「Googleフォーム」の導入を検討しているものの、セキュリティに不安を抱き、導入をためらってはいないでしょうか。この記事では、Googleフォームが悪用される事例とともに、Googleフォームが行っているセキュリティ対策や、Googleフォーム利用時にセキュリティを強化するための自己対策法について解説します。
Googleフォームとは?
「Googleフォーム」とは、Google が提供する無料のフォーム作成ツールです。Googleフォームを利用すれば、用意されているテンプレートを使って、あっという間に入力フォームを作成できます。すぐに使える既存のテンプレートには、たとえばスケジュール確認・イベント参加申込書・業務依頼書・お客様アンケート・評価テストなどがあり、さまざまな用途に対応しています。
Googleフォームは、Googleドライブやスプレッドシートからでも簡単に作成でき、選択式・プルダウン形式・評価スケールなど、回答形式が豊富な点も魅力の一つとなっています。また、Googleフォームでは権限を与えられた人との共同作業も可能です。そして、Googleフォームで得られた回答結果は、自動で集計・グラフ化され、それを共同作業者とリアルタイムで確認できるという点も魅力的です。
Googleフォームのセキュリティ対策が必要な理由
Googleフォームは使い勝手がよく、大変便利なフォーム作成ツールですが、安全に利用するためにはセキュリティ対策が必要です。セキュリティ対策が必要な主な理由としては、「情報漏洩やデータベース改ざんなどのリスクがある」「顧客との信頼関係を維持したい」などが挙げられます。以下、それぞれの理由について簡単に解説します。
情報漏洩やデータベース改ざんなどのリスク
まず、情報漏洩やデータベース改ざんなどのリスクについてですが、フォームに設定される質問事項には多くの場合、氏名や連絡先などの個人情報が含まれるため、回答者は自分の個人情報を入力することになります。この Googleフォームの個人情報を狙った犯罪は、過去にも実際に起きていて、個人情報が流出する被害が出ています。
また、個人情報の流出だけではなく、データベースを改ざんするというサイバー攻撃もあり得ます。データベースを改ざんされると、たとえばそれが注文フォームだった場合、注文者に商品が届かないなどの被害が出て、企業の信用失墜につながるおそれがあります。
顧客との信頼関係の維持
次に、顧客との信頼関係を維持したいという理由についてですが、個人情報の流出やデータベースの改ざんが実際に起きれば、顧客との信頼関係が失われ、その企業の製品やサービスが売れなくなるでしょう。そればかりか被害の実態調査や損害賠償、サイバー攻撃を受けたシステムの修復などに多額の費用もかかってしまいます。信用の失墜は、そのまま企業の致命的な損失に直結するため、何としてでも避けなければなりません。
実際に Googleフォームが悪用される事例も
イギリスにあるコンピュータセキュリティの開発ベンダー「ソフォス」は、フィッシングやマルウェアが、Googleフォームを悪用する手段として使われていることを調査によって明らかにしました。
その調査によれば、攻撃手段として多いのは、Googleフォームのログインページのように見せかけた偽サイトをつくり、それを本物のサイトだと信じたユーザーをターゲットにして、認証情報を入力させてだまし取るフィッシングです。また、詐欺メールの中に仕込まれたリンクから偽サイトに誘導して、パスワードを盗みとる手法なども確認されています。
さらに同調査では、Googleフォームの悪用が非常に簡単であることも指摘されており、AndroidでもWindowsでも、Googleフォームを悪用するマルウェアや潜在的に迷惑なアプリ (PUA)の存在が多数確認されています。
Googleフォームで行なっているセキュリティ対策
それでは、Googleフォームで行っているセキュリティ対策としては、どういったものがあるのでしょうか。以下では、Googleフォームが講じている3つのセキュリティ対策についてご説明します。
SSL / TLS化
1つ目は、SSL/TLS化です。Googleフォームの通信は、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)という暗号通信を用いています。TLSはSSLの後継となるプロトコル(通信手順)の規格で、SSLやTLSは暗号化だけでなく、電子証明書を利用し、なりすましを防ぐという役割も担っています。もし暗号化せずに通信を行ってしまうと、通信を傍受して情報を盗もうと狙っている第三者に、フォームに入力した内容を簡単に傍受・窃取されてしまいます。
SSL/TLS化を行うことで、たとえ第三者に通信を傍受されたとしても、暗号が解読されなければ内容を知られずに済むため、大事な情報を守ることが可能です。
24時間・365日の監視体制
2つ目は、24時間・365日の監視体制です。Googleフォームに限らず、すべての Google サービスは高度なプログラムとAIによって、24時間・365日体制で監視されています。
アカウント管理のサポート
3つ目は、アカウント管理のサポートです。Google にはフォーム以外にもさまざまなサービスがあり、強固なセキュリティ体制が敷かれています。携帯電話やセキュリティキーを用いた二段階認証やセキュリティ診断など、ユーザー側でのセキュリティも徹底されています。
セキュリティをより強固にするためにできること
Googleフォームには堅固なセキュリティ対策が施されていますが、過去に悪用された実例もあり、決して盤石とはいえません。Googleフォームのセキュリティをより強固にするために、ほかに何かできることはないのでしょうか。以下では、独自にできる主なセキュリティ対策を3つご紹介します。
ファイアウォールの設置
1つ目は、ファイアウォールの設置です。ファイアウォールを設置すると、サイバー攻撃や不正なアクセスを仕掛けられたときに、通信を拒否する防護壁の役割を果たすため、個々のコンピュータや社内ネットワークを守ることが可能です。個々のパソコンについては、OSに付属のファイアウォール機能、または導入しているセキュリティ対策ソフトのファイアウォール機能が無効になっていると無意味なので、有効になっていることを必ず確認しましょう。
WAFの導入
2つ目は、WAF(Web Application Firewall)の導入です。WAFは、前述の一般的なファイアウォールでは対応できない、Webアプリケーションに対する攻撃を防ぐための特別なファイアウォールです。顧客情報やクレジットカード情報を扱うWebアプリケーションを外部に公開している場合に、おすすめのセキュリティ対策です。
IPSの導入
3つ目は、IPS(Intrusion Prevention System)の導入です。IPSは、不正な侵入を防止するシステムです。ファイアウォールによって許可された通信の中に異常な通信が混じっていた場合、異常を検知して通信を遮断するため、より通信の安全性が増します。ただし、IPSは誤検知でも通信を遮断し、業務に影響を及ぼしてしまう可能性もあるので、注意が必要です。
まとめ
Googleフォームは、セキュリティ対策がきちんと講じられているフォーム作成ツールですが、過去に悪用された事実もあり、そのセキュリティが盤石であるとはいえません。また、Google が企業などの組織向けに提供している「Google Workspace」についても、高度なセキュリティ対策が講じられていますが、同様に絶対安全とは限りません。もし、Google フォームや Workspace の利用で不安な点がある場合は、株式会社電算システム(DSK)にお気軽にご相談ください。
