簡単便利なGoogleフォーム、設定ミスから個人情報閲覧可能に
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月29日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・入力フォームを設定する側が気を付けるべきポイントは
・入力フォームを利用するユーザ側が気を付けることは?
今回の解説ニュース
Googleフォームの設定ミスで、個人情報が漏えいしてしまったということです。今回は設定ミスで発生するインシデントと、その対策について説明します。
手軽に使えるGoogleフォームは、確かに便利です。ただし、簡単に使えるということは、重要なポイントを見逃してしまう原因にもなるようです。
今回のインシデントは、自分が申し込んだ後に表示される「前回の回答の表示」というリンクをクリックすると他人の申込情報が閲覧できる状態であったことが、申込者から連絡があり発覚しました。原因として、Googleフォームの設定ミスが挙げられています。
Googleフォームの設定に、プレゼンテーションの項目で「結果の概要を表示する」の機能が有効になっていたことが考えられます。この機能がオンになっていると「前の回答を表示」のリンクが有効になり、Googleフォームで回答されたアンケートの集計結果が表示されてしまいます。もし、個人データを収集するアンケートだった場合、個人情報の漏えいにつながってしまうことになります。
入力フォームを設定する側が気を付けるべきポイントは
アンケートの内容にもよりますが、個人データなど重要な情報を受け取る場合は、プライバシーポリシーなどを確認して、入力された情報を適切に取り扱ってくれるサービスを利用することが必要です。これは、ツール選びで最低限確認しなければいけない項目ですが、インシデント自体はどちらかというと、今回のような設定ミスで発生しているようです。
また、設定ミスを防ぐには、公開前に実際に操作してみて、今回のような設定ミスがないかテストすることが有効です。今回のインシデントの場合は、一度は操作してみれば有効にしてはいけない機能であることは明白なので、未然に防ぐことができた範囲だと思われます。ただし、設定項目が多いクラウドサービスだったり、自分でテストすることに自信がなかったりする場合は、セキュリティの専門会社に任せてしまうのも、お金はかかりますが確実な方法の一つです。
その他のトピック
入力フォームを利用するユーザ側が気を付けることは?
(全文はこちら)