-1.jpeg?width=48&height=48&name=DSC_2387%20(1)-1.jpeg){kind=small}
Google フォームを使えば、商品の問い合わせやアンケートなど、無料でさまざまなフォームを作成できます。手軽に利用できる一方で、セキュリティ面に不安を感じている方も多いのではないでしょうか。
企業ウェブサイトのためのセキュリティーチェックリスト
HubSpotでは、セキュリティー企業Sophosのエキスパートと共同で、ビジネスにおける基本的な安全策の徹底に役立つガイドとして、セキュリティーチェックリストを作成しました。
- ウェブサイトの安全性を保つためのベストプラクティス
- 業務データと顧客データの保護に向た対策
- フィッシング攻撃を判別し、回避する方法
- オンライン会議・イベントの前に押さえたい安全策
今すぐダウンロードする
全てのフィールドが必須です。
フォームツールは脆弱性を狙われることが多いため、セキュリティ対策を万全にすることが重要です。特に、個人情報が流出するトラブルは絶対に避けなければなりません。
本記事では、Google フォームが持つセキュリティと独自で行えるセキュリティ対策を解説します。Google フォームのセキュリティと発生し得るリスクを知り、不足する箇所を独自の対策で補いましょう。
Google フォームの主なセキュリティ5つ
Google フォームは、無料で使えるツールでありながら、比較的セキュリティの安全性は高いといわれています。その理由は、以下のようなセキュリティ対策が施されているためです。
- SSL/TLS化
- 24時間・365日の監視体制
- アカウントのセキュリティ管理・設定のサポート
- マルウェア防止
- セキュリティソリューションの共有
SSL/TLS化
Google フォームはセキュリティ対策として、SSL、TLSを採用しています。SSL、TLSとは、Webサイト上でデータを送受信する際に暗号化を施し、ネットワーク間のデータ盗用や流出を防止するセキュリティ技術です。
SSLやTLSが導入されているフォームでは、住所やパスワード、クレジットカード番号などの情報は暗号化されるため、第三者が情報を盗もうと試みても簡単には盗めなくなります。
一方でSSL化、TLS化されていない場合、情報を盗まれるリスクが高まるため注意が必要です。
24時間・365日の監視体制
Google フォームはクラウドで管理されており、24時間365日体制で常時監視されています。
一般的に、Google フォームのようなクラウドサービスは、システムやセキュリティが各サーバーに依存するため、トラブルが起きても利用者が認識しにくいのが欠点です。
一方、Google フォームは高度なプログラムやAIによって常時監視されており、システムやサーバーに異常があれば即座に発見できます。さらに、Gmailと連動した迅速な報告体制によってトラブルが起きた場合には利用者に通知され、即座に対処できる仕組みが採られています。
アカウントのセキュリティ管理・設定のサポート
Google のサービスは、Google フォーム以外にChromeブラウザやYouTube、Gmail、Google ドライブなど多岐に渡ります。1つのアカウントに各サービスが紐づいているため、問題が起きないよう強固なセキュリティ体制が敷かれています。
さらにアカウントのセキュリティを強固にするためにも、利用者側でも以下のような設定をしておくと良いでしょう。
- アクティビティ管理:アカウント別のサービス紐づけ、履歴データの削除など
- プライバシー診断:アカウントのセキュリティレベルをチェックする
- 二段階認証:ログインするための情報を増やして第三者のログインを防ぐ
- デバイスロック:保有端末が紛失・盗難に遭った場合にロックをかける
マルウェア防止
Google フォームを含むすべてのGoogle サービスには、マルウェアを防止するためのプログラムが実装されています。
マルウェアとは、不正な意図を持って開発されたソフトウェアやプログラムコードのことです。ひとたびネットワークにマルウェアが侵入してしまうと、アカウントの不正取得やデータ書き換え、不正アクセスといったセキュリティトラブルに発展する可能性があります。
Google のマルウェア防止プログラムは、主に悪質なソフトウェアをダウンロードする際に警告を表示します。マルウェアの侵入を未然に防ぐことができるのは大きな強みです。
セキュリティソリューションの共有
Google では、セキュリティ報告を行った人に対するロイヤリティ制度を設けています。これは過去に起こったトラブルとその解決策をGoogle と利用者間で共有し合い、さらなるセキュリティ体制の強化につなげようとする仕組みです。
例えば、Google サービスを使用中、閲覧履歴が削除できないといった脆弱性を発見したとします。その内容をGoogle に報告すると、一定の条件下で報奨金を受け取れる仕組みです。
この制度があるおかげで、サービス利用者はロイヤリティを獲得するために積極的にGoogle の脆弱性を提案するようになります。結果、Google サービス全体のセキュリティが向上し、すべての利用者にメリットをもたらすのです。
独自にできるGoogle フォームのセキュリティ対策6つ
ここからは、Google フォームの利用者が独自にできる6つのセキュリティ対策を解説します。企業におけるセキュリティポリシーを遵守するためにも、これらを意識した取り組みを行いましょう。
- ファイアウォール
- WAF
- IPS
- Webサイト全体をSSL/TLS化
- reCAPTCHA
- サーバーを安全に保つ
ファイアウォール
ファイアウォールとは、不正なプログラムの侵入を防火壁のようにシャットダウンするセキュリティシステムです。
ファイアウォールはインターネットと企業のネットワークの間に設置し、ポートやIPアドレスなど事前に定めたルールに従い不正なプログラムの侵入を防ぎます。空港やオフィスに設置されるセキュリティゲートのようなイメージです。
ネットワークを通過する情報が不正なプログラムと判断された場合は、情報はシャットダウンされ、管理者に通知されます。専用機器の設置やセキュリティソフトのインストールにより導入できます。
WAF
WAFとは、Web Application Firewallの略称で、ファイアウォールで検知できない不正プログラムを発見するセキュリティシステムです。WAFは、ポートを通過するソフトやプログラムの中身をリアルタイムで読み取り、データを蓄積します。蓄積したデータからソフトやプログラムの悪意の有無を判別し、不正なものだけを遮断する仕組みが採られています。
ファイアウォールはネットワークレベルのセキュリティ対策ですが、WAFはネットワークを通過するWebアプリの内容に踏み入った対策である点で異なります。未発見の脆弱性にも対応できることから、インターネットバンキングやECサイトなど、個人情報やクレジットカード情報を入力するサービスのセキュリティ対策として有効です。
IPS
IPSとはIntrusion Prevention Systemの略称で、ネットワーク間の不正な通信を未然に排除するセキュリティシステムです。IPSは、ファイアウォールと同様にネットワークに導入される仕組みで、通信内容を監視して不正アクセスを検知、遮断します。
IPSと似たセキュリティ対象にファイアウォールとWAFがありますが、次のように働きが異なります。
- WAF:ネットワーク上の不正な内容のWebアプリを遮断
- ファイアウォール:ネットワーク上の不正なプログラムの侵入を遮断(ポートとIPアドレスでのフィルタリング)
- IPS:ミドルウェアやOSなどプラットフォームへの不正アクセスを遮断
Webサイト全体をSSL/TLS化
先述の通り、Google フォームにはSSL/TLSが実装されています。しかし、フォームを設置するWebサイトにSSL/TLSが施されていないと、情報漏洩のリスクは抑制できません。
そのため、Webサイト全体をSSL/TLS化させることが重要です。サイト全体のセキュリティが向上するほか、SEO対策としても効力を発揮します。
reCAPTCHA
reCAPTCHA(リキャプチャ)はGoogleが提供するサービスであり、フォームへのログイン画面や情報の送信画面で、「私はロボットではありません」というチェックを入れる仕組みです。reCAPTCHAを導入すると、botからの悪質な攻撃を未然に防げます。
サーバーを安全に保つ
Google フォームを安全に利用するためには、フォームを設置するサイトのサーバーを強固にすることが大切です。重要なデータはサーバーに保管されているため、サーバーのセキュリティが甘いと情報漏洩の原因になります。
独自にサーバーを構築する場合は、上述したファイアウォールやWAFなどの仕組みを取り入れましょう。レンタルサーバーやクラウドサーバーを利用する場合は、複数のサーバーのセキュリティを比較して安全性を検討するのがおすすめです。
Google フォームのセキュリティ対策が重要な理由
Google フォームのセキュリティ対策が重要な理由は、次の3つです。
- 情報漏洩やデータベース改ざんのリスクがあるため
- 顧客からの信頼喪失を避けるため
- トラブル時の多額の費用発生を避けるため
本章でわかりやすく解説します。
情報漏洩やデータベース改ざんのリスクがあるため
Google フォームでセキュリティ対策が必要な理由は、個人情報の流出と共に、データベース改ざんのリスクがあるからです。
一般に、フォームで収集する情報には、名前や住所、連絡先などの個人情報が含まれます。過去には、フォーム作成時の設定ミスによって個人情報が漏洩する事件がありました。
また、データベースの改ざんによって顧客情報が書き換えられると、資料請求を希望する人に資料を送付できない、会員登録の案内メールが別のメールアドレスに送信されるといった二次被害が発生する可能性があります。
顧客からの信頼喪失を避けるため
企業が売上を上げ続けるためには、顧客からの信頼が必要不可欠です。しかし、個人情報を流出させてしまった場合、セキュリティ事故の規模の大小にかかわらず、個人情報の流出やデータ改ざんという事実は、顧客からの信頼喪失につながります。
一度信頼を失うと関係悪化により企業にとって致命的な業績低下を招く可能性も考えられるでしょう。
トラブル時の多額の費用発生を避けるため
仮に個人情報の流出事故が起こった場合、企業に対する顧客の信頼喪失のほかにも、事故を収束させるための多額のコストが発生してしまいます。例えば、被害状況の調査費用やシステムの修復代、被害に遭った人に支払う損害賠償などです。
設定ミスにより過去におきたGoogle フォームの情報漏洩事例
Google フォームはセキュリティ対策が施されていますが、過去に情報漏洩が起きています。
回答者99名の氏名が第三者から閲覧できる状態に
2021年度末、小中学校の退職予定者を対象にGoogle フォームを使って実施したアンケートから、回答者の氏名が流出する事故が起きました。回答内容は流出していませんが、過去の回答者99名の氏名が、他の回答者が閲覧できる状態となりました。
初期設定では無効となっている回答概要の表示設定を、誤って有効化したことが原因とみられています。セキュリティ対策と同時に、設定ミスなどのヒューマンエラーにも注意が必要です。
申込者の氏名・電話番号などが第三者から閲覧可能な状態に
2022年、イベントへの参加を募る申し込み用のgoogleフォームを公開したところ、フォームの設定ミスによる個人情報の流出が発生しました。申し込み完了後に表示される「前回の回答の表示」のリンクをクリックすると、過去の回答者の情報を閲覧できる設定になっていたために起こった事故です。
イベントへの申し込みフォームへ入力した106名の氏名・電話番号・メールアドレス・企業名と部署名の情報が流出する事態となりました。申込者からの報告によって発覚し、申し込みのあった106名へお詫びのメール連絡を入れています。
幸いにも、本件による重大な被害発生の報告はありませんでしたが、こうした些細なミスは企業の信頼を失う要因になりかねません。googleフォームではさまざまな公開設定があるため、本公開前にテストを行うなど入念に確認しましょう。
Google フォームのセキュリティを整備し信頼感の醸成を
Google フォームは無料ツールであるにもかかわらず、SSL/TLS化や24時間365日の監視体制といった、大手企業ならではのセキュリティが整っています。しかし、過去には情報漏洩が起きており、決して完璧とはいえません。
情報漏洩などのセキュリティ事故を未然に防ぐためにも、ファイアウォールやWAFといった利用者自身で取り組める対策を行い、セキュリティ対策を盤石にすることが大切です。Google フォームの備えを万全にし、顧客からの信頼感を高めましょう。
