-1.jpeg?width=48&height=48&name=DSC_2387%20(1)-1.jpeg){kind=small}
Google フォームを使えば、商品の問い合わせやアンケートなど、無料でさまざまなフォームを作成できます。手軽に利用できる一方で、セキュリティ面に問題はないのか、自身でできる対策はあるのかについて気になっている方も多いのではないでしょうか。
企業ウェブサイトのためのセキュリティーチェックリスト
HubSpotでは、セキュリティー企業Sophosのエキスパートと共同で、ビジネスにおける基本的な安全策の徹底に役立つガイドとして、セキュリティーチェックリストを作成しました。
- ウェブサイトの安全性を保つためのベストプラクティス
- 業務データと顧客データの保護に向た対策
- フィッシング攻撃を判別し、回避する方法
- オンライン会議・イベントの前に押さえたい安全策
今すぐダウンロードする
全てのフィールドが必須です。
フォームツールは脆弱性を狙われることが多いため、セキュリティ対策を万全にすることが重要です。特に、個人情報が流出するトラブルは絶対に避けなければなりません。
本記事では、Google フォームが持つセキュリティと独自で行えるセキュリティ対策を解説します。Google フォームのセキュリティと発生し得るリスクを知り、不足する箇所を独自の対策で補いましょう。
Google フォーム利用時に考慮しなければならない3つのセキュリティ視点
Google フォームは、個人情報を入力してもらうケースがあるという点で、その他のWebアプリケーションと比べてもセキュリティ対策の意識が重要です。
Google フォームを運用する際には、主に3つの視点に分けてセキュリティを考える必要があります。
ひとつはGoogle が施している対策、もうひとつは自社でできるサイバーセキュリティ対策、最後のひとつはヒューマンエラーです。
Google の対策
Webアプリケーションを利用するにあたっては、サービスを提供しているベンダーがどんなセキュリティ対策を行っているかを知ることは重要です。
Webアプリケーションはクラウド経由で利用するサービスであり、基本的なサイバーセキュリティをベンダーに依存することになるためです。
自社PCの対策
Google フォームを利用するのは1台1台の自社のPCであるため、自社でできるサイバーセキュリティ対策も重要です。
悪意のある攻撃者が情報を盗もうと思ったとき、セキュリティが堅牢なベンダーを狙うより、利用している一般企業を狙ったほうが簡単です。
こうした隙を狙われないよう、日頃から対策を行い、従業員のセキュリティ意識を醸成していく必要があります。
ヒューマンエラーの対策
Google フォームを扱う上では、サイバーセキュリティとあわせてヒューマンエラーの対策も非常に重要です。
なぜなら、詳しくは本記事の後半でご紹介しますが、Google フォーム関連の個人情報流出事件の多くはヒューマンエラーが原因で起きているためです。
Google フォームの主なセキュリティ5つ
Google フォームは、無料で使えるツールでありながら、比較的セキュリティの安全性は高いといわれています。その理由は、以下のようなセキュリティ対策が施されているためです。
- SSL/TLS化
- 24時間・365日の監視体制
- アカウントのセキュリティ管理・設定のサポート
- マルウェア防止
- セキュリティソリューションの共有
SSL/TLS化
Google フォームはセキュリティ対策として、SSL/TLSを採用しています。SSL/TLSとは、Webサイト上でデータを送受信する際に暗号化を施し、ネットワーク間のデータ盗用や流出を防止するセキュリティ技術です。
SSL/TLSが導入されているGoogle フォームでは、住所やパスワード、クレジットカード番号などの情報は暗号化されるため、第三者が情報を盗もうと試みても簡単には盗めなくなります。
24時間・365日の監視体制
Google フォームはクラウドで管理されており、24時間365日体制で常時監視されています。
一般的に、Google フォームのようなクラウドサービスは、システムやセキュリティがサービス提供者のサーバー(この場合はGoogle のサーバー)に依存するため、トラブルが起きても利用者が認識しにくいのが欠点です。
一方、Google フォームは高度なプログラムやAIによって常時監視されており、システムやサーバーに異常があれば即座に発見できます。さらに、Gmailと連動した迅速な報告体制によってトラブルが起きた場合には利用者に通知され、即座に対処できる仕組みが採られています。
アカウントのセキュリティ管理・設定のサポート
Google のサービスは、Google フォーム以外にChromeブラウザやYouTube、Gmail、Google ドライブなど多岐に渡ります。1つのアカウントに各サービスが紐づいているため、問題が起きないよう強固なセキュリティ体制が敷かれています。
さらにアカウントのセキュリティを強固にするためにも、利用者側でも以下のような設定をしておくと良いでしょう。
- アクティビティ管理:アカウント別のサービス紐づけ、履歴データの削除など
- プライバシー診断:アカウントのセキュリティレベルをチェックする
- 二段階認証:ログインするための情報を増やして第三者のログインを防ぐ
- デバイスロック:保有端末が紛失・盗難に遭った場合にロックをかける
マルウェア防止
Google フォームを含むすべてのGoogle サービスには、マルウェアを防止するためのプログラムが実装されています。
マルウェアとは、不正な意図を持って開発されたソフトウェアやプログラムコードのことです。かつてはコンピュータウイルスと呼ばれていましたが、現在コンピュータウイルスはマルウェアの一種とみなされており、他には「トロイの木馬」や「ランサムウェア」などがあります。企業にとってはランサムウェアの被害が非常に深刻で、暗号化されたデータを人質に金銭などを要求されます。
Google のマルウェア防止プログラムは、主に悪質なソフトウェアをダウンロードする際に警告を表示します。マルウェアの侵入を未然に防ぐことができるのは大きな強みです。
マルウェアについては、以下コラムにて詳しく解説しています。
セキュリティソリューションの共有
Google では、セキュリティ報告を行った人に対するロイヤリティ制度を設けています。これは過去に起こったトラブルとその解決策をGoogle と利用者間で共有し合い、さらなるセキュリティ体制の強化につなげようとする仕組みです。
例えば、Google サービスを使用中、閲覧履歴が削除できないといった脆弱性を発見したとします。その内容をGoogle に報告すると、一定の条件下で報奨金を受け取れる仕組みです。
この制度があるおかげで、サービス利用者はロイヤリティを獲得するために積極的にGoogle の脆弱性を提案するようになります。結果、Google サービス全体のセキュリティが向上し、すべての利用者にメリットをもたらすのです。
独自にできるGoogle フォーム5つのセキュリティ対策
ここからは、Google フォームの利用者が独自にできる5つのセキュリティ対策を解説します。企業におけるセキュリティポリシーを遵守するためにも、これらを意識した取り組みを行いましょう。
- ファイアウォール
- WAF
- IPS
- Webサイト全体をSSL/TLS化
- reCAPTCHA
ファイアウォール
ファイアウォールとは、不正なプログラムの侵入を防火壁のようにシャットダウンするセキュリティシステムです。
ファイアウォールはインターネットと企業のネットワークの間に設置し、ポートやIPアドレスなど事前に定めたルールに従い不正なプログラムの侵入を防ぎます。空港やオフィスに設置されるセキュリティゲートのようなイメージです。
ネットワークを通過する情報が不正なプログラムと判断された場合は、情報はシャットダウンされ、管理者に通知されます。専用機器の設置やセキュリティソフトのインストールにより導入できます。
なおファイアウォールは極めて一般的なセキュリティ対策のひとつであり、ノートンやウイルスバスターなどのセキュリティソフトはもちろん、WindowsやMacなどのOSに標準で搭載されているセキュリティシステムでもファイアウォールの機構でインターネット通信からPCを保護しています。
WAF
WAFとは、Web Application Firewallの略称で、Webアプリケーションを動かしているサーバーとネットワークの間に立って悪意ある攻撃から保護する手段です。WAFが保護する対象はサーバー側のプログラムであり、Webアプリケーション(Webサイト)を運用している企業がセキュリティ対策として導入します。
Google フォームを利用する企業としては、自社Webサイトに設置して使用するケースが多いと考えられます
フォームへの入力には個人情報が含まれることがあるため、WAFにてWebサイトをしっかりと保護することが重要です。クラウドサーバーを利用している場合は、サーバーの運営会社がどのようなセキュリティ対策を行っているのか確認してみるのがいいでしょう。
IPS
IPSとはIntrusion Prevention Systemの略称で、ネットワーク間の不正な通信を未然に排除するセキュリティシステムです。IPSは、ファイアウォールと同様にネットワークに導入される仕組みで、通信内容を監視して不正アクセスを検知、遮断します。
ファイアウォールは仕組み上、どうしても通過させてしまう攻撃がありますが、IPSはそれらを「不審なふるまい」として検知することでブロックする役割を持ちます。一方で、誤検知により企業の業務に支障をきたすケースがある側面もあります。
Webサイト全体をSSL/TLS化
先述の通り、Google フォームにはSSL/TLSが実装されています。しかし、フォームを設置するWebサイトにSSL/TLSが施されていないと、情報漏洩のリスクは抑制できません。
SSL/TLSの基本的な役割は、Webサイトを表示するユーザー側のブラウザと、Webサイトのデータを保管しているサーバーとの通信を暗号化する点にあります。SSL/TLS化されていれば、第三者から盗み見られてもその通信は暗号化されているため、情報漏洩などのセキュリティリスクは基本的に回避されます。そのため、Webサイト上で個人情報を入力するページはSSL/TLSが必須であり、そうでないページを含むすべてのページもSSL/TLSすることが推奨されています。
なお、SSL/TLSによる保護がない場合、例えばGoogle ChromeではURLバーの左側に「保護されていない通信」と表示され、安全なWebサイトではないことが閲覧者からすぐわかるようになっています。また、SEOにおいてもSSL/TLSは重要であり、SSL/TLSによる保護がなければ検索エンジンの表示順位においても不利になります。
SSL/TLSのさらに詳しい内容や導入方法については、以下コラムをご覧ください。
reCAPTCHA
reCAPTCHA(リキャプチャ)はGoogle が提供するサービスであり、フォームへのログイン画面や情報の送信画面で、「私はロボットではありません」というチェックを入れる仕組みです。reCAPTCHAを導入すると、botからの悪質な攻撃を未然に防げます。
具体的には、WebサイトやLPから入力フォームに進んでもらう前にreCAPTCHAのページを置き、その後Google フォームで作成したフォームにて入力してもらうという手順があります。
絶対に避けたいヒューマンエラー
Google フォームのサービスとしてのセキュリティは、世界を代表するテック企業であるGoogle が提供しているだけあり、非常に堅牢です。利用する側も油断なくセキュリティ対策を行っていれば、個人情報漏えいなどの事件はなかなか起きにくいといえるでしょう。
一方で、Google フォームを運用するにあたってはヒューマンエラーへの注意が非常に重要です。というのも、Google フォームの設定にある「結果の概要を表示する」のトグルをオンにした場合、収集した回答内容がすべての回答者から閲覧できる状態になるのです。
結果を共有してもいいフォームなら問題ありませんが、参加申し込みなどで個人情報が含まれていた場合、この設定ひとつで個人情報流出となります。
チームで十分なチェック体制を整え、ヒューマンエラーを起こさないように十分な注意が必要です。
Google フォームのセキュリティ対策が重要な理由
Google フォームのセキュリティ対策が重要な理由は、次の3つです。
- 情報漏洩やデータベース改ざんのリスクがあるため
- 顧客からの信頼喪失を避けるため
- トラブル時の多額の費用発生を避けるため
本章でわかりやすく解説します。
情報漏洩のリスクがあるため
Google フォームでセキュリティ対策が必要な理由は、情報漏洩のリスクがあるためです。
一般に、フォームで収集する情報には、名前や住所、連絡先などの個人情報が含まれます。悪意のある第三者からの攻撃で個人情報が流出してしまうと、重大な事件となります。
また、前項でもご紹介したように、Google フォームでは設定1つですべての回答者が回答内容を閲覧できるようになります。このヒューマンエラーも、Google フォームを使用する際には絶対に避けなければなりません。
顧客からの信頼喪失を避けるため
企業が売上を上げ続けるためには、顧客からの信頼が必要不可欠です。しかし、個人情報を流出させてしまった場合、セキュリティ事故の規模の大小にかかわらず、個人情報の流出やデータ改ざんという事実は、顧客からの信頼喪失につながります。
一度信頼を失うと関係悪化により企業にとって致命的な業績低下を招く可能性も考えられるでしょう。
トラブル時の多額の費用発生を避けるため
仮に個人情報の流出事故が起こった場合、企業に対する顧客の信頼喪失のほかにも、事故を収束させるための多額のコストが発生してしまいます。
例えば、被害状況の調査費用やシステムの修復代、被害に遭った人に支払う損害賠償などです。
設定ミスにより過去におきたGoogle フォームの情報漏洩事例
Google フォームはセキュリティ対策が施されていますが、過去に情報漏洩が起きています。
回答者99名の氏名が第三者から閲覧できる状態に
2021年度末、小中学校の退職予定者を対象にGoogle フォームを使って実施したアンケートから、回答者の氏名が流出する事故が起きました。回答内容は流出していませんが、過去の回答者99名の氏名が、他の回答者が閲覧できる状態となりました。
初期設定では無効となっている回答概要の表示設定を、誤って有効化したことが原因とみられています。セキュリティ対策と同時に、設定ミスなどのヒューマンエラーにも注意が必要です。
申込者の氏名・電話番号などが第三者から閲覧可能な状態に
2022年、イベントへの参加を募る申し込み用のGoogle フォームを公開したところ、フォームの設定ミスによる個人情報の流出が発生しました。申し込み完了後に表示される「前回の回答の表示」のリンクをクリックすると、過去の回答者の情報を閲覧できる設定になっていたために起こった事故です。
イベントへの申し込みフォームへ入力した106名の氏名・電話番号・メールアドレス・企業名と部署名の情報が流出する事態となりました。申込者からの報告によって発覚し、申し込みのあった106名へお詫びのメール連絡を入れています。
幸いにも、本件による重大な被害発生の報告はありませんでしたが、こうした些細なミスは企業の信頼を失う要因になりかねません。
Google フォームではさまざまな公開設定があるため、本公開前にテストを行うなど入念に確認しましょう。
Google フォームのセキュリティを整備し信頼感の醸成を
Google フォームは無料ツールであるにもかかわらず、SSL/TLS化や24時間365日の監視体制といった、大手企業ならではのセキュリティが整っています。しかし、過去には情報漏洩が起きており、決して完璧とはいえません。
情報漏洩などのセキュリティ事故を未然に防ぐためにも、ファイアウォールやWAFといった利用者自身で取り組める対策を行い、セキュリティ対策を盤石にすることが大切です。Google フォームの備えを万全にし、顧客からの信頼感を高めましょう。
フォーム
