お問い合わせフォームのセキュリティについて

$\'お問い合わせフォームセキュリティ\'$ お問い合わせフォームの設置について、何らかの情報を入力と送信をしていただくわけだから、セキュリティ面に関しても少なからず知っておいたほうがいいと思う。

お問い合わせフォームのセキュリティについて、様々な情報を検証と実地した上で、ポイントを絞ってまとめてみた。

wordpressのお問い合わせフォームプラグイン（Contact Form 7）はSSLに対応していない（カスタマイズ含む）
共有SSLでも安心できない
無料お問い合わせフォームを使用するリスク
取得する情報の内容とコストの妥協点でたどり着いたこと
責任の所在について

お問い合わせフォームに限らず、セキュリティに関しては特に、掘り下げればキリがないので、あまり難しく考えすぎると動けなくなってしまいかねない。
とはいえ、責任もついてまわるのも事実なので、無料だからといって、あまり気軽に考えるわけにもいかないだろう。

それでは、お問い合わせフォームのセキュリティについて、一応辿り着いた答えまでの経緯を１つずつ話していこうと思う。

–スポンサーリンク–

Contact Form 7はSSLに対応していない

『Contact Form 7』は、wordpressの中でも代表的なプラグインになると思う。
特にお問い合わせフォームということでは、他に類を見ないほどよく出来ているしバージョンアップも繰り返し行われている。

ところが、このプラグインはセキュリティが甘いと指摘する声もあるようだ。
その理由としては、開発者自体が言っていることに加え、暗号化も行われていないためといえる。
暗号化に関してはカスタマイズして取り入れているところもある。ただ、それも開発者は推奨していない上、惰弱性は否定できないだろう。

それでは、SSLで暗号化出来ればいいのではないか？ということになる。

共有SSLでも安心できない

SSLに関しては、コストもかかるので、serverのサービスに付いている無料の共有SSLを利用する方法もある。

この方法は暗号化しないよりもマシだとは思う。
ただ、共有という意味においても、簡単に情報を抜き取られる可能性も否定できない。
※実際、その技術はそれほど難しくはないようだ。

では、共有ではないSSLを使っている無料お問い合わせフォームを使えばいいのではないか？

–スポンサーリンク–

無料お問い合わせフォームを使用するリスク

無料で使用できるお問い合わせフォームサービスは数多く存在している。
代表的なものでは『フォームズ』や『フォームマン』・『FC２メールフォーム』などがある。

これらのサービスは、広告を挿入したり有料サービスへ移行させることでSSLの費用を捻出していると思っていた。
ところが、これらの無料お問い合わせフォームも、利用規約を見ると取得した情報に対し利用される可能性も否定できないということ。
つまり、無料が故にセキュリティ云々以前に顧客情報の流出を懸念しなければならないともいえるのだ。

なので、結局は有料サービスを使うことになる。
とはいえ、有料だからセキュリティは万全ということでもないし、有料のサービスを使用するにしても、費用対効果を考えなくてはならない。
では、どうすればいいのか？

–スポンサーリンク–

取得する情報の内容とコストの妥協点でたどり着いたこと

結論から先にいえば、取得する情報によりけり、ということになった。

どういうことか？というと、極端にいえば『カードや銀行口座の情報』などは、高度なセキュリティが要求されるので費用もそれなりにかける必要がある。
逆に、メルマガ登録でメールアドレスのみの場合には、そこまでセキュリティに関しこだわる必要はない、ということ。※とはいえ全く考えないわけにはいかない。

–スポンサーリンク–

責任の所在について

個人情報の関わるセキュリティにおいては、個人情報保護方針からしても、当然取り扱う側に責任が生じる。
と、同時に情報を提供する側でも気をつける必要も出てくるだろう。

つまり、知らないからと何でもかんでも登録していくと、それに応じたリスクを生じるということである。
例えをいくつかあげるなら、懸賞サイトやお小遣い情報サイトに登録したことで、1年後に全く関係ない「競馬攻略」の会社から電話がかかってきた。
或いは、無料アプリゲームに登録するやいなや、翌日から出会い系のメールが山のように届くようになった。
このようなことは、日常茶飯事に起こっている。

なので、お問い合わせフォームにしても、管理責任と防衛する側の判断力が常について回ると思う。
つまり、

情報を取得する立場でいえば、その情報を管理する責任がある

。

情報を提供する立場でいえば、その相手が信頼できるか判断する必要がある。

この２つの妥協点を探っていく必要がある。
その妥協点が情報の質であり、その質に応じコストもかける必要があるということだ。

では最後にコストとお問い合わせフォームセキュリティの関係と、当サイトで実際に使用しているお問い合わせフォームを紹介して締めくくりにしたい。

–スポンサーリンク–

お問い合わせフォームセキュリティとコスト

サイト上の情報送信におけるセキュリティでは、ベリサイントラストシールを付けられるベリサイン社のSSLとジオトラストのSSLが有名だ。

そのセキュリティの費用と当サイトで推奨しているお問い合わせフォームの費用対効果をみてみよう。

その前に、当サイトではserverにsixcoreを利用している。実はsixcoreでは無料でメールフォームを使用できる特典がついている。
ただ、そのフォームは共有SSLとなるので却下することとなった。

更に、wordpressの提供元が開発したプラグイン『jetpack』でもお問い合わせフォームがあり、使いやすさはある。
ただ、それもセキュリティが惰弱なため却下することとなった。

理想は、専用serverでの専用SSL使用となるだろう。
ただ、先ほども申し上げたとおり費用対効果であるコスト面の問題も出てくる。

それを踏まえた上で、３つのサービスをみてみよう。

ステップメールのアスメル
フォームアンサー（NEO）
Googleフォーム

まず、専用SSLの費用からみてみたい。
試しに、sixcoreで提供している専用SSLの価格を画像にて載せて見ることにした。
$\'sixcoresll\'$
大元より安くなるかわりに、sixcoreでしか使用できない。

それでは、お問い合わせフォームを作成できるサービスの価格と比較してみよう。

・アスメル（月3150円）…ベリサイン社のＳＳＬ　sixcoreの価格　初期費用21000円　月7000円ほど
・フォームアンサー（月1050円）…SSL証明書、暗号化技術と第三者認証サービスにおける、全世界シェア第二位の「ジオトラスト」の、256ビットに対応したSSL暗号化通信を採用　　sixcoreでの価格　初期費用0円　月850円ほど

こうやって比較してみると、アスメルは無制限にステップメールも組めるし費用対効果は高いように思える。
実際にわたしも2006年のアスメルが始めたての頃から愛用させいていただいているので、今年2013年でいつの間にか7年になっていた。

ただ、だからこそいえることがある。それは、スパムに類する使用者も多いので到達率が低いという問題だ。
これはアスメル側も迷惑メール監視体制の強化など頑張って対応しているし、到達率を高める方法としてSPFレコードの公開をするための設定方法も教えている。

SPFレコードの公開: SPFレコードとはドメイン認証のことで、
「自分が所有するドメインで送信するメールは、この送信サーバー以外は使わない」
ということを宣言するためのものです。
参考文献（引用元）：アスメル技術マニュアル

ぶっちゃけ、このようなことをしなくても、余程の読者数ではないなら到達率よりもコンテンツに力を入れた方がいいと思える。
しかし、アスメルの場合ははやり念の為にやっておいた方がいいだろう。ということになるので、面倒といえば面倒かもしれない。

$\'お問い合わせフォームセキュリティ１\'$

SPFレコードチェックサイトでチェックしドメインが認証されている場合、このように表示される。

されていない場合、下記の画像のように表示される。
$\'お問い合わせフォームセキュリティ\'$

アスメルでは年々機能も追加されていっている。
ただ、未だにクリック測定がないことは気になるところかもしれない（測定方法は他のツールと併用する必要がある）。

それを含めても、順番にメルマガを自動配信させる『ステップメール』という分野では、アスメルはかなりおすすめといえる。
今回の題材は『お問い合わせフォーム』に関するセキュリティなので、その意味においてはアスメルをお問い合わせフォームに使用すると、結局はメールでの返信とやり取りになってしまう、ということだ。

–スポンサーリンク–

メールのやり取りは、セキュリティ面においては問題があるといえるかもしれない。
ただ、普段はそこまで重要な機密情報をやり取りするわけではないし、別にそこまで気にする必要はないともいえる。

できればお問い合わせフォームの機能に求めたいのは、『やり取りを見やすくし、カスタマーサービスのイメージでブラウザ上でできる』こと。
この２つを備えていればお問い合わせフォームとしては上場だと思う。
それを叶えてくれるのが、こちら。

■フォームアンサー（NEO）■
※NEOは、メルマガ配信システムでserverにおいて稼働させられる。

フォームアンサーは、先ほどのセキュリティ面からいうと、アスメルより劣るように思えるかもしれない。
実はベリサインとトラストは『ブランド』の違いであって、セキュリティだけみると、携帯からなど細かいことを除けば殆ど差がないようだ。

SSL証明書　ベリサインとジオトラストを比較して Web to Print 導入に向けて: 携帯以外の違いは分かりませんでした。結論ですが、該当ホームページのアクセス数がとても多く、さまざまなブラウザや携帯利用があるならベリサインを選択。携帯からの利用がなく、安価にSSL証明書を導入したいなら、グローバルサインを選択。
参考文献（引用元）：W2Pブログ

それと、フォームアンサーでは『GA設定』が可能なのも魅力の一つ。
GA設定とは、Googleのアクセス解析である『Google Analytics』のトラッキングコードを挿入し追跡できる機能となる。
なので、クリック測定もできるしお問い合わせフォームされたユーザーの動向も把握しやすくなる。
※こちらが詳細な解説となる。

「はい」を選択するとGoogleアナリティクスのトラッキングタグの「_setAllowLinker」に「true」が設定されます。
※trueにすると直帰率に影響しなくなる。
※「基本情報設定」の「完了画面設定」の「フォーム送信後の処理」で「オリジナルのメッセージを用意する」を選び、表示内容にリンクが含まれている場合は、 Googleアナリティクスのクロスリンクが設定されます。
※「入力フォーム編集」の「（メッセージ）」の内容にリンクが含まれている場合も Googleアナリティクスのクロスリンクが設定されます

それに加え、全てのやり取りがブラウザ上ででき確認できる。
対応済み・未対応も確認できるので非常に分かりやすい。

ただ気になるのは価格。
月1000円を安いとみるかは微妙なところかもしれない。
実際、sixcoreではジオトラストを月850円で提供している。

なので、ここで簡単な裏ワザをご紹介して締めくくりとしたい。

先ほどのフォームアンサーで申し込みを行わず、『NEO』で申し込みをする。
NEOを申し込みするとフォームアンサーの有料プレミアム版を無料で使用出来る。
そして、NEOのサービスでは200名までの読者なら月500円で利用できるのだ。

ということは、NEOで契約しNEOを使わずフォームアンサーを使用することで、フォームアンサーを月500円で利用できるようになる、ということになる。
※付け加えると、NEOも200名までは利用できる。

だったらフォームアンサーの無料版を使用すればいいではないか？
ということについては、もし無料版を使用していてお問い合わせがあり、しばらく間があいてお問い合わせがあった場合、そのデータは消えてしまう。

90日間、投稿がないフォームは自動的に削除されます。by フォームアンサー無料版

これは、有料版から無料版に切り替えた場合も同様なので、十分気をつけたほうがいいだろう。

[まとめ]まとめると

当方では、ステップメールにおいてはアスメルを、お問い合わせフォームをフォームアンサーでやることした。
※ちなみに、メルマガ配信はwordpressの更新をお知らせする『Subscribe2』で行なっている。

当サイトでご紹介したサービス一覧

[チェック]フォームアンサー

[チェック]到達率が大幅アップするメール配信 VPS-NEO

[チェック]アスメルは、月間配信数、顧客リスト数、シナリオ数が無制限で、固定料金制

補足

Googleが提供しているGoogleフォームは、無料で利用できる。

Googleが提供しているということで、セキュリティ面では他のサービスよりも多少安心感があるだろう。
機能も『分岐点』を作ることで、様々な活用法も考えられる。
ただ、リスト管理面において少し物足りかもしれない。

とはいえ、簡易的であれば申し分ないと思う。
※メール通知や自動返信などの機能に関しては、カスタマイズしアレンジを加えることで可能になる。