お問い合わせフォームのセキュリティ対策について考える
自社のWebサイトはインターネット上の窓口とも言えますので、ここでもセキュリティ対策が必要なのは言うまでもありません。
大企業や中小企業を問わず、Webサイトにお問い合わせフォームを設置されているところがほとんどですが、
お問い合わせフォームのセキュリティ対策にはどのくらい取り組んでいるでしょうか?
特に中小企業では、Webサイトの管理や保守を外注できる余裕がなかったり、
システムに詳しい従業員がいないのでWebサイトを公開してからずっとそのままになっているケースも珍しくありません。
今一度、お問い合わせフォームが正常に動作しているか確認するとともに、
セキュリティ対策ができているか確認しておくことをお勧めします。
なぜお問い合わせフォームにセキュリティ対策が必要かというと、お問い合わせフォームを使った攻撃手法が存在しているからです。
代表的な攻撃手法は・・・
・SQLインジェクション
・クロスサイトスクリプティング
・クロスサイトリクエストフォージェリ
・スパムメールの大量送信
等があります。
簡単に解説すると、お問い合わせフォームにプログラムコードを入力した状態で送信すると、
データ改ざんや個人情報を盗み取ったり、フォームの情報を悪意あるサイトにも送信したりすることができてしまうのです。
スパムメールの大量送信はその名の通り、お問い合わせフォームを踏み台にして、大量の迷惑メールを送信されてしまうもの。
どちらも企業のイメージダウンや様々な機会損失、実際に発生してしまった被害への補填コストが発生してしまうため、
お問い合わせフォームのセキュリティ対策は必須と言えます。
お問い合わせフォームのセキュリティ対策
最低限やっておきたい対策として、
・SSL
・WAF
・IPS/IDS
・海外IPアドレス制限
などがあります。
それぞれどのようなものなのかを知り、自社のWebサイトでの対策状況を確認しておくことをお勧めします。
・SSL
Secure Socket Layer と呼ばれる技術で、Webサイトへの暗号化するものです。
Webサイトにアクセスする際、URLが「https://」になっていればSSLで通信していることになります。
自社のURLにアクセスしたときに「https://」かどうかはすぐに確認できますよね。
SSLが有効になっていない場合はURLが「http://」になっていますので、すぐにSSL対応を進めることをおすすめします。
最近ではWebブラウザのセキュリティ機能も高まっているため、「http://」でのアクセスをブロックするものあります。
つまり、自社のサイトがSSLに対応していなければ、誰も見ることができない状態と言ってもいいかもしれません。
・WAF
Web アプリケーションファイアウォールは、Webサイトの通信を監視し、攻撃と判断した通信を遮断する仕組みです。
通信を監視し、サイバー攻撃と類似するパターンがあると通信をストップするので、
SQLインジェクションやクロスサイトスクリプティングに有効な対策です。
会社内のネットワークセキュリティではUTMによるファイアウォールに該当するものと考えていただくと良いでしょう。
・IPS/IDS
IPS(Intrusion Prevention System) は「不正侵入防御システム」、IDS(Intrusion Detection System)は「不正侵入検知システム」で、いずれも怪しい通信を検知することができます。
IDSは怪しい通信を検知するまでですが、IPSは怪しい通信を検知した場合に遮断することができます。
・海外IPアドレス制限
日本国外からの通信をブロックする仕組みです。Webサイトに対する攻撃の多くは海外からということを踏まえると、
有効な対策のひとつと考えることもできます。
ただし、海外からの通信をブロックしてしまうため、海外にお客様がおられる場合などは注意が必要です。
これらのセキュリティ対策は Webサイトを運用しているサーバ会社で提供されているものが多いです。
利用しているサーバ会社の情報を参考に、ぜひセキュリティ対策を見直しておきましょう。
対策後はお問い合わせフォームが正常に動作するかの確認もお忘れなく!
日々の技術の進歩が早いため(良い意味でも悪い意味でも)、
セキュリティ対策は多少やり過ぎかなと思うくらい取り組んでおくことが望ましいです。
セキュリティ対策について、ご心配なことやご不明なことがおありでしたら、
お問い合わせ から気軽にご相談ください。
お読みいただきありがとうございました。