Webアンケートのセキュリティ対策とは？リスクと具体的な対策方法を解説

Webアンケートは、従来の紙を使用したアンケートよりも手軽にユーザーの声を集められる有効なマーケティングの手段です。しかし、Webアンケートの運用では、インターネットやシステム上で顧客の個人情報や機密情報を扱うため、セキュリティ対策の導入が欠かせません。

本記事では、Webアンケートのセキュリティ対策について、考えられるセキュリティリスクや主な対策の方法、セキュリティ対策に関わる証明書の種類、セキュリティリスクを抑えてアンケート作成や運用にも活用できる専用ツールなどについて解説します。自社でWebアンケートを導入しようとお考えの方は、ぜひ参考にしてみてください。

セキュリティ対策が重要なWebアンケートとは？

スマートフォンやインターネットが普及した現代では、企業が顧客に行う商品・サービスなどのアンケートでもWebを利用するケースが増えてきました。紙のアンケートに比べて集計が簡単かつスピーディで回答者の負担も少なく、より多くのユーザーから意見を集められるのがメリットです。

ただし、Webアンケートでは回答者の個人情報や機密情報などを扱う場合が多いため、適切なセキュリティ対策が求められます。企業の信頼性やブランドイメージを守るためにも、Webアンケートではセキュリティへの配慮が不可欠といえるでしょう。

Webと紙のアンケートの違いやメリット・デメリットについて、さらに詳しく知りたい方は、以下の記事も合わせてご覧ください。

【関連記事】アンケートは紙とWebのどちらで行うべき？シーン別に解説

Webアンケートのセキュリティリスク 

企業がWebアンケートを実施する際に考えられるセキュリティリスクは、不正アクセスやウイルスへの感染、情報漏洩などのトラブルです。

不正アクセスでは、SQLインジェクション（Webアプリの脆弱性を利用して不正侵入を実行する攻撃方法）やクロスサイトスクリプティング（XSS）（クロスサイトスクリプティング：Webサイト、アプリの脆弱性を悪用したサイバー攻撃）などの手法を使ったWebアンケートシステムに対する攻撃手法が存在します。

プログラムやサーバーの脆弱性を標的にした不正アクセスを受けると、アンケート結果の改ざんや個人情報の漏えい、回答者のウイルス感染が発生する可能性があることに加え、盗んだ情報を悪用した詐欺やなりすましなどの被害が起こる場合もあるでしょう。

セキュリティリスクを放置したり、適切な対策を実施していなかったりすると、トラブルが起きるだけでなく、法的責任や顧客からの信頼喪失につながるリスクもあります。

Webアンケートにおける基本的なセキュリティ対策 

Webアンケートツールを活用する際に必須ともいえる、以下の基本的なセキュリティ対策を紹介します。

• 不正な侵入を防ぐ「ファイアウォール（FW）」
• ファイアウォールからの通信パケット解析する「IPS」
• Webアプリへの攻撃を防ぐ｢WAF」
• 閲覧制限をかける「IPアドレス制限」
• 通信を暗号化する「SSL／TLS」

各対策の詳細をみていきましょう。

不正な侵入を防ぐ「ファイアウォール（FW）」 

不正アクセスやサイバー攻撃などを受けた場合に、不正な通信を遮断してネットワークを保護する仕組みを「ファイアウォール（FW）」といいます。外部からの不正アクセスを防ぐ第一の防衛線として重要なセキュリティ対策です。

ファイアウォールには、パケットフィルタリングやアプリケーションゲートウェイ、サーキットレベルゲートなどの種類があり、それぞれ特徴が異なります。以下で、ファイアウォールの各方式について、さらに詳しくみていきましょう。

パケットフィルタリング型 

送られてきた情報をパケット（分割されたデータの塊）単位で分析して、IPアドレスやポート番号などの情報を基に通信の許可、拒否を判断する方式です。登録のないIPなどからのアクセスはシャットダウンされます。シンプルな構成で導入しやすい反面、アプリケーション層（システムの最上位層）への攻撃には対応できないのがデメリットです。

アプリケーションゲートウェイ型 

アプリケーション層での通信内容を監視・解析して不正なリクエストを遮断する方式です。パケット情報だけでなく、データの内容やアプリケーションプロトコル（システム個別の通信規約）なども細かくチェックして分析でき、プロキシサーバー（中継サーバー）を介して通信を行うため、セキュリティが強化されます。一方、セットアップや管理が複雑で、検知対象のデータ量が多い場合にパフォーマンスへの影響が出る点に注意が必要です。

サーキットレベルゲートウェイ型 

パケットフィルタリング型の機能に加えて、ポート（データの入出力インターフェース）の指定や制御機能に対応している方式です。送信元などを書き換えて内部ネットワークのアドレス、構成を隠蔽でき、アプリケーション単位で設定可能なため特定のシステムの保護に有効といえます。ただ、アプリ間でのやり取りやデータ内容の詳細は確認できず、他のシステムより導入コストが高価な点もデメリットです。

ファイアウォールからの通信パケット解析する「IPS」 

「IPS（Intrusion Prevention System）」は、不正な通信をリアルタイムで監視して検知・遮断する仕組みです。ネットワークトラフィックから既知の攻撃パターンや異常な通信を識別して被害を未然に防止できます。

ファイアウォールがネットワークを保護するのに対して、IPSはソフトウェアやシステムを不正侵入から守る役割を果たしており、保護対象の異なる点が特徴です。ファイアウォールと併用すれば、より強固なセキュリティ体制を築けるでしょう。

Webアプリへの攻撃を防ぐ｢WAF」 

「WAF（ワフ：Web Application Firewall）は、Webアプリケーションへの攻撃を検知・遮断する仕組みです。WAFなら、SQLインジェクションやXSSなどアプリケーション層への攻撃にも対応できます。

不具合やプログラムの設計ミスなど未発見の脆弱性にも対処できるのがWAFの大きな強みです。パターン化された攻撃に加えて、脆弱性を狙った攻撃にも対応できるため、Webアンケートのセキュリティ対策では重要といえるでしょう。

閲覧制限をかける「IPアドレス制限」 

「IPアドレス制限」は、特定のIPアドレスからのみアクセスを許可する方法で、不正アクセスを防止する仕組みです。制限を導入すると、許可されていないIPからのアクセスは遮断されるため、マルウェアの侵入などを防止できます。セキュリティ対策だけでなく、社内ネットワークや特定の拠点からのアクセスに限定したい場合にも有効です。

導入の際は、設定ミスによるアクセス制限のトラブルなどが起こらないよう注意する必要があります。

通信を暗号化する「SSL／TLS」 

回答したアンケートを送信する際に、暗号化されたセキュリティ性の高い通信方式を導入すると情報流出などのリスクを低減できます。「SSL（Secure Sockets Layer：ブラウザとサーバー間の通信データを暗号化する仕組み）」および「TLS（Transport Layer Security：SSL同様にブラウザとサーバー間の通信を暗号化する方式でSSLの進化版にあたる）」は、いずれもインターネット上での通信内容を暗号化する技術です。

Webアンケートでは、アンケート作成画面や回答入力画面などの通信を第三者から盗み見られないように暗号化して、不正なデータの盗聴や改ざんを防ぐために用いられます。

Webアンケートで有効なその他のセキュリティ対策 

Webアンケートでは、ほかにも以下のようなセキュリティ対策が有効です。

• 専任者のみアクセスを許可する「権限管理設定」
• 情報の流出を防ぐ「承認フローの設定」
• システム全体のリスクを確認する「脆弱性診断」

それぞれの対策を詳しく解説します。

専任者のみアクセスを許可する「権限管理設定」 

「権限管理設定」は、ユーザーごとにシステムへのアクセス権限を設定して、不要な権限をもつユーザーによるデータアクセスを防ぐ方法です。情報漏洩は、外部からの不正アクセスだけとは限りません。内部からのアクセスを限定すれば、流出リスクを低減できます。

権限管理設定を実施する際には、管理者、編集者、閲覧者など、役割に応じて細かく権限設定できるツールの導入が望ましいでしょう。また、一度設定したら放置するのではなく、定期的な権限の見直しと退職者や異動者のアクセス権削除が重要です。

情報の流出を防ぐ「承認フローの設定」 

アンケートの公開や変更に対して「承認フローの設定」を実施すると、誤操作や不正な変更、情報の流出などを防止できます。承認フローの設定とは、データへのアクセスや編集などが個人の権限だけでは行えず、複数の人間による判断や承認段階を経てはじめて可能となる仕組みです。

複数人・複数段階でのチェック体制構築により、データ流出などのセキュリティリスクを低減できます。また、適切な承認フローの設定は、業務プロセスの透明性と信頼性の向上にもつながるでしょう。

システム全体のリスクを確認する「脆弱性診断」 

第三者機関による「脆弱性診断」を実施すれば、アンケートシステムのもつセキュリティリスクを早期に把握できます。不正アクセスなどの攻撃はプログラムの脆弱性を利用したものが多いものの、自社で全ての危険性を見つけられるとは限りません。

外部機関による定期的な診断を行い、改善を繰り返していけば、セキュリティに対する最新の脅威にも対応可能になっていきます。脆弱性診断はただ実施するだけでなく、診断結果を基にして早期に対策を講じるのが大切です。

Webアンケートのセキュリティリスク発生に備える方法 

Webアンケートのセキュリティリスク発生に備える主な方法は、以下の通りです。

• サーバーを監視する
• 操作ログを保存する
• 2段階認証を設定する
• データのバックアップを取る
• 運営を二重化する

それぞれの方法を詳しく解説します。

サーバーを監視する 

サーバーの稼働状況を常時監視しておけば、万一異常な動作や不正アクセスが発生した場合にも早期に検知して対策を講じられます。サーバー監視は、セキュリティ対策だけでなく、システムやネットワークが正常に動作しているかを確認するためにも大切です。

専用の監視ツールやサービスを導入すれば、リアルタイムアラートなどの利用も可能になります。定期的なログ確認と分析により、システムやネットワークのもつ潜在的なリスクを把握すれば、事前に対策を立てられてセキュリティリスクの低減につながるでしょう。

操作ログを保存する 

ユーザーの操作履歴である「操作ログ」を記録しておけば、問題発生時の原因究明や内部不正抑止に役立ちます。誰が・いつ・何を操作したのかがわかれば、不正アクセスなのか単純なミスなのかが判別でき、問題の原因特定が可能です。セキュリティの信頼性を高めるには、ログの保存期間を定めるとともに、改ざん防止対策を設ける必要があります。

また、操作ログ自体が不正アクセスの標的にならないため、ログデータに対するセキュリティ対策（暗号化やアクセス制限の設定）も忘れずに実施しましょう。

2段階認証を設定する 

Webアンケートのシステムではアクセスする際、IDとパスワードに加え、ワンタイムパスワードや認証アプリによる二段階認証の導入を推奨します。二段階認証はアプリやスマートフォンへのSMSを利用して本人確認を実施する仕組みです。二段階認証があれば、万一、IDやパスワードが流出してしまった場合にも、不正ログインやアカウント乗っ取り、情報漏えいなどを防止できます。

ただ、ログイン時の手間が増えるデメリットもあるため、ユーザー利便性にも配慮しながら、セキュリティレベルの向上を目指しましょう。

データのバックアップを取る 

アンケートデータや設定情報などを定期的にバックアップして、障害発生時に迅速な復旧が可能となるよう備えるのも有効なセキュリティ対策です。Webやシステム上のデータは、機器の不具合や人的ミスによって消失する恐れがあります。バックアップがあれば、万一、データが消えてしまった場合でも復旧可能です。

また、単にバックアップをとるだけでなく保存先を分散させておけば、障害や災害リスクなどにも対応できます。スムーズなデータ復元には、自動バックアップ機能やリストア（データ復元）手順の整備なども重要です。

運営を二重化する 

サイバー攻撃や自然災害による障害時でも継続運用できる体制を整えるためには、システムの二重化（冗長化）が重要です。「運営の二重化」は、データと同様に運営体制にもバックアップを作っておく仕組みを指します。ハードウェア・システムの予備を用意しておき、普段使用しているシステムにトラブルが発生した場合でも業務停止を防ぐ施策です。

最近では、クラウドサービスを利用した運営体制の分散なども行われています。運営の二重化にはコストが必要となるものの、業務停止には多大なリスクがあるため必要な施策といえるでしょう。

Webアンケートツールを選ぶ際はセキュリティ対策の証明書を確認 

Webアンケートに利用するツールを選定する際には、以下のようなセキュリティ対策の証明書を確認しましょう。

• SSL／TLSサーバー証明書
• ISMS認証
• プライバシーマーク

各証明書の詳しい内容を解説します。

サイト運営者の信頼性を示す「SSL／TLSサーバー証明書」 

「SSL／TLSサーバー証明書」はサイトの安全性や信頼性を証明する電子証明書です。サーバートラストやジオトラストなど公正かつ信頼性の高い認証局から発行され、サイトの実在性を証明して、ブラウザ・サーバー間やサーバー同士での暗号化通信を行えるようにします。SSL／TLS証明書の情報を検証すれば、通信の暗号化と運営者情報の確認が可能です。

証明書にはDV、OV、EVなどの種類があり、EV認証が最も信頼性が高くなっています。Webアンケートでは、EV認証やOV認証付きツールを利用するのが望ましいでしょう。

情報セキュリティの信頼性を示す「ISMS認証」 

「ISMS（Information Security Management System）認証」（ISO/IEC 27001取得）は、ISMS（情報セキュリティマネジメントシステム）から出され、企業の情報セキュリティ管理体制が適切に運用されているのを認証する証明書です。ISMS 認証を取得すれば、ISO（国際標準化機構）の基準に従った管理ルール作りや実行・改善などが実施されている証明となり、社内でも従業員のセキュリティに対する意識の向上が期待できます。

Webアンケートに関するツールの選定時には、ISMS取得企業かどうかをチェックすると、セキュリティリスク軽減に直結するでしょう。また、認証の取得に加えて、きちんと内部統制やセキュリティポリシーが整備されているかもポイントです。

個人情報の適切な取り扱いを示す「プライバシーマーク」 

「プライバシーマーク」は、個人情報を適切に管理する企業に付与される日本独自の認証です。日本情報経済社会推進協会（JIPDEC）の決めた基準に適合する運用を実施している企業に対して、第三者機関が認定を行います。プライバシーマークは、個人情報を安全に管理できている企業の証明です。

アンケートで個人情報を収集する場合、プライバシーマークを取得しているツールを使用しているかどうかがユーザーからの信頼を得るための1つの指標になります。

Webアンケートツールを選ぶ際はセキュリティ以外の確認も重要 

Webアンケートツールを選定する際は、セキュリティが重要ではあるものの、ほかの機能も確認しておくのが大切です。Webアンケートツールを選ぶ場合は、必要に応じて以下のポイントも確認しましょう。

自社ニーズに合ったツール選びは、運用コスト削減や効果的なアンケート実施につながります。

ツールを利用してWebアンケートを作成する方法については、以下の記事も合わせてご覧ください。

【関連記事】アンケートはどう作る？作り方のコツを9ステップで解説

強固なセキュリティを備えるWebアンケート機能を活用できる「モバイルウェブ」 

「モバイルウェブ」は顧客満足度調査などのWebアンケートに最適なアンケートソリューションです。Webアンケートの作成から配信、集計、分析までをトータルにサポートするとともに、充実したセキュリティ対策でリスクを低減させ、顧客接点のデジタル化による業務のDX化を推進します。

「モバイルウェブ」の主な特徴や機能は、以下の通りです。

• アンケートフォーム作成や設問設定、回答者向け機能、結果集計・分析機能など、Webアンケートに関する充実した機能を用意
• コールセンターで顧客の声と対応者の紐づけや顧客接点と満足度の関連など、幅広く高度なデータ分析
• 到達率99%と高い回収率が期待できるSMSでアンケートを配信可能
• PC、スマートフォン、ガラケーなど多様なデバイスに対応
• グローバルIPアドレスでのアクセス制御やIDによる機能制限、保存データの暗号化など、万全のセキュリティ対策（オプション）
• 導入時には、アンケートフォームの項目設定代行など、アンケート開始までの手厚いサポートを用意

続いては、実際に「モバイルウェブ」を導入している企業様の事例を紹介します。

導入事例｜東京海上日動火災保険株式会社 様 

東京海上日動火災保険株式会社様では、カスタマーセンターでのアンケート収集業務を向上させるため「モバイルウェブ」を導入しています。従来の電話アンケートは頻繁に行うのが難しく、顧客にも余分な時間をとらせてしまうなどの課題がありました。

「モバイルウェブ」導入後は、SMSを利用したアンケートで収集数が約2倍に向上。また、アンケートフォームの改善により段階評価だけでなく、フリーテキスト入力により精緻かつ恣意性のないデータ収集が可能になりました。結果、アンケートの実施回数を増やしながらも、顧客と従業員ともに負担を低減させるとともにCX向上にもつながっています。

セキュリティに強いWebアンケートツールでリスクの抑制を

Webアンケートは、従来の紙を使ったアンケートよりも顧客の負担を減らしつつ、手軽かつスピーディにユーザーの生の声を収集できる有効なマーケティング手法といえます。しかし、顧客の個人情報や機密情報を取り扱うため、アンケート実施時にはセキュリティ対策が不可欠です。

Webアンケートのセキュリティ対策には、さまざまな方法があるものの、最もおすすめなのは専用ツールの導入です。専用ツールを利用すれば、セキュリティ対策だけでなく、Webアンケートの作成・運用に関する企業の負担を低減できます。

Webアンケートの実施を検討中の方は、ぜひアンケートソリューション「モバイルウェブ」の導入を検討してみてください。

以下のリンクから、モバイルウェブの案内とお役立ち資料のダウンロードが可能です。

「モバイルウェブ」のお役立ち資料のダウンロードはこちら