Webフォーム作成の記事
ARTICLEお問い合わせフォームに潜むセキュリティリスクと「SSL化」とは?
Webサイトから、手軽に読者からの問い合わせを受け付けられるお問い合わせフォーム(メールフォーム)。今では、お問い合わせフォームを設置していない企業の方が珍しいと思われるほど一般化しました。
そんなお問い合わせフォームですが、セキュリティ面に気配りしている企業はどれくらいあるでしょうか。
大企業ならまだしも、システムに詳しい従業員のいない中小企業ではあまり考えられていないケースも少なくないのではないでしょうか。
しかし、十分なセキュリティ対策を施していないと、送信されたデータが第三者から丸見えとなるリスクがあります。セキュリティ対策の柱となる「SSL化」について理解し、お問い合わせフォームにも必要な対策を行うようにしましょう。
フォームとは何かを知りたい方は、「フォーム作成の基礎知識まとめ。主なシステムやツールの使い方とは」をご一読ください。
メールは安全だと思っていませんか?
メールでデータを送受信していると、セキュリティのリスクがあります。データが平文でやり取りされるため、盗聴やなりすまし、データの改ざんなどの可能性があります。
考えられる主なリスクは次の3点です。
- 盗聴・なりすまし・データ改ざん
- コンピューターウイルスに感染
- 誤送信による情報漏えい
メールの場合は、コンピューターウイルスの含まれたメールにも注意が必要です。たとえば、添付ファイルにコンピューターを破壊するようなウイルスが含まれているケースが想定されます。ウィルスが添付されたメールを検出し除外できるようなウイルス対策ソフトの導入、そして常にソフトを最新版にしておくことは必須です。
メールの場合、システム的なリスクだけではなくヒューマンエラーによるリスクもあります。その代表例が、メールの誤送信でしょう。機密情報の含まれたメールを外部に漏らしてしまった場合、会社全体の損害となる危険性もはらんでいます。
ウイルス入りのメールやメールの誤送信といったリスクを踏まえると、やはりセキュリティ面からいってもお問い合わせフォームを活用した方が無難ということになります。
ただし、お問い合わせフォームでもセキュリティのリスクはゼロにはなりません。後述するお問い合わせフォームのSSL化など、セキュリティ対策が不可欠です。
お問い合わせフォームの設置メリット
近年、ユーザーや新規見込み顧客からの問い合わせを受け付けるために、Webサイト上へメールアドレスをそのまま掲載するような企業は少なくなりました。
メールアドレスをそのままWebサイトに掲載していると、そのアドレスを収集されてスパムメールが大量に届くこともあります。そういったリスクを避けるためには、お問い合わせフォームを設置することが正解といえるでしょう。
お問い合わせフォームの設置は、今やHTMLの知識がなくても容易にできるようになりました。メールフォームのパーツを設置するだけで、ユーザーはWebサイトのページにテキストを入力・送信できるようになります。
お問い合わせフォームの設置には、メールアドレスの非公開以外にもいくつもメリットがあります。
たとえば、必要な情報を定型で受け取り、番号を割り振ってメールを返信するまで自動で行うように設定することができます。メールならば担当者が手動で管理や返信をしなければなりませんが、お問い合わせフォームなら管理の工数が減少します。
お問い合わせフォームを設置している企業の多くは、届いた内容をセキュリティ的に安全に転送するため、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)による暗号化通信を採用しています。
フォームで「保護されていません」と表示される!SSLや主な対策について
SSL化(暗号化)とは
SSL化(暗号化)とは、Webページをすべて暗号化するセキュリティ対策技術の一つです。特に、Webサイトからお問い合わせフォームなどで情報を送信するときに、サイト閲覧の事実を示すCookie情報を含めてすべての情報を暗号化します。これによって、悪意を持った第三者から閲覧・改ざんされないようにします。
お問い合わせフォームのような一部のページだけでなく、WebサイトすべてのページでSSL化することを「常時SSL化」といいます。すべてのページを常時SSL化することで、Webサイトのセキュリティ性や読者からの信頼性が高まります。
常時SSL化によって、トップページからURLが「http」から「https」に置き換わります。また、鍵マークが表示されるはずです。これは、コンテンツが暗号化されたプロトコルを用いる安全なものであることを示すマークです。
SSL化のメリットとデメリット
SSL化には、さまざまなメリットがあります。
たとえば、あるユーザーのアクセスを第三者が「盗聴」したりデータを盗んだりしにくくなります。Webサイトが、フィッシングサイトのようななりすましのサイトではなく、本物であることの証明にもなります。結果として、セキュリティに配慮された信頼に足るサイトの「お墨付き」がブラウザ上でも与えられるわけです。
また、セキュリティ面以外にSEO面でもよい影響があります。特に、Googleなどの検索エンジンからの評価が高まります。SSL化の有無を検索結果のランキングに使用していることは、Googleのウェブマスター向け公式ブログでも明記されている事実です。
一方で、少ないながらSSL化のデメリットもあります。まず、SSL導入にはある程度費用が必要です。SSL証明書を購入しなければいけませんし、設定代行を外注する場合はその費用もかかってきます。
また、サイトの中で多くのツールや広告を使用している場合、https非対応のものがあると、非表示になってしまうことがあります。ツールや広告の取捨選択を行い、不要なものは別の種類に置き換えるか削除することが求められるでしょう。
お問い合わせフォームのセキュリティリスクと対策
SSL化にデメリットがあると言っても、セキュリティリスクを踏まえると、導入したほうが数倍のメリットがあります。
また、SSL化しなければやりとりするデータの盗聴やなりすましなどのリスクは残ります。できれば常時SSL化を行い、セキュリティ面で信頼性の高いWebサイトづくりを目指すのが理想です。
しかし、SSL化には落とし穴があります。SSLは、あくまでもブラウザとサーバー間の通信を暗号化するための技術です。
お問い合わせフォームはブラウザとサーバー間の通信に加えて、フォームメーラー(メールクライアント)との通信が必要になります。SSLでは、サーバーとメーラー間の暗号化はサポートされません。
大半のお問い合わせフォームは、メーラーに対して入力内容が送信されるものとなっていますので、その部分に関してはセキュリティ的に穴が開くことになるわけです。
この点を踏まえると、SSL化に加えて運用上の工夫が求められます。まず、メーラーへ転送するデータは最小限にとどめるべきです。
たとえば、お問い合わせフォームから連絡が入ったときには「お問い合わせを受け付けました。管理画面で確認してください」というような最低限の内容だけを転送し、この転送メールには個人情報を含まないようにします。
個人情報が含まれているその他の内容はデータベースに格納しておくようにすれば、仮にメールを第三者からのぞかれていたとしても、個人情報が漏れることにはなりません。
さらに、データベースにはアクセス権限を付与してアクセスできる社員を限定しておくほか、IPアドレス制限をかけて社外からはアクセスできないようにしておけば、セキュリティはより強固なものとなります。
