Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい | 中小企業サイバーセキュリティフォローアップ事業

令和6年度中小企業サイバー
セキュリティフォローアップ事業

メルマガ登録
サイトマップ
文字サイズ

2024.09.16

Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい

今回は、Webアンケートやイベントなどの申し込みフォーム、会員登録画面などの危険性について説明します。

皆さんはセミナーへの参加申し込みや会員登録を行う際に、Webページの案内に従って、フォームに個人情報を入力したことはありませんか?

現代社会において、インターネットから様々な申し込みや登録を行うことは日常的なこととなっています。

Webフォームの作成と利用状況

下記画像は、実在する申し込みフォームではなく、本記事の為に作成したサンプルです。


このようなインターネット上で利用できるWebフォームは、無償または低コストで簡単に作成できるため、多くの企業をはじめ様々な組織が利用しています。代表的なものにGoogleフォームが挙げられます。

皆さんの会社でも、利用したことがあるかもしれません。

しかし、その使いやすさが裏目に出ることもあります。簡単な作成方法ゆえに、設定ミスが発生しやすいのです。

利用者と管理者の役割

Webフォームには情報を登録する利用者と、その情報を管理する管理者(フォームを設置する側)が存在します。

(1)利用者(情報を登録する人):自分の情報のみを入力。本来、他の利用者が登録した情報は見られない

(2)管理者(主催者):登録者全員の情報を見ることができる


しかし設定を間違えると、利用者に他の利用者の登録情報が見えてしまうことがあります。

近年発生している個人情報漏えい事件の中には、このWebフォームに起因するものが多数あります。

実際に発生した事例を1つご紹介します。


【事例:イベント申し込みフォームでの情報漏えい】

公益社団法人自動車技術会は、イベントへの参加登録を行う登録画面(Webフォーム)において、アクセス権限に設定ミスがあり、本来イベント事務局しか見ることができない登録者に関する個人情報を誰もが閲覧できる状態にしてしまったことを明らかにしました。

同会によれば、申し込み登録者の個人情報(氏名、メールアドレス、所属する組織名など)をインターネット経由で閲覧できる状態となっていたとのことです。参加申込みに「Googleフォーム」を利用した際、共同編集者が「URLリンクを知っている全員」に設定されていたため、URLがわかれば誰でも個人情報を閲覧できる状態になっていたようです。

引用元サイト:Security Next  https://www.security-next.com/159389

Webフォームの危険性

ここでは、Webフォームの権限設定ミスがもたらす主な危険性について解説します。

(1)情報漏えいのリスク

権限設定ミスにより、第三者が機密情報にアクセスできる状態になると、個人情報や企業の重要情報が漏えいする危険性があります。

(2)企業の信頼失墜

顧客情報が漏えいすると、企業の信頼が損なわれる可能性があります。これは、顧客からの信頼を失うだけでなく、ブランドイメージの低下にもつながります。

(3)法的リスク

個人情報保護法やGDPRなど、各国のデータ保護規制に違反する可能性があり、罰金や訴訟リスクを抱えることになります。

※GDPR:一般データ保護規則。EU加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタインの個人データ保護を規定する法。

正しい権限設定のためのポイント

権限設定を正しく行うためには、以下のポイントに注意することが重要です。

(1)正しい手順の確認

Webフォームは、誰でも簡単に利用できるように操作説明書を読まなくても直感的に操作・作成できるようになっています。

しかし、正しい手順を理解しないまま「何となく」で操作してしまうと、設定を誤り情報漏えいに繋がる可能性があります。必ず公式のマニュアルやヘルプ情報を確認しながら作業を行いましょう。

(2)複数人でのチェックを行う

作成したフォームは必ず複数人でチェックを行いましょう。また、実際の情報を登録してみて、正しく画面が動くか、他人の登録情報などが閲覧できないか等、チェックを行います。

「自分はシステムに詳しくないから、若い人に任せよう」で組織として確認を行わないことは最も危険な行為です。

(3)最小権限の原則

必要最低限の権限のみを付与することで、アクセス制御を厳格に行います。例えば、データ入力者にはデータ閲覧権限を与えず、管理者だけが全てのデータにアクセスできるようにします。

(4)定期的な権限確認

定期的に権限設定を見直し、不必要な権限が付与されていないか確認します。


情報漏えいは企業にとって重大な問題です。しかし、適切な権限設定とセキュリティ対策を講じることで、そのリスクを大幅に低減することが可能です。

常に最新のセキュリティ情報を把握し、適切な対策を継続的に実施することが重要です。

企業の信頼を保ち、法的リスクを避けるためにも、これらの対策は欠かせないものになります。

記事一覧に戻る

おすすめ記事

2024.07.01

3分でわかる!用語解説
「3-2-1ルール」 「3-2-1ルール」
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本メ…
初級編 用語編

2024.07.01

ホットトピックス
AIとサイバーセキュリティ AIとサイバーセキュリティ
 皆さんは日々の業務や生活の中で、AIを活用していますか?特に最近では、生成AIの進化が著しく、様々な分野でその活用が進んでいます。しかしその一方で、AIの利用によるセキュリティリスクも増大していることをご存知でしょうか…
初級編

2024.07.01

もっと知りたい! セキュリティ
クラウドサービスを安全に利用するポイントとは(1/3) クラウドサービスを安全に利用するポイントとは(1/3)
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。本メールマガジンでは「クラウドサービスを安全に利用するポイント」について解説します。近年、働き方改革や新型コロナウイルス感染症対策の影響…
知識編

2024.07.01

基礎から学ぶ! セキュリティ
中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜 中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜
独立行政法人情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威」の中で、特に中小企業の経営者やシステム担当者が注目すべき点を、2024年版に基づいて詳細に掘り下げていきます。今回は6位に挙げられてい…
実用編 知識編

2024.07.01

ビジネスヒント
企業の安定と発展のために活用しよう! 中小企業が活用できるICT関連の補助金・助成金には何がある? 企業の安定と発展のために活用しよう! 中小企業が活用できるICT関連の補助金・助成金には何がある?
昨年、友人が起業しました。10数年間の会社勤めを経て、人脈もでき、顧客の目途もついてからの独立で、勤務していた企業ともパートナーシップ契約を結んでいます。幸い事業は順調ですが、それでもサラリーマン時代とは違う心配があるよ…
実用編 経営課題

タグから探す

初級編 啓発事業 基本対策事業 実用編 特別支援事業 用語編 知識編 社内体制整備事業 経営課題

サイト内検索

カテゴリーから探す

新着
(すべてのコンテンツ)
記事
トークショー・
セミナー

記事ランキング

中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜 中小企業におけるセキュリティ脅威への対策強化 〜不注意による情報漏えいの被害事例から対策を学ぶ〜 企業の安定と発展のために活用しよう! 中小企業が活用できるICT関連の補助金・助成金には何がある? 企業の安定と発展のために活用しよう! 中小企業が活用できるICT関連の補助金・助成金には何がある? クラウドサービスを安全に利用するポイントとは(1/3) クラウドサービスを安全に利用するポイントとは(1/3) 仕事のストレスを乗り越えるために:中小企業経営者と実務担当者へのアドバイス 仕事のストレスを乗り越えるために:中小企業経営者と実務担当者へのアドバイス 「3-2-1ルール」 「3-2-1ルール」
トークショー・セミナーの
申し込みはこちら メルマガ登録
ページトップへ戻る