PIPED BITS

最新トピック

お問い合わせフォームに潜むセキュリティリスクとは?

悩む人物

お問い合わせフォームのセキュリティは万全?

近年、ユーザーや新規見込み顧客からの問い合わせを受け付けるために、Webサイト上へメールアドレスをそのまま掲載するような企業は少なくなりました。メールアドレスをそのままWebサイトに掲載していると、そのアドレスを収集されてスパムメールが大量に届くこともあります。そういったリスクを避けるためには、お問い合わせフォームを設置することが正解といえるでしょう。

お問い合わせフォームを設置している企業の多くは、届いた内容をセキュリティ的に安全に転送するため、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)による暗号化通信を採用しています。
多くの企業が採用していることから、「SSL/TLS暗号化通信をしていればセキュリティ的には問題ないだろう」と考える人もいるでしょう。しかしSSL/TLSは、あくまでもブラウザとサーバー間の通信を暗号化するための技術です。会員制サイトのログイン画面などには大いに効果を発揮しますが、お問い合わせフォームにはその効果を発揮しません。

というのも、お問い合わせフォームはブラウザとサーバー間の通信に加えて、メーラー(メールクライアント)との通信が必要になっているからです。

SSL/TLSではサーバーとメーラー間の暗号化はサポートされません。大半のお問い合わせフォームは、メーラーに対して入力内容が送信されるものとなっていますので、その部分に関してはセキュリティ的に穴が開くことになるわけです。

メーラーで受け取った個人情報は漏えいの可能性も…

お問い合わせフォームにまつわるセキュリティリスクは、それだけではありません。フォームから送信されるメールをOutlookなど一般的なメーラーで受信している場合には、個人情報が記入された本文は情報漏えいの脅威にも晒されることになります。お問い合わせフォームではユーザーや新規見込み顧客などの個人情報を記入することになりますから、転送先のメーラーから、それらのデータが流失するリスクをなくすことはできません。同時に、問い合わせ内容別に各担当者へメールを振り分けていたりすると、さらに情報漏えいリスクは高まりますし、データの分散化も招いてしまうことになります。

それだけでなく、お問い合わせフォームから届いた情報をExcelやAccessなどで管理しようとする場合、データのコピー&ペーストなどといった作業の手間が増えるほか、作業ミスの可能性も考慮すると情報管理・共有のボトルネックになる可能性もあります。

受け取った情報はデータベースに格納する

それでは、お問い合わせフォームのセキュリティリスクをなくすためにはどのような対策をとれば良いのでしょうか。

まず必要なことは、メーラーの利用は必要最低限の通知のみに止めておく、ということです。たとえば、お問い合わせフォームから連絡が入ったときには「お問い合わせを受け付けました。管理画面で確認してください」というような最低限の内容だけを転送し、個人情報が含まれているその他の内容はデータベースに格納しておくようにするのが良いでしょう。
さらに、データベースにはアクセス権限を付与してアクセスできる社員を限定しておくほか、IPアドレス制限をかけて社外からはアクセスできないようにしておけば、セキュリティはより強固なものとなります。

ただし、このようなシステムを新たに構築するためには高額なコストが必要です。さらに、社内にデータベースの知識がある社員が在籍している必要もあります。

しかし、クラウドサービスを利用してデータベースを構築すれば、このような問題はクリアすることができます。
クラウドサービスなら、お問い合わせ内容に応じて各担当者へと振り分け、通知メールを送信させることも可能です。また、自動振り分けによって瞬時に通知メールが届くようになりますので、各担当者のアクションがより早く起こせるようになるというメリットも得られるのです。

参考事例 株式会社ツクイ 「16ものフォームを効率的に管理・運営」 URL:https://www.pi-pe.co.jp/showing/tsukui/

mautic is open source marketing automation
お役立ち情報はこちら メルマガ