アンケートのセキュリティ対策とは？│安心安全なネットリサーチ！

はじめに

近年、ネットリサーチは、便利なアンケートツールの普及もあり、とても手軽に始めることができて非常に便利な反面、その気軽さゆえに「セキュリティ」面を不安に思っている方も、多いのではないでしょうか。
その不安を解決するためには、ネットにまつわる様々なセキュリティ対策の詳細を知っておくことが一番です。

ここでは、ネットリサーチ（アンケート調査）にまつわるセキュリティ対策全般について、詳しく解説していきます。

考えられるリスク

もはや日常生活に欠かせない存在のインターネットですが、的確なセキュリティ対策をしていないと、悪意をもった第三者による不正行為のターゲットになり、甚大な被害を起こす可能性があります。
プログラムやサーバーの脆弱性につけ込んで不正に侵入し、データを盗んで、機密情報を漏洩されたり、個人情報を流出されたり、ホームページを改ざんされたり、ウイルスに感染させられてソフトやマルウェアがダウンしたり、、、
と、どれも企業の死活問題に直結するような恐ろしいリスクばかりです。

中でもインターネットを利用した「アンケート調査」は、個人情報を取り扱うため、上記のようなリスクがとても大きいことを認識し、次から述べる対策をできる限りおこないましょう。

主なセキュリティ対策

内容ごとに、「アクセス制限」、「監視体制」、「緊急時の備え」、「セキュリティ対策の証明」、「サポート体制」の、5つに分類して、順に解説していきます。

1.アクセス制限（不正アクセス防止対策）

主な5つの対策をご紹介します。

ファイアウォール（FW）の導入

ファイアウォール（Firewall、略してFW）とは、日本語に訳すと「防火壁」という意味です。文字通り、インターネットと自社サーバーの間にある“壁”のようなもので、内部ネットワークを、一定のルールの基で、外部からの不正な侵入やサイバー攻撃から守る、という役割を果たします。

ファイアウォールには主に3つの種類があります。

■パケットフィルタリング型

通信をパケット単位で解析して、あらかじめ許可されたIPアドレスやポート番号以外のパケットのアクセスをシャットダウンします。

■アプリケーションゲートウェイ型

新しいタイプのファイアウォールで、アクセスを細かくチェックし、「なりすまし」などの偽装アクセスを見抜く力があります。

■サーキットレベルゲートウェイ型

パケットフィルタリング型の機能に加えて、ポート制御機能も備わっているファイアウォールです。特定のシステムやソフトの通信制限をかけたいときに有効です。

IPSの導入

IPSとは、Intrusion Prevention Systemの略で、不正ログインを防止する「不正侵入防止システム」のことです。
FWが許可した通信のパケットを解析して、不正なアクセスの場合は管理者に通知し、不正アクセスを防御・遮断します。

WAFの導入

WAF（ワフ）とは、Web Application Firewallの略で、Webアプリケーションの脆弱性に対する攻撃から防御する、セキュリティ対策のことです。
WAFの最大のメリットは、未発見の脆弱性（プログラムの不具合や設計ミス）に対しても、未然に攻撃を防いでくれることです。

リアルタイムでサーバーとユーザーがやりとりをしているデータを監視しており、攻撃の検知には「シグネチャ」という蓄積したアクセスデータを使用しています。これを元に、外からやってきたデータのパターンを解析して、不正か否かを判別し、WebアプリケーションやWebサーバーへの不正アクセスを防ぎます。

WAFは予防策だけではなく、事後措置として、発生した問題の解析や修正をすることにも役立ちます。

SSL/TLS 暗号化通信

アンケートの作成画面（管理画面）や、回答する入力画面が、どのような通信方法を使っているかはとても重要です。そこで出てくるのが、SSL/TLSを用いた暗号化通信です。

「SSL」とは、Secure Sockets Layer、「TLS」はTransport Layer Securityの略で、どちらもインターネット上で通信を暗号化する技術のことです。名称が異なるだけで、どちらも機能としては同じです。
これにより、個人情報、クレジットカード番号などが第三者に盗み見られないようにします。アンケートのほか、通販サイトのショッピングカートや、お問合せフォームなどの、個人情報を入力する場面でよく使われています。

SSL/TLS 暗号化通信が確立されているかどうかは、誰もが簡単に確認することができます。
確認方法は、ブラウザのアドレスバーに表示されている「鍵マーク」をクリックすると、証明書が表示されるので、ぜひ試してみてください。
また、URLが「http://～」ではなく「https://～」とセキュア（Secure）を表す「s」が付いて表示されていることでも、確立していることが分かります。

なお、SSL/TLSを利用するには、サーバーに「SSLサーバー証明書」を導入する必要があります。（証明書の詳細については後述しています）

IPアドレス制限の導入

ある特定のIPアドレス（※）からしか閲覧できないように制限をかけることを、IPアドレス制限といいます。これにより、第三者による不正アクセスを防ぐことが可能です。
なお、セキュリティ対策としてだけではなく、制作途中のサイトを、社内の人だけが見られるようにする場合などにもよく使われます。

承認フローの導入

不正アクセスを防ぐためには、重要データのやり取りを、上長が管理することも大切です。
担当者がメールでのファイル送信や、ダウンロードによるファイルの持ち出しが業務上必要になった際、何段階かの承認フローを設定することは、とても有効的です。利用者と上長（承認者）の2重チェック体制となり、うっかりした情報流出等を防ぐことができるかです。

仕組みとしては、承認者による許可を得たもののみが、メール送信が可能になったり、ダウンロードできたりするシステムを取り入れることが望ましいでしょう。

権限管理設定の導入

情報の流出は、外部からの攻撃だけではなく、内部から発生する可能性もあります。そのリスクを最低限に抑えるために、社内間であっても、サーバーやネットワークなどにアクセスする権限は、専任者のみとするのが一般的です。

また、管理画面などのツールは、操作できる内容や、利用できるデータの制限、閲覧できるデータを、担当者ごとに細かく設定することも、非常に有効的です。

アカウントサポート(2段階認証など）の導入

Webサイトへのログインに必要なアカウントは、非常に重要な情報です。漏洩した場合、アカウントが乗っ取られ、悪用されてしまうことがあるからです。

そこで個人ができる対策としては、パスワードを設定する際、数字の羅列などの簡単なパスワードにしないことや、複数のアカウントで同一のパスワードを使わないことは、もはや常識です。

さらに有効な手段として「2段階認証」も広がっています。万が一パスワードが漏洩しても、パスワードに加えてSMSや認証アプリなどで受信した確認コードが別に必要となるため、パスワードだけではログインをすることができず、不正を防止できます。

2.監視体制

サーバーの監視

Webサービスやネットワークを安定稼働させるためには、サーバーの稼働状況について厳重な”監視“をおこないます。
具体的には、管理プログラムが、サーバーやネットワーク機器に故障が起きていないか、負荷がかかりすぎていないか（ネットワーク帯域の調整）などをチェックし、サーバーの異常を検知した際は、システム担当者へリアルタイムに通知をおこない、迅速な対応を促します。

脆弱性診断

脆弱性診断とは、第三者機関が、システム全般（ネットワークを構成するOS、ミドルウェア、Webアプリケーションなど）に、様々な疑似攻撃を行い侵入を試みることで、システムに脆弱性（攻撃される『穴』）がないかを診断するテストのことです。
脆弱性を放置しておくと、サイバー攻撃を受け、情報の改ざん・漏洩など、致命的な損害が発生する可能性があります。

定期的に診断を受けることは、第三者機関が、ネットワークの監視体制に協力してくれている証明にもなります。リスクを減らすことができるだけでなく、ユーザーに安心感を与え、信頼に繋がります。

3.緊急時の備え

冗長化

ハードウェアやシステムの予備を用意して、常に運営を二重化することで、もしメインで使用しているシステムに障害が発生した場合でも、速やかに予備のシステムに切り替え、稼働を続けることができれば、障害によるダメージを最低限で食い止めることができます。
このような二重化の運営で、緊急時に備えることを、「冗長化する」と言います。

例えば、サーバー攻撃を受けたり、予期せぬ自然災害が発生したときは、システムやサーバーが停止することが予想されます。こういった事態は、事業の継続に大きな影響を与え、莫大な損害を被る可能性があるのです。

そのリスクを低減するためにも、冗長化を徹底させることは、とても重要と言えるでしょう。

操作ログの保存

稼働しているネットワークやデバイスなどの操作ログ（ログイン日時、閲覧履歴、ファイル編集履歴など）を保存しておくことで、情報漏洩や、不正アクセス、ウイルスに感染などの重大インシデントが発生した際、それらのログを元に原因を分析し、適切な対策に結びつけることができます。

また、ログが保存されていること＝行動履歴が全て記録されていることになるため、PCやサーバー利用者に予め周知することで、情報持ち出しへの抑止力を高めることが期待でき、不正を未然に防ぐ効果もあります。

データのバックアップ

ネットワークやパソコンなどの機器障害や人為的なミス、また、サイバー攻撃によるウイルスに感染などは、予期せず発生し、一瞬のうちに大切なデータが消失する可能性もあります。

こういった事態の発生に備え、定期的なデータのバックアップや、業務や情報にできる限り影響を与えず迅速に復旧できるような運用をおこない、可用性を保つことが大切です。

4.セキュリティ対策の証明書

SSL/TLSサーバー証明書

SSL/TLSサーバー証明書は、「このサイトの所有者は信頼できますよ」と証明する電子証明書です。

世界的に利用されているジオトラストなどの信頼された公正な認証局が、「通信相手に偽りがないこと」、「実在していること」を証明し、Webサーバー同士や、WebブラウザとWebサーバー間で送信される情報を保護し、犯罪者などの第三者によって情報が改ざんされたりしないように、機能しています。

ウェブサイトを安全に利用するためには、欠かせない証明書なのです。

ISMS認証

ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムと訳されます。簡潔に言うと、「情報管理」のことです。一企業内で、「情報セキュリティの管理ルールを作り、実行し、改善するという仕組みを、しっかりと構築している」ことを、第三者認証（※）された、という証明が、「ISMS認証」です。

ISMS認証を取得するメリットは2つあります。1つ目は、社員のセキュリティ対策への意識向上につながり、社内の情報管理のルールが一層徹底できること。2つ目は、「情報管理を徹底していること（プロであること）」を目に見える形で証明できるため、社外からの信頼度が上がることです。

プライバシーマーク

プライバシーマーク制度は、企業や団体などの事業者が、「個人情報を適切に取り扱っているか」を審査し、認定するものです。認定された事業者は、自主的に高いレベルの「個人情報保護マネジメントシステム」を確立し、運用していることになるので、「個人情報の安全管理が徹底されている」とアピールすることができます。

利用者としては、「その事業者に大切な個人情報を預けても問題がないのか？」と迷ったとき、信頼できるかどうかの1つの判断基準になります。

5.サポート体制

直接的なセキュリティ対策ではありませんが、サポート体制が整っている企業は、信頼度が高いです。

企業が提供しているツールを利用してアンケート調査をおこなう場合、「システムの操作方法が分からない」などの基本的な質問から、何か重大なインシデントが起きたときにスムーズに連絡を取ることができ適切な対応をしてもらえるのか、などの点も、重要なポイントとなります。

最近では、24時間365日のサポートを保証していたり、チャットボットを導入する企業も増えてきています。

セキュリティ対策を重視したアンケートツールを選ぶコツ

ここまで説明してきた内容をすべて網羅したアンケートツールが存在していれば、それに越したことはありません。
しかしアンケートツールを選ぶ基準は、セキュリティ対策の充実具合だけではありません。恐らく大半の方が、「コスト（予算）」と「機能」についても、セキュリティ対策と同じぐらい、場合によってはセキュリティ対策以上に、重要視されているでしょう。

まずは、気になるツールを複数ピックアップして、自分が必要とする機能がどのぐらい備わっているか？費用はどのぐらいかかるのか？を比較してから、数あるセキュリティ対策のうちのいくつが備わっているのか？をチェックして、自分にとってベストなツールを決定することを、おすすめします。

>> すぐに役立つ「アンケートツールを選ぶコツ」について詳しく見る

まとめ

ここまで、アンケートのセキュリティに関して解説してきましたが、いかがでしたか？
セキュリティ対策と不正行為は、いたちごっこと言われています。新しいサーバー攻撃が生じれば、それを撃退する対策が生まれ、さらにまたその対策の穴をすりぬける攻撃が発生し、前回を上回る優れた対策が生まれ、、、という具合です。

最新の対策をし続けることは、容易ではありませんが、できる限り最新の仕組みを取り入れたいものですね。
こちらの記事を参考にして、安心安全なアンケート実施のお役に立てれば幸いです。

セルフ型アンケートツールを利用する場合におすすめ！

セキュリティ対策も万全なのに、たった「500円」から利用できる！
簡単に多機能アンケートも作成できる、セルフ型アンケートツール『Freeasy』
>> Freeasyのセキュリティ対策について詳しく見る

初心者の方にもハードルが低く、始めやすい、サポートも充実している点が支持されております。
>> Freeasyとは？について詳しく見る

クレジットカード決済にも対応しているのでお支払いの手続きも簡単です！

下記より、Freeasyの総合資料が無料でダウンロードできます！