Read Article

フォームクリエイターのセキュリティについての話

フォームクリエイターのセキュリティについての話

【追記】
フォームクリエイターは、2020年6月末日にサービスを終了させていただくため、新規お申込みは受け付けておりません。なお後継版サービスであるフォームブリッジですと、1フォームあたり1000件までのID(ユーザー名)/パスワードの設定が可能となり、よりセキュアに運用していただけるかと思います!フォームブリッジのアクセス制限についてはこちらから是非ご覧ください。フォームブリッジは、30日間の無償トライアルも可能です!


初めまして。こばたけです。

弊社では情報セキュリティやインフラなどに関わっています。時々ユーザーサポートなども行ったりと色々なことをやらせてもらっています。先日は久しぶりに弊社サービスである安否確認サービスの営業同行をしました。お客様の生の声から弊社のサービスに対する期待を強く感じられ大きなやりがいを感じました。これからもお客様の期待に応えられるサービスとサポートを提供し続けられるよう日々邁進してまいります。

簡単にwebフォームが作成できる『フォームクリエイター』について

さて、弊社ではサイボウズ社のkintoneと連携するサービスの一つとしてフォームクリエイターをリリースしております。
こちらのサービスはノンプログラミングでWebフォームを作成でき、Webフォームから投稿されたデータはkintoneへ流し込むように登録できるのが特徴です。kintoneを使った集計などが簡単に行えるため、Webフォームお問合せやセミナーのお申込みや各種アンケートなどにお客様からご好評をいただいております。ご興味をお持ちになりましたら、詳しくは下記のフォームクリエイターのホームページをぜひご覧になってください。無料で30日お試しも頂けます。あ!もちろんサイボウズ社のkintoneもご契約または無料トライアル頂く必要がございますのでkintoneのホームページのリンクも紹介致します。

・フォームクリエイターホームページ
https://fc.kintoneapp.com/

・kintoneホームページ
https://kintone.cybozu.com/jp/

フォームクリエイターをすでにご契約済みのお客様またはご利用を考えらえれているお客様から、セキュリティの仕様についてお問い合わせを頂く事が増えてまいりました。FAQ代わりにお客様からの質問を一部掲載しつつゆるく回答したいと思います。

フォームクリエイターのセキュリティについて、良くあるお問い合わせ

——–
質問1
——–

フォームクリエイターからkintoneへの通信は暗号化されているでしょうか?

——
回答
——

SSL/TLS通信により暗号化されています。

——
解説
——

インターネットを介してプライベートデータのやり取りを行うためか送信データの暗号化についてお問合せ頂くことが多いです。
安心してください。フォームクリエイターとkintoneはSSL/TLSプロトコルを使ったhttp通信を行っているためデータ転送はすべて暗号化されています。

フォームクリエイターで作成したWebフォームから入力したデータはkintoneに送信されます。このときのデータ送信はTLS(Transport Layer Security)という安全性の高いサーバソフトウェア(ウェブサーバ用デジタル証明書)を採用しています。TLSは世界中でもっとも広く多く使われているセキュリティシステムで、個人情報を暗号化し第三者が内容を見ることを不可能にする技術です。SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことこれにより、大切な個人情報は「盗聴」「改ざん」「成りすまし」等のネット上の危険から保護されます。こうした技術的なセキュリティ対策に加えて、フォームクリエイターではWebフォームの入力情報は一切保存していません。従ってお客様が入力した重要な個人情報がフォームクリエイターのサーバから漏洩する危険もありません。フォームクリエイターのSSL/TLSプロトコルはSHA2(sha256)を採用。より安全なデータ転送を行っています。

ところでsha256などなかなか気になる用語が出てきますが、数学的見地から解読されにくい暗号手法であると思っていて大体合ってると思います。
詳しくは専門書やインターネットで検索してみてください。
フォームクリエイターのセキュアな通信経路

——–
質問2
——–

作成したWebフォームを自社での情報収集のため、自社のみに公開を制限したいのですがどうしたらいいですか?

——
回答
——

フォームクリエイターの「IP利用制限」を利用して公開先を制限できます。グローバルIPアドレスでの指定で15個程度まで登録できます。IPアドレスを範囲指定しての制限は行えません。

※「IP利用制限」ではアクセス許可IPの指定またはこの機能を利用するためにはフォームクリエイターをプレミアムコースでご契約いただく必要がございます。またはトライアル期間中であれば「IP利用制限」を含む全ての機能をお試しできます。

——
解説
——

グローバルIPアドレスとはインターネットに接続する機器が使用できるIPアドレスです。インターネット上でグローバルIPアドレスは決して重複しません。会社からインターネットへアクセスする際はかならずグローバルIPアドレスを利用してインターネットにアクセスしていると考えて間違いありません。例外もありますがここではちょっとスルーさせて頂きます(強引!)したがって、自社のみでフォームクリエイターを利用したい場合は、自社が利用しているグローバルIPアドレスを調べて「IP利用制限」の「特定のIPアドレスを許可する」に自社のグローバルアドレスを登録してください。これだけで自社のみの利用が設定できます。
最近では、大規模利用が増えており、自社内としてもグローバルIPアドレスをいくつも所持している場合や、クライアント先のグローバルIPアドレスを複数個登録したり、IPアドレスの範囲指定を行いたいというご要望も時々お伺いします。今のところIPアドレスの範囲指定は未対応とさせて頂いております。
ip利用制限機能

——–
質問3
——–

フォームクリエイターで作成したWebフォームに対してDos攻撃やDDos攻撃と見られる大量トラフィックが発生した場合の対策等されているでしょうか?

さらに突っ込んで、、、

DDos攻撃またはDos攻撃などでのアクセス制限の手法を教えてください。攻撃が発生した場合にフォームクリエイターが使えなくならないか?を危惧しております。

——
回答
——

DDos攻撃またはDos攻撃らしき大量トラフィックが発生した場合はアクセス制限にて対応しております。

IPアドレス制御についてはアクセス元が基本となります。プロバイダなどを介して攻撃が行われた場合はプロバイダのIPアドレスがアクセス元となります。従いまして、攻撃元と同じプロバイダを利用しているお客様がいらっしゃる場合はフォームクリエーターのWebフォームにアクセスできなくなります。この制御は手動で実施いたしますが一時的に行うか永続的に行うかは攻撃頻度にもよりますので具体的な時間や閾値等は申し上げられません。

内部的に非公開の部分がございますので完全回答ではありませんが、こうしてお客様の疑問に対してできるだけ回答するよう心がけております。また、現在のところDos攻撃などの被害は特に発生しておりません。弊社では正常にサービスが行われているか常時監視しております。異常時は専任のスタッフが対応を行い素早いサービス復帰を目指しています。もちろん cybozu.comでもセキュリティ対策が施されていますので安心してご利用頂けます。

・cybozu.comのセキュリティについて
https://www.cybozu.com/jp/productsecurity/

——
解説
——

DDos攻撃とDos攻撃

“DDoS”とは”Distributed Denial-of-Service(分散型サービス妨害)”の略です。”Dos”とは”Denial-of-Service(サービス妨害)”の略です。
この攻撃はネットワークとサーバのリソースが有限であることを前提に行われます。ネットワークにおけるリソースとは契約しているインターネット回線の帯域であり、サーバのリソースとはCPUとメモリとディスクの容量によります。インターネット接続を介してサービスを行う場合は最終的にはサーバにリクエストが到達します。到達したリクエストを処理するためにサーバでは一定のCPUとメモリとディスクを使用します。このため、サーバでは同時にリクエストを処理できる数が決まってしまいます。対象のサーバに対して攻撃者が大量リクエストを投げるとサーバでは決まった量までのリクエストしか受け付けられませんから、正規のお客様がリクエストを投げてもサーバは受け付けられません。このような状況になるととてもサービスができる状況ではありませんから”Denial-of-Service(サービス妨害)”が成立します。DDoS攻撃はDoS攻撃をする攻撃元を多岐に増やしサービスを行う側の防御をより行いにくくさせるものです。従いまして、DDoS攻撃が開始されると一時的なサービスダウンは避けられない状況となります。DoS攻撃においても同様ですが攻撃元が集約されているため対策が取りやすいといえます。

まとめ

対策しているとはいえこうした攻撃等は起こってほしくないものですね。
メールアドレスなどの個人情報が数万件流出したなどのニュースが流れるたびに、弊社アプリケーションのセキュリティに関する問い合わせなを多く見受けられるように感じます。弊社としてもアプリケーションで行っているセキュリティ対策やさまざまな技術情報を公開するなど、お客様が安心してご利用頂けますよう情報発信及びサポートを続けてまいります!

この記事を書いた人

こばたけ
こばたけ
バイクでのツーリングとバイクでのキャンプをこよなく愛しています。キャンプはソロでも団体でもどちらも大好き。ソロキャンプだとほぼ道志の森キャンプ場でまったりしてます。今週末も行っちゃお。
URL :
TRACKBACK URL :

LEAVE A REPLY

*
*
* (公開されません)

Return Top