Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい | 中小企業サイバーセキュリティフォローアップ事業

令和6年度中小企業サイバー
セキュリティフォローアップ事業

メルマガ登録
サイトマップ
文字サイズ

2024.09.16

Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい

今回は、Webアンケートやイベントなどの申し込みフォーム、会員登録画面などの危険性について説明します。

皆さんはセミナーへの参加申し込みや会員登録を行う際に、Webページの案内に従って、フォームに個人情報を入力したことはありませんか?

現代社会において、インターネットから様々な申し込みや登録を行うことは日常的なこととなっています。

Webフォームの作成と利用状況

下記画像は、実在する申し込みフォームではなく、本記事の為に作成したサンプルです。


このようなインターネット上で利用できるWebフォームは、無償または低コストで簡単に作成できるため、多くの企業をはじめ様々な組織が利用しています。代表的なものにGoogleフォームが挙げられます。

皆さんの会社でも、利用したことがあるかもしれません。

しかし、その使いやすさが裏目に出ることもあります。簡単な作成方法ゆえに、設定ミスが発生しやすいのです。

利用者と管理者の役割

Webフォームには情報を登録する利用者と、その情報を管理する管理者(フォームを設置する側)が存在します。

(1)利用者(情報を登録する人):自分の情報のみを入力。本来、他の利用者が登録した情報は見られない

(2)管理者(主催者):登録者全員の情報を見ることができる


しかし設定を間違えると、利用者に他の利用者の登録情報が見えてしまうことがあります。

近年発生している個人情報漏えい事件の中には、このWebフォームに起因するものが多数あります。

実際に発生した事例を1つご紹介します。


【事例:イベント申し込みフォームでの情報漏えい】

公益社団法人自動車技術会は、イベントへの参加登録を行う登録画面(Webフォーム)において、アクセス権限に設定ミスがあり、本来イベント事務局しか見ることができない登録者に関する個人情報を誰もが閲覧できる状態にしてしまったことを明らかにしました。

同会によれば、申し込み登録者の個人情報(氏名、メールアドレス、所属する組織名など)をインターネット経由で閲覧できる状態となっていたとのことです。参加申込みに「Googleフォーム」を利用した際、共同編集者が「URLリンクを知っている全員」に設定されていたため、URLがわかれば誰でも個人情報を閲覧できる状態になっていたようです。

引用元サイト:Security Next  https://www.security-next.com/159389

Webフォームの危険性

ここでは、Webフォームの権限設定ミスがもたらす主な危険性について解説します。

(1)情報漏えいのリスク

権限設定ミスにより、第三者が機密情報にアクセスできる状態になると、個人情報や企業の重要情報が漏えいする危険性があります。

(2)企業の信頼失墜

顧客情報が漏えいすると、企業の信頼が損なわれる可能性があります。これは、顧客からの信頼を失うだけでなく、ブランドイメージの低下にもつながります。

(3)法的リスク

個人情報保護法やGDPRなど、各国のデータ保護規制に違反する可能性があり、罰金や訴訟リスクを抱えることになります。

※GDPR:一般データ保護規則。EU加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタインの個人データ保護を規定する法。

正しい権限設定のためのポイント

権限設定を正しく行うためには、以下のポイントに注意することが重要です。

(1)正しい手順の確認

Webフォームは、誰でも簡単に利用できるように操作説明書を読まなくても直感的に操作・作成できるようになっています。

しかし、正しい手順を理解しないまま「何となく」で操作してしまうと、設定を誤り情報漏えいに繋がる可能性があります。必ず公式のマニュアルやヘルプ情報を確認しながら作業を行いましょう。

(2)複数人でのチェックを行う

作成したフォームは必ず複数人でチェックを行いましょう。また、実際の情報を登録してみて、正しく画面が動くか、他人の登録情報などが閲覧できないか等、チェックを行います。

「自分はシステムに詳しくないから、若い人に任せよう」で組織として確認を行わないことは最も危険な行為です。

(3)最小権限の原則

必要最低限の権限のみを付与することで、アクセス制御を厳格に行います。例えば、データ入力者にはデータ閲覧権限を与えず、管理者だけが全てのデータにアクセスできるようにします。

(4)定期的な権限確認

定期的に権限設定を見直し、不必要な権限が付与されていないか確認します。


情報漏えいは企業にとって重大な問題です。しかし、適切な権限設定とセキュリティ対策を講じることで、そのリスクを大幅に低減することが可能です。

常に最新のセキュリティ情報を把握し、適切な対策を継続的に実施することが重要です。

企業の信頼を保ち、法的リスクを避けるためにも、これらの対策は欠かせないものになります。

記事一覧に戻る

おすすめ記事

2024.08.23

3分でわかる!用語解説
「情報セキュリティ3要素(機密性、完全性、可用性)」 「情報セキュリティ3要素(機密性、完全性、可用性)」
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本メ…
初級編 用語編

2024.09.16

ホットトピックス
Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい
今回は、Webアンケートやイベントなどの申し込みフォーム、会員登録画面などの危険性について説明します。 皆さんはセミナーへの参加申し込みや会員登録を行う際に、Webページの案内に従って、フォームに個人情報を入力したことは…
初級編 知識編

2024.08.20

ビジネスヒント
DXでここまで変わる!売り上げアップと深い関係の「データドリブン」とは? DXでここまで変わる!売り上げアップと深い関係の「データドリブン」とは?
メーカー、小売、飲食、と幅広い分野でDXを導入する動きがあります。 「DX」というと難しいと考えてしまうかもしれませんが、まず一部にデジタルを取り入れる、それだけで様々な角度からのアプローチで売り上げをアップさせる企業も…
実用編 経営課題

2024.10.16

基礎から学ぶ! セキュリティ
中小企業におけるセキュリティ脅威への対策強化〜サプライチェーンの弱点を悪用した攻撃から対策を学ぶ〜  中小企業におけるセキュリティ脅威への対策強化〜サプライチェーンの弱点を悪用した攻撃から対策を学ぶ〜 
独立行政法人 情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。 今回は2位に挙げられている「サプライチェーンの弱…
実用編 知識編

2024.09.02

ホットトピックス
サポート詐欺の脅威 サポート詐欺の脅威
皆さんは、パソコンで作業中に以下のようなウイルス感染やパソコンの不具合を知らせる画面が表示されたらどのようにしますか? 出典:警察庁サポート詐欺対策https://www.npa.go.jp/bureau/cyber/c…
初級編 啓発事業 知識編

タグから探す

動画 初級編 啓発事業 基本対策事業 実用編 特別支援事業 用語編 知識編 社内体制整備事業 経営課題

サイト内検索

カテゴリーから探す

新着
(すべてのコンテンツ)
記事
トークショー・
セミナー

記事ランキング

「情報セキュリティ3要素(機密性、完全性、可用性)」 「情報セキュリティ3要素(機密性、完全性、可用性)」 中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜 中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜 勤務時間外の業務連絡を遮断! 社員のストレス軽減のために「つながらない権利」について考えてみよう  勤務時間外の業務連絡を遮断! 社員のストレス軽減のために「つながらない権利」について考えてみよう  【キャンペーンは終了しました】抽選で30名様ご招待!メルマガアンケートで東京都サイバーセキュリティセッションへの会場参加権を獲得しよう! 【キャンペーンは終了しました】抽選で30名様ご招待!メルマガアンケートで東京都サイバーセキュリティセッションへの会場参加権を獲得しよう! 企業の安定と発展のために活用しよう! 中小企業が活用できるICT関連の補助金・助成金には何がある? 企業の安定と発展のために活用しよう! 中小企業が活用できるICT関連の補助金・助成金には何がある?
メルマガ
登録はこちら アーカイブ
動画はこちら
ページトップへ戻る