セキュリティと迷惑メール対策
Q. espar form のサーバインフラには何を使用していますか?
2024年現在、AWSの日本国内リージョンを使用しています。当社は APN(AWS Partner Network) メンバーであり公表されています。本情報以上のインフラ関連のご質問は、セキュリティ理由で一切ご回答できませんのでご了承下さい。
Q. espar form のサーバにはどのような情報が保持されますか?
espar form では、有事のための調査用また管理画面上の送信履歴確認用に以下の情報をログとして保持します。
- 送信元メールアドレス
- 送信先メールアドレス
- 送信日時
- 送信成否
- メール処理用のキュー番号やID等の調査用情報
上記以外の情報は一切保持しません。
外部API連携 機能を使用して他システムにフォーム入力値を転送した場合、保存内容や保存期間は当該システムに依存します。当該システムのマニュアルやヘルプをご覧頂くか、当該システムの技術担当者等にお尋ね下さい。なお当該システムに記録されたデータは espar form および弊社の責任範囲外となりますのでご了承下さい。
Q. espar form のサーバに保存された情報が第三者に提供されることはありますか?
いいえ
法令により提供を要請された場合はこの限りではありませんが、サービス開始以来当該事案はございません。
Q. espar form のサーバがハックされてスパムメールが送られる等の可能性はありますか?
いかなるシステムも100%のセキュリティはない という意味でゼロではありません。しかし espar form では事実上ゼロに限りなく近づける為の防御機構を多数備えています。詳しくは espar form のスパム対策 のページをご覧下さい。
なお、espar form は一般的なWebフォームでスパムメールに悩まれているお客様が、スパム対策として導入されるケースも御座います。そのようにして導入されたお客様からはスパムメール送信があったとの報は一切ございません。また espar form のサーバがハックされた例は一度もございません。
Q. GDPR に対応していますか?
GDPRは、EU圏内の個人データの保護と取り扱いについて定めた規則です。個人データの収集への同意、プライバシーポリシーの提供、取得情報の最小化や安全管理などが必要になります(詳しくは弁護士等の専門家にお尋ね下さい)。
当該の要件を満たすための機能(同意するUIやプライバシーポリシーの表示等の機能)は espar form の役割ではないと考えています。GDPRの要件を満たすようなHTMLを実装し、収集する情報の取り扱いルールを定めて下さい。
また espar form の機能が GDPR に抵触することはありません。セキュリティに関連する以下のFAQも参考にして下さい。
Q. 導入するとスパムメールは減りますか?
はい
理論上減少します。espar form は JavaScript を使った独自の実装となっており、従来型のフォームとは異なる仕組みだからです。実際にスパムメールが激減したとのご報告もあるほか、スパムメール対策として espar form を導入いただいた事例もございます。
特に mailto: リンクを使用しているサイトや、著名なCMSプラグイン(WordPressの MW WP Form等)を使用しているサイトであれば、espar form はスパムメール対策として導入して頂くこともできます。espar form のスパム対策の対策1〜5も併せてご覧下さい。
Q. SPFには対応していますか?
はい
メールの送信元に指定するドメインに対して、そのTXTレコードに include:spf.espar.biz の設定値を追加することで対応可能です。詳しくはDNS設定(SPF)のページをご覧ください。SPFの設定が難しい場合、有償で作業を代行させて頂くことも可能です。
Q. DKIMには対応していますか?
はい
署名元サーバは espar.biz、DKIMセレクタは espf としてDKIM対応しています。
Q. DKIMの署名元ドメインを変更できますか?
はい
有償で独自ドメインによるDKIM署名に対応しています。価格は espar form 製品ページ価格表の オプション一覧 をご覧下さい。DKIMセレクタは espf 固定となります。
また、DKIM署名の独自ドメイン対応はご発注後となります。トライアル環境での評価中にDKIM署名の独自ドメインに対応することはできません。DKIM署名元の独自ドメイン対応についてはDNS対応(DKIM)をご覧下さい。
Q. DMARCには対応していますか?
espar form に対して行う質問ではありません。
DMARCとは、メールを受信する側のサーバが「メールのFROM値に指定されたドメインのSPF/DKIMの認証に失敗した場合にどのように処理するか」を、お客様ドメインのTXTレコード設定で宣言するものです。
DMARCはお客様のメール運用ポリシーに従い、お客様のドメインにて設定頂く必要があります。弊社や espar form が関与できるものではありません。ドメイン管理担当者様にご確認下さい。なお、espar form のSPF対応やDKIM対応については以下をご覧下さい。
Q. 管理画面ログインに2要素認証はありますか?
いいえ
今後の実装予定もございません。
Q. 管理画面ログインのIP制限は可能ですか?
はい
IPを個別に複数指定することができます。IPレンジ指定で制限することも可能です。
Q. 脆弱性診断は実施していますか?
はい
1年に1回以上行っています。セキュリティのため詳細については非公開としております。
Q. 監視体制は構築していますか?
はい
独自システムにて常時監視を行っています。異常検出時にはアラートが発火し、規定された対応手順に従って対応する体制を構築しています。対応手順については随時見直しを行っています。本情報以外はセキュリティ的な理由により情報開示致しません。
Q. espar form のサーバに対して脆弱性診断を行えますか?
いいえ
不正アクセス禁止法に抵触しますので、理由や背景に関わらず例外なく全ての脆弱性診断を目的とした(疑似)攻撃的アクセスを固くお断りしております。攻撃的アクセスに対する防衛は十分に行っていますが、脆弱性診断による(疑似)攻撃的アクセスが espar form をご契約の他のお客様に実損害を与える可能性を完全には否定できません。
脆弱性診断の実行者IPを特定し一切のアクセスを遮断させて頂く可能性があります。また警察への通報と被害届提出、弊社ウェブサイトやSNS等での公表、各社報道機関への情報提供、損害賠償請求等の法的措置も辞しませんので十分にご留意下さい。
espar form のサーバやシステムにおけるセキュリティ対策の取り組みについては、espar form のスパム対策の対策1〜5をご覧下さい。スパム対策の施策が全てセキュリティ対策を意図したものとなっています。
Q. 脆弱性診断を行えないと社内基準をクリアできないのですが?
espar form は Google Analytics 等と同様に JavaScript を埋め込むタイプのツールとなっています。
脆弱性診断とは、どのような脅威から何をどのように守るか、という脅威と防衛に関する正しい理解に基づき実施するものです。本質問は、セキュリティの基礎を全く理解できておらず「とりあえず安心できそうなことはやっておこう」という無知安直な有効性に乏しい社内基準であることの証左と言えます。
ルールにより脆弱性診断が必要であれば、では espar form の導入を検討されるWebサイトに埋め込む解析系ツール(例えば Google Analytics や Tag Manager)に対しても、同じ基準で脆弱性診断を実施された、またはされる予定でしょうか。
本質問をお持ちである時点で残念ながら弊社技術与信をクリア頂くことは困難であり、espar form のご提供をお断りさせて頂く可能性が非常に高いです。他ソリューションを御検討下さい。
Q. 当社(またはお客様)用意のセキュリティチェックシートには回答して頂けますか?
はい
ただし無償での対応は不可となります。種類や理由を問わずお客様指定のドキュメントへの記入や署名は1点あたり¥100,000(税別)の有償で承っております。前金制となり入金ご確認後の作成となりますのであらかじめご了承下さい。ご契約を前提にセキュリティチェックシートを無償回答させて頂くことはありません。
ファイルが複数ある場合にはファイル数で積算致します。またスプレッドシート等の複数ドキュメントを内包できるファイルフォーマットでは、シートの点数だけ積算となります。またファイルやシートが長文であると弊社が判断した場合、弊社環境にてPDF化(A4用紙上の文字が視力1.0で容易に視認できるフォントサイズで印刷することを想定)を行った合計ページ数での積算となります。印刷時のページ数を削減する明らかな意図が窺えるファイルは単価5倍とした上で積算させて頂きます。
なお、多くのセキュリティチェックシートの確認項目は、当ドキュメントまたは弊社Webサイトに記載されておりますので適宜ご確認下さい。