アフィテク

アフィ収入月10万円以下の初心者を対象に『アフィリエイトで稼ぐテクニック』を発信!

問い合わせフォームのセキュリティ対策は不要か?実はSSL対応はほとんど意味が無い件

   

お問い合わせフォームにセキュリティ対策でSSL暗号化通信(現在はTLSが主流)を利用しているサイトは多いと思います。暗号化通信は企業の信用問題に関わることなので大半の企業が採用していることでしょう。

その当たり前のように使われているお問い合わせフォームのSSL暗号化通信が実は無意味である可能性が高いことをご存知でしょうか?

お問い合わせフォームのSSL対応は意味がない理由

ただ漠然と「SSLを使えば暗号化されるから使えば安心でしょ」と思っている方が多いですが、SSLはあくまでもブラウザとサーバー間の通信を暗号化する技術です。たとえば会員サイトのログイン画面などにはSSLは効果を発揮します。

しかし、お問い合わせフォームには効果を発揮しないケースが大半です。何故かというとお問い合わせフォームはブラウザとサーバーに加え、メーラー(メールクライアント)との通信が必要になるからです。SSLではサーバーとメーラー間の暗号化はサポートされません。多くのお問い合わせフォームはメーラーに対して入力内容が送信されるものが大半ですからセキュリティ的にアウトになります。

セキュリティ的に問題のないお問い合わせフォームを作る方法

低予算で作られたメールフォームのほとんどはフォームで入力した内容がそのままメーラーに届くという仕様になっています。セキュリティ的にアウトになるのはメール本文に個人情報等が掲載されている為ですので、この仕様のメールフォームを使う以上はセキュリティの穴はふさがりません。

この問題を解決するためには、メーラーの利用はあくまで簡単な通知(例えば「お問い合わせがありました。管理画面で確認してください」という最低限の内容)だけにとどめておき、お問い合わせ内容詳細はデータベースやCSVを利用しWeb上で確認する仕様だと安全です。もちろん、それにはメール管理用のデータベースやCMSも必要になりますから予算との相談になりますが・・・。

色々とセキュリティ対策を施しても結局のところユーザーにはわからない

上記で挙げた対応やSSL対応などを施しても脆弱性は見つかりますし、ユーザー側からしたら「このサイトのセキュリティがしっかりしているか」なんて一切分からないんですよね。分かるのはSSL対応の有無だけです。

企業側としてはSSL対応をすればユーザーに信頼性をアピールすることが出来るため、可能な限り対応すべきです。

一方でユーザー側はSSL対応がされているサイトでも疑いの目を持つことが必要です。何故ならSSL対応で安全であることをアピールして手に入れた個人情報を悪用する悪徳業者もいるからです。

そもそもお問い合わせフォームにはSSLは必要ない

個人的な考えではお問い合わせフォーム程度であればSSL対応は不要だと思います。

企業であればSSLが無いことはブランドイメージの低下につながりますが、個人レベルであれば気にする必要は無いと思います。

わざわざお問い合わせフォームだけの為に、データベース構築やCMS作成をするのは割に合わないと思いますし、平文のお問い合わせフォームに意味の無いSSLをかけるのも「人を騙している」感じがしてあまり気持ちが良いものではありません。だったらいっそのことSSL対応を止めてしまったほうが良いと私は思います。

そもそも個人レベルで使うお問い合わせフォームに重要な機密情報や詳細な個人情報を記載する必要性がありませんから、「重要な情報は書かないでください」と注釈をつければ十分だと思います。本名を記述する必要性もありませんからね。

唯一の問題点はメールアドレスくらいでしょうか。「スパム沢山きたら嫌だな」と思うでしょうがそのくらいは妥協すべきです。というのもどこにも登録した覚えが無いのにスパムメールが来たりすることは珍しくないですから、それほど気にすることは無いと思います。Gmailなどなら迷惑メールフィルタが強力なのでほとんどスパムは気になりませんしね。

おわりに

結構有名どころでもSSL使って無いケースが多いんですよね。例えばWordPressにcontactform7という有名なメールフォームプラグインがあるのですが、その公式サイトのお問い合わせはSSL対応していません。また、掲示板やブログのコメント欄でもメールアドレスの入力を求められる場合がありますが(当ブログのコメント欄もそうです)、SSLに対応していない場合が大半です。

お問い合わせフォームでも重要機密情報を扱うのであればセキュリティ対策は徹底する必要がありますが個人レベルのご意見ご感想とかなら必要ないと思います。対策するかどうかは扱う情報によって適切に変えていくのがベターだと思います。

ちなみに私はフロントエンドのエンジニアであり、サーバー側の知識はそこまで無いので間違いがあるかもしれません。その際はご指摘いただけるとありがたいですm(_ _)m

 - Web制作テクニック ,