Webフォーム作成の記事
ARTICLEフォームのセキュリティについて考えよう。主なリスクや対策とは
アンケートやキャンペーン応募など、フォームには個人情報が記入されるため、セキュリティについて気になっている方もいるのではないでしょうか?この記事ではフォームを使う際のリスクや、セキュリティ対策について解説します。
目次
フォームとはどんなもの?
フォームという言葉は、インターネット上でよく耳にする言葉でしょう。「こちらのフォームから入力してください」などの定型文は、もはや日常で用いられる言葉と言って差しつかえありません。
しかし、なんとなく意味を捉えていても、実際にどんな意味を持つ言葉なのか具体的に説明できる人は少ないのではないでしょうか。
そこで、まずはフォームとはどんなものなのか、その意味や種類について解説します。
フォームの意味
フォームは『外見』や『形式』といった意味の英語ですが、IT用語としては主に、特定形式を持った『書式』や、『入力欄』の意味として用いられます。
現在、ネットを使う場合の一般的なフォームと言えば、ユーザーが記入するための入力欄を指す言葉です。また、ネットに書き込む際のコメント欄もフォームという言い方をするでしょう。
ただし、企業が業務上で用いる場合には、データベースからデータを抽出するために用いる書式をフォームと呼ぶ場合があります。
フォームの種類
フォームの種類は、用途によって分けられます。大別すると記入欄として用いる場合と、エクセルなどのデータベースからデータを見やすくするためのカード、という2パターンです。
記入欄として利用されるフォームは、用途によって多くの種類があります。アンケートや掲示板の入力だけでなく、資料請求やサービスを利用するための情報登録にもフォームは利用されています。
データフォームは、保管されているデータの編集や抽出の際に利用されます。エクセルやアクセスといったソフトウェアが使われているようです。オンラインショップで利用するカートも、フォームを用いて形成されています。
最適化が重要
企業がユーザーにフォームを利用してもらう場合、いかに最適化するかが重要になります。
見た目がゴチャゴチャしていて見づらい場合や、回答箇所がすべて記述式でアンケートに時間がかかりそうな場合などは、フォームの入力が敬遠されてしまうでしょう。
フォームを利用してもらうためには、入力項目を最低限にする、選択形式をなるべく多く設けるといった、ユーザー視点で手間がかからないようにするのが重要です。
ただ入力項目を減らすだけでなく、クレジットカードの入力の際はセキュリティコードの項目は残すなど、セキュリティ面にも配慮しましょう。
また、全角英数字は自動で半角に変換される、といったような細かな気配りも最適化のポイントです。
フォームのセキュリティについては、「フォーム作成ツールの使い方とは。セキュリティもしっかりと」をご一読ください。
フォームのセキュリティリスクを考えよう
対ユーザー用のフォームは、オンライン上に個人情報を記載することになるので、セキュリティ対策を行う必要があります。
フォームへの記入がきっかけで、スパムメールが届くようになったといった案件は少なくありません。セキュリティについて今一度考えてみましょう。
主に挙げられるリスクとは
近年、入力フォームはさまざまなWebサイトで利用されていますが、実際にどのようなリスクを有しているでしょうか。代表的なセキュリティリスクを3つご紹介していきます。
不正アクセスによる情報漏えい
フォームから入力されたユーザーの個人情報は、サイト運営者が管理するデータベースに保存されています。このとき、フォームのセキュリティ対策が十分でないと、データベースへの不正アクセスにより個人情報漏えいのリスクがあります。フォームの入力項目にクレジットカード情報などが含まれる場合には、情報漏洩によってカードの不正利用につながりユーザーに金銭的な損失を与えてしまう恐れがあるため、高度なセキュリティ対策が求められます。
マルウェア感染
悪意を持った第三者が、フォーム内に不正なプログラムを仕掛け、Webサイトを訪問したユーザーのPCをマルウェア感染させるリスクがあります。また、マルウェアに感染した場合、PCが起動しなくなる・パフォーマンスが急激に落ちる・攻撃者による情報の不正取得などにつながり企業の信頼にも大きくかかわるため、十分な対策が必要です。
データの改ざん・消失
攻撃者にフォームの脆弱性を突かれて、Webサイトへの不正侵入を許した場合、あるいはマルウェア感染した場合には、Webサイトのデータの改ざんやデータ消失のリスクがあります。改ざんによって、ユーザーが悪質なサイトに誘導され、個人情報を不正に取得されてしまう恐れがあるため注意が必要です。万が一のデータ消失に備え、日頃からデータのバックアップ体制を構築するのも重要と言えるでしょう。
攻撃に用いられる主な手法
Webサイトを利用する際に、悪意ある第三者によって次のような手段で情報漏洩などが発生する可能性があります。
- XSS(脆弱性(セキュリティホールとも呼ばれる)のあるWebサイトを経由し、攻撃者の作成したJavaScriptが、ユーザーのブラウザ上で勝手に実行される)
- CSRF(Webサイトに自動で他のサイトに飛ばすプログラムを仕込み、ユーザーに意図しない操作をさせる)
- SQLインジェクション(データベースへのアクションを行う際に、プログラムにSQL文の断片を与え、データベースの改ざんや不正に情報を入手する)
- クリックジャッキング(Webブラウザ上で操作を乗っ取って不正を行う)
特にXSSはPHPでプログラミングする際には、真っ先に対応が必要となるリスクです。このような悪意ある第三者の攻撃から利用者を守るためにも、セキュリティ対策は企業にとって必須と言えます。
SSLについて
SSL(Secure Sockets Layer)とは、Webページをすべて暗号化し、外部からわからないようにするセキュリティ手段です。Webサイトからサーバーへ何らかの情報を送る際に、cookieを含めた情報を暗号化することで、情報流出を防いでくれます。
同様の役割を持つTLS(Transport Layer Security)などもあり、こういったセキュリティが施されたサイトかどうかは、ユーザーにとっても利用するかどうかの指針になるケースが多いようです。
SSLやTLSが採用されている場合は、アドレスバーに鍵のマークが表示されます。
お問い合せフォームのセキュリティに関する詳細は、「お問い合わせフォームに潜むセキュリティリスクと「SSL化」とは?」をご一読ください。
主なサービスのセキュリティ
無料でフォームが作成できるサービスとして、GoogleとWordPressが挙げられます。この2つの事業者がどのようなセキュリティ対策をしているか、それぞれ見ていきましょう。
Googleのセキュリティはかなり高いと評判です。データの暗号化については、あらゆるサービスに暗号化が施されています。さらにこの暗号は、HTTPS(Hypertext Transfer Protocol Secure)やTLSなど、複数の方法で何重にも保護されているのです。
また、ウイルスに感染する理由の多くは、ユーザー側が不審サイトにアクセスするケースです。保護されていないサイトにアクセスする際に、Googleでは警告が表示されます。
Googleフォームのセキュリティについては、「Googleフォームのセキュリティは万全?サポートや自己対策法」をご一読ください。
WordPress
WordPressのセキュリティには、プラグインが用いられます。特に有名なプラグインに関しては、頻繁にアップデートが行われますので、常に最新版にしておくよう心がけましょう。
ウイルスなどの攻撃手段は、日々新しいものが生み出されていますので、セキュリティもアップデートを頻繁にしなければ危険です。
WordPressでも、セキュリティのプラグインを常に最新のものにすることで、一定のセキュリティ基準は保証されます。しかし、代表的なプラグインである『Contact Form 7』がSSLに対応していないなど、脆弱さを指摘する声もあがっているようです。
セキュリティの警告が表示される場合
インターネットで色々なホームページを閲覧していると、「保護されていないページです!」というメッセージが突然出てきたことはありませんか?
このようなメッセージが出てくる理由と対策について解説します。
保護された通信とされていない通信
「保護されていません!」と表示される場合、そのサイトから発信される情報が第三者に読み取られてしまう危険性があることを示唆しています。
では、保護された通信と保護されていない通信をどのようにPCは判断しているのでしょうか?
最も大きな違いは、URLの頭が『https://』と『http://』のどちらで始まっているかです。この『s』は、セキュリティの頭文字で、暗号化されていることを示しています。
SSLサーバー証明書の設定
「保護されていません!」という表示を外すためには『SSLサーバー証明書』を設定する必要があります。これは、やりとりされる情報を暗号化すると共に、サイトの運営者を利用者が確認する機能でもあるのです。
httpsの前に付属された鍵を右クリックしてみてください。そこから、証明書発行者の情報を閲覧できます。この証明を発行してもらうには審査が必要です。
審査の内容によって費用や難易度、期間が変わってきます。銀行に発行されるような証明機関の審査はかなり厳しいと言えるでしょう。取得には、できれば専門の業者に依頼することをおすすめします。
SSLの設定については、「フォームで「保護されていません」と表示される!SSLや主な対策について」をご一読ください。
主なセキュリティ対策とは
Webセキュリティの対策には、プログラム周りの脆弱性対策と、サーバー周りの脆弱性対策の2種類があります。
プログラムのセキュリティについては複雑なため、初心者が施すのは難しいです。しかし、レンタルサーバーが提供しているシステムであれば、セキュリティを一定以上向上させられるでしょう。
そのシステムについては、次の3種類のようなものがあります。
ファイアウォール
ファイアウォールという言葉自体は、聞き覚えがある人もいるでしょう。
インターネットのデータ受信は、『ポート』と『プロトコル』という2つのルールが適用されています。ファイアウォールは、不要なポートとプロトコルを遮断し、不正アクセスが可能なポートを探す行為を遮断するという仕組みです。
不正アクセスに対しては、管理者に通報できるようにもなっています。付加機能があるものも多いため、さまざまな状況に対して強いセキュリティです。
WAF
ファイアウォールには、XSSなどの防げない攻撃も存在します。そこで、大手のサーバーなどではWAF(Web Application Firewall)を標準実装しているケースが一般的です。
WAFは、ユーザーとサーバーのやりとりしているデータをリアルタイムに監視し、悪意あるデータ化どうかを判断します。悪意ありと判断した際には、データのやりとりを強制停止する仕組みです。
IPS
IPS( Intrusion Prevention System)は、不正な通信を感知し、アクセスをキャンセルしたり、アクセス元のIPアドレスを遮断したりするセキュリティです。
サーバーへの攻撃には、データをのぞき見するだけではありません。1秒間に何千回といったアクセスをすることによって、サーバーをパンクさせるようなタイプのものもあります。
こういった攻撃を未然に防げるため、ファイアウォールと併用して使うのが主流です。
セキュリティ対策を実施する際の注意点
ここからは、セキュリティ対策を実施する際の注意点について解説します。高度なセキュリティ対策は、Webサイトおよびユーザー双方にとって重要ですが、ユーザーの利便性を損なってしまう恐れがあるため注意しましょう。
セキュリティとユーザーの利便性の両立
たとえば、認証方式を多段階にするなどセキュリティ対策を強化すれば、不正アクセスや情報漏えいなどのリスクを抑制することが可能ですが、一方で複雑なログイン手続きによりユーザーの利便性が損なわれます。セキュリティとユーザーの利便性は、いずれかを重視するものではなく、両立させるのが重要であることを意識して、セキュリティ対策を実施しましょう。
フォームを利用するときにおすすめのセキュリティ対策
フォームを利用するのにおすすめのセキュリティ対策を2つご紹介します。
IPアドレス制限
IPアドレス制限は、WebサイトにアクセスできるIPアドレスを限定し、サービスを利用できるユーザーを制限する仕組みです。海外から短時間で大量のアクセスが確認された場合、不正なアクセスとみなして、外国からのすべてのアクセスをブロックできます。
画像認証の活用
入力フォームを悪用した大量のスパム行為に対しては、画像認証を活用するのも有効です。Google社の「reCAPTCHA」などが有名ですが、正規のユーザーのみにアクセスを認める方法として活用できます。
フォームSSL不要論についても知っておく
これは、WordPressで利用するフォームを作るプログラマーが「フォームSSL不要論」を信じているからだと言われています。
そのため、WordPressで共用SSLを導入しようとすると、プラグインが動作せず、かえってセキュリティが脆弱になってしまう可能性があることは覚えておきましょう。
クラウドサービスのセキュリティについては、「高レベルのセキュリティ対策を導入!クラウドで情報資産を守る」をご一読ください。
まとめ
フォーム利用に際して、セキュリティの存在は欠かせません。ユーザー側でも、SSL証明書によってかんたんにセキュリティ体制をチェックできます。そのため、セキュリティ対策を怠っている企業は、それだけユーザーが敬遠してしまうリスクがあるのです。
セキュリティは、それぞれの事業者が施しており、特にGoogleのセキュリティは高いと言えます。WordPressのセキュリティを高めるには注意点があり、できれば専門の事業者にあらかじめ相談した方が良いでしょう。
セキュリティ対策をしっかり施し、安心して使えるフォームをユーザーに提供すれば、企業の信頼を高めることにもつながるはずです。
また、かんたんにフォーム作成をしていきたい方には、弊社のマルチデバイス対応のフォームがかんたん操作で作成できる Webフォーム作成サービス「SPIRAL®」もおすすめです。問い合わせ・資料請求は無料ですので、まずはお気軽にお問い合わせください。
