お問い合わせフォームに最低限必要なセキュリティ対策│東京のWeb制作会社のWeb制作の関連コラム

Columnコラム

Web制作

お問い合わせフォームに最低限必要なセキュリティ対策

お問い合わせフォームに最低限必要なセキュリティ対策

2015/11/06
このエントリーをはてなブックマークに追加

Webサイトを作るにあたって、絶対に必要なのがお問い合わせフォームです。今回は、Webサイトを初めて制作しようと言う人に向けて、最低限必要なセキュリティ対策についてご紹介したいと思います。

itoi_2015_9-1_001.png

最もポピュラーなセキュリティ対策

Webサイトで最もポピュラーなセキュリティ対策は「XSS対策」「CSRF対策」「SQLインジェクション対策」「クリックジャッキング対策」です。
それぞれの言葉は初めて聞いたかもしれませんので、説明をしていきます。(IT用語辞典 e-Wordsより引用)

・XSS(クロスサイトスクリプティング)[ Cross site scripting ]
クロスサイトスクリプティングとは、ネットワークを通じた攻撃手法の一つで、保安上の弱点(脆弱性)のあるWebサイトを踏み台に、悪意のあるプログラムをそのサイトの訪問者に送り込む手法。また、そのような攻撃に利用される脆弱性のこと(XSS脆弱性)。

・CSRF(クロスサイトリクエストフォージェリ)[ Cross site request forgeries ]
CSRFとは、Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法。

・SQLインジェクション(エスキューエルインジェクション)[ SQL Injection ]
SQLインジェクションとは、データベースと連動したWebサイトで、データベースへの問い合わせや操作を行うプログラムにパラメータとしてSQL文の断片を与えることにより、データベースを改ざんしたり不正に情報を入手する攻撃。また、そのような攻撃を許してしまうプログラムの脆弱性のこと。

・クリックジャッキング[ Click jacking ]
クリックジャッキングとは、Webブラウザの操作を乗っ取り、ユーザに意図しない操作を行わせる攻撃手法。

お問い合わせフォームなどの入力フォームが用意されていると、上記のような不正アクセス・書き込みがされてしまう可能性があります。
セキュリティ対策を気にされる方であれば、マストで対策するものですね。

今回は、その中でもXSS対策とCSRF対策についてご紹介したいと思います。

XSS対策

XSS対策でよくあるのは、入力された内容を全てHTMLエンティティでプログラム内に取り込む、という対策です。
私がやるPHP言語での対策は「htmlspecialchars」という関数を用いて対策します。
つまり、お問い合わせフォームの入力欄に、JavaScriptコードなどを埋め込まれたとき、通常であればその関数を実行してしまいますが、ご紹介した関数を使えば、特殊文字を通常のテキストのような扱いをしてくれるので、安心です。

もし、PHP言語を利用してお問い合わせフォームを開発する際は、是非ご利用ください。

CSRF

CSRFの具体例は、お問い合わせフォームの受領通知メールに、不正にリダイレクトの処理を埋め込まれ、いつの間にか罠(トラップ)が仕込まれたサイトに移動してしまい、ウイルスに侵されるということです。
受領通知メールのヘッダーに特定のコードが埋め込まれ、メールを開封したらサイトが表示されていたということが起こります。

サイト運営者側に直接的な被害もありますが、利用者となるユーザー側にも被害が出てきます。こちらは、メールのヘッダー部分に外部プログラムに遷移する処理を加えるのを禁ずるように設定を行わなければなりません。

まとめ

いかがでしたでしょうか?
今回は、Web制作の初心者の方々に向けたセキュリティ対策の基本についてご紹介いたしました。

セキュリティを考えることも勿論大切ですが、その問い合わせがくるアクセス数を上げるために、WEBマーケティングを活用してはいかがでしょうか?

そのWEBマーケティングの手法はとても進化してきています。ティファナのUMなら、個人情報をとらなくてもアクセスを向上させます! SEOや売り上げに悩んだらぜひ一度覗いてみてくださいね。

ホームページ制作でお困りの方はホームページ制作会社ティファナにご相談ください!

お問い合わせはこちらから

関連するサービス

ホームページ制作
Webセキュリティ対策

脆弱性診断
Webサイト改ざん検知サービス

text_totop