことが原則となります。
WordPress
WordPressはCMS(コンテンツマネジメントシステム)の一種で、個人ブログやコーポレートサイトなど、さまざまなWEBサイトを作れます。使用されているCMSのうちの8割をWordPressが占めるほどの人気があり、日本でも愛用されているツールです。利用者が多ければ情報も蓄積しやすいため、不具合を比較的早めに解決できるメリットがあります。
また、HTMLやCSS、SEOの内部対策などの専門知識をあまり必要としないため、初心者でも安心して利用ができます。
さらに、常時SSL化や不正アクセス防止のプラグインによるセキュリティ対策も可能です。
フォーム作成ツール
フォーム作成ツールを使えば、フォームの目的に合ったテンプレートを選んでWEBサイトに埋めこむだけで、メールフォーム(WEBフォーム)を作成できます。セキュリティ対策の機能はツールによって異なるため、詳細は各ツールの説明事項を確認しましょう。
メールフォーム(WEBフォーム)にセキュリティ対策・スパム対策を行う際の注意点
メールフォーム(WEBフォーム)のセキュリティリスクを防ぐ際に注意すべきポイントがいくつか存在します。ここでは、セキュリティ対策・スパム対策の注意点について紹介します。
複数の対策を施す
セキュリティ対策・スパム対策が進化する一方で、サイバー攻撃などのセキュリティリスクも日々進化しています。したがって、どれか一つの施策では不十分です。近年は業者間で出回ったカード情報を、スパムBOTが自動判別し、情報を盗むなどの被害が出ています。セキュリティレベルを上げるためには、できる限り複数の対策を組み合わせることが大切です。
利便性も考慮する
必須項目を増やしたり、reCAPTCHAの画像選択を取り入れたりすることは、セキュリティ対策・スパム対策として非常に有効です。しかし、強化しすぎるとフォームのユーザビリティが低下します。手間を増やすと入力自体にストレスを感じるため、フォームから離脱する原因につながるのです。
そこで対策の組み合わせを工夫する、入力項目を減らす、自動入力を使用するなど、入力の負担を軽減することでコンバージョン率を高められるでしょう。
大量にプラグインを導入しない(WordPress)
WordPressにおいてセキュリティ対策・スパム対策のプラグインを導入することは大切です。しかし、大量に導入するとプラグイン同士の干渉や、フォームデザインの乱れなどの不具合が生じます。またプラグイン数が多いと、バージョンアップ後の動作確認にも手間が発生します。性能が重複したものや不必要なものはダウンロードせずに、フォーム作成ツールを代用するなどの対応をしましょう。
セキュリティ対策・スパム対策ができるメールフォーム作成ツールは?
ISO27001とISO27017の認証、Pマークを取得している「クライゼル」のWEBフォーム作成ツールは、国際規格のセキュリティ基準に沿って作られたシステムです。サービス開始から10年以上の運営実績がありますが、情報の漏洩などの事故が発生したケースはありません。
さらに、「SSL暗号化通信」や「reCAPTCHA v3」にも対応しているため、ユーザビリティを低下させずにセキュリティ対策・スパム対策を講じることが可能です。
まとめ
メールフォーム(WEBフォーム)には、名前や住所、メールアドレスなど個人情報の入力が必要です。それらを取り扱うため、セキュリティリスクを理解して十分な対策を行う必要があります。そこでフォーム作成ツールを使うと、簡単かつ安全にデータ運用ができるため、活用を検討してみてはいかがでしょうか。
