セキュリティと迷惑メール対策
Q. espar form のサーバインフラには何を使用していますか?
2024年現在、AWSの日本国内リージョンを使用しています。当社は APN(AWS Partner Network) メンバーであり公表されています。本情報以上のインフラ関連のご質問は、セキュリティ理由で一切ご回答できませんのでご了承下さい。
Q. espar form の管理画面での操作ログの記録はありますか?
はい
保守用ログとして保管しているもので管理画面から閲覧・取得はできません。有償でご提供可能ですので、詳しくは espar form 公式価格ページの管理画面 操作証跡データ提供の欄をご覧下さい。
Q. espar form のサーバの情報が第三者に提供されることはありますか?
いいえ
法令により提供を要請された場合はこの限りではありませんが、サービス開始以来当該事案はございません。
Q. espar form のサーバがハックされてスパムメールが送られる等の可能性はありますか?
いかなるシステムも100%のセキュリティはない という意味でゼロではありません。しかし espar form では事実上ゼロに限りなく近づける為の防御機構を多数備えています。詳しくは espar form のスパム対策 のページをご覧下さい。
なお、espar form は一般的なWebフォームでスパムメールに悩まれているお客様が、スパム対策として導入されるケースも御座います。そのようにして導入されたお客様からはスパムメール送信があったとの報は一切ございません。また espar form のサーバがハックされた例は一度もございません。
Q. GDPR に対応していますか?
GDPRは、EU圏内の個人データの保護と取り扱いについて定めた規則です。個人データの収集への同意、プライバシーポリシーの提供、取得情報の最小化や安全管理などが必要になります(詳しくは弁護士等の専門家にお尋ね下さい)。
当該の要件を満たすための機能(同意するUIやプライバシーポリシーの表示等の機能)は espar form の役割ではないと考えています。GDPRの要件を満たすようなHTMLを実装し、収集する情報の取り扱いルールを定めて下さい。
また espar form の機能が GDPR に抵触することはありません。セキュリティに関連する以下のFAQも参考にして下さい。
Q. 導入するとスパムメールは減りますか?
はい
理論上減少します。espar form は JavaScript を使った独自の実装となっており、従来型のフォームとは異なる仕組みだからです。実際にスパムメールが激減したとのご報告もあるほか、スパムメール対策として espar form を導入いただいた事例もございます。
特に mailto: リンクを使用しているサイトや、著名なCMSプラグイン(WordPressの MW WP Form等)を使用しているサイトであれば、espar form はスパムメール対策として導入して頂くこともできます。espar form のスパム対策の対策1〜5も併せてご覧下さい。
Q. SPFには対応していますか?
はい
メールの送信元に指定するドメイン(サブドメイン)のTXTレコードに include:spf.espar.biz の設定値を追加することで対応可能です。詳しくはDNS設定(SPF)のページをご覧ください。SPFの設定が難しい場合、有償で作業を代行させて頂くことも可能です。
Q. DKIMには対応していますか?
はい
署名元サーバは espar.biz、DKIMセレクタは espf としてDKIM対応しています。
Q. DKIMの署名元ドメインを変更できますか?
はい
有償で独自ドメインによるDKIM署名に対応しています。価格は espar form 製品ページ価格表の オプション一覧 をご覧下さい。DKIMセレクタは espf 固定となります。
また、DKIM署名の独自ドメイン対応はご発注後となります。トライアル環境での評価中にDKIM署名の独自ドメインに対応することはできません。DKIM署名元の独自ドメイン対応についてはDNS対応(DKIM)をご覧下さい。
Q. DMARCには対応していますか?
espar form に対して行う質問ではありません。
DMARCとは、メールを受信する側のサーバが「メールのFROM値に指定されたドメインのSPF/DKIMの認証に失敗した場合にどのように処理するか」を、お客様ドメインのTXTレコード設定で宣言するものです。
DMARCはお客様のメール運用ポリシーに従い、お客様のドメインにて設定頂く必要があります。弊社や espar form が関与できるものではありません。ドメイン管理担当者様にご確認下さい。なお、espar form のSPF対応やDKIM対応については以下をご覧下さい。
Q. Gmailのガイドラインには対応していますか?
はい
ただし、(2024年現在)Gmailのガイドラインが適用されるのは1日に5000件以上のメールをGoogleアカウント宛てに送信する場合に限られます。詳しくはGmailの公式ドキュメントメール送信者ガイドラインをご確認下さい。
もし1日5000件以上の入力が見込まれる場合、メール送信者ガイドラインに対応させるため、espar form を使って送信するメールのFROMに指定するドメインに対してSPFとDKIMの設定が必要です。
SPFは必須となりますのでDNS設定(SPF)をご覧頂き設定して下さい。DKIMは原則設定しなくても対応が完了しますが、DKIM署名を独自のものにしたい場合は特別な手続きが必要です。DNS設定(DKIM)を確認して下さい。
Q. 管理画面ログインに2要素認証はありますか?
いいえ
今後の実装予定もございません。
Q. 管理画面ログインにパスキー認証はありますか?
いいえ
今後の実装予定もございません。
Q. 管理画面ログインのIP制限は可能ですか?
はい
IPを個別に複数指定することができます。IPレンジ指定で制限することも可能です。
Q. 管理画面にユーザ管理の機能はありますか?
いいえ
espar form ではアカウントとしてホスト名(ドメイン名)を採用しています。そもそもユーザという概念は存在せず、ユーザ管理機構も備えていません。espar form の管理画面アカウントは、ホスト(ドメイン)に対する最高権限を持ったユーザと同義であると捉えて下さい。
Q. 脆弱性診断は実施していますか?
はい
1年に1回以上行っています。セキュリティのため詳細については非公開としております。
Q. 監視体制は構築していますか?
はい
独自システムにて常時監視を行っています。異常検出時にはアラートが発火し、規定された対応手順に従って対応する体制を構築しています。対応手順については随時見直しを行っています。本情報以外はセキュリティ的な理由により情報開示致しません。
Q. espar form のサーバに対して脆弱性診断を行えますか?
いいえ
理由や背景に関わらず例外なく全ての脆弱性診断を目的とした(疑似)攻撃的アクセスは原則お断りしております。攻撃的アクセスに対する防衛は十分に行っていますが、脆弱性診断による(疑似)攻撃的アクセスが espar form をご契約の他のお客様に実損害を与える可能性を完全には否定できないためです。
ただし社内基準等の理由で脆弱性診断が必須である場合、条件付きで実施頂くことが可能です。詳しくはQ. 脆弱性診断を行えないと社内基準をクリアできないのですが?をご参照下さい。
なお、弊社への事前の連絡なき、また前述の条件に準じない脆弱性診断アクセスが確認できた場合、不正アクセス禁止法に抵触する行為と断定し、脆弱性診断の実行者IPの特定と一切のアクセスを遮断、および事前通達なくサービス提供の強制停止をさせて頂く場合があります。また警察への通報と被害届提出、弊社ウェブサイトやSNS等での公表、各社報道機関への情報提供、加えて損害賠償請求等の法的措置も辞しませんので十分にご留意下さい。
espar form のサーバやシステムにおけるセキュリティ対策の取り組みについては、espar form のスパム対策の対策1〜5をご覧下さい。スパム対策の施策が全てセキュリティ対策を意図したものとなっています。
Q. 脆弱性診断を行えないと社内基準をクリアできないのですが?
以下条件を全て受諾・了承頂ける場合に限り、脆弱性診断を実施頂くことができます。
- 実施日時を弊社が定める実施可能日時内で計画し、事前に弊社に申し出ること
- 実施可能な日時は、土日祝日その他弊社休業日を除く平日10:00-16:00のみ
- DoS攻撃、DDoS攻撃、それらに類する負荷増を目的とした(擬似)攻撃は行わないこと
- 事前に(擬似)攻撃的アクセスの計画書、または攻撃仕様書に準ずる書面を提出すること
- 脆弱性診断の結果レポートの複製を実施日1週間以内に弊社に提出すること。1週間以内の提出期日が守れない場合、期日前日までにその理由と提出予定日を報告すること
- 脆弱性診断により万が一何らかの指摘があった場合にその対応を行うとは限りません
- 脆弱性診断の対応には1回あたり¥100,000(税別)が別途必要です。脆弱性診断の結果、espar form を不採用とされた場合でも当該費用の支払いは免除されません
上記の条件の全てを受託・了承頂く必要があります。例外は一切認められません。多数のお客様にご利用頂く共用リソースに対する(擬似)攻撃行為であるため、十分にご理解下さい。
上記の条件が1つでも満たされない場合、不正アクセス禁止法違反行為と断定し、Q. espar form のサーバに対して脆弱性診断を行えますか?に記載の断固たる対応・措置をとりますので十分にご留意下さい。
Q. 当社(またはお客様)用意のセキュリティチェックシートには回答して頂けますか?
はい
ただし無償での対応は不可となります。種類や理由を問わずお客様指定のドキュメントへの記入や署名は1点あたり¥100,000(税別)の有償で承っております。前金制となり入金ご確認後の作成となりますのであらかじめご了承下さい。ご契約を前提にセキュリティチェックシートを無償回答させて頂くことはありません。
ファイルが複数ある場合にはファイル数で積算致します。またスプレッドシート等の複数ドキュメントを内包できるファイルフォーマットでは、シートの点数だけ積算となります。またファイルやシートが長文であると弊社が判断した場合、弊社環境にてPDF化(A4用紙上の文字が視力1.0で容易に視認できるフォントサイズで印刷することを想定)を行った合計ページ数での積算となります。印刷時のページ数を削減する明らかな意図が窺えるファイルは単価5倍とした上で積算させて頂きます。
なお、多くのセキュリティチェックシートの確認項目は、当ドキュメントまたは弊社Webサイトに記載されておりますので適宜ご確認下さい。