Jotform 安全なオンラインフォーム
Jotformの評判は、すべてのユーザーに最高のフォームセキュリティを提供できるかどうかにかかっています。
なぜJotformは安全なのですか?
お客様のデータのプライバシーとセキュリティを確保することは、当社にとって最優先事項です。オンラインフォームのサービスには万全を期しておりますのでご安心ください。
フォームをより安全にするにはどうしたらいいですか?
Jotformでは、フォームデータのセキュリティオプションがいくつか用意されています。このため、フォームに必要なプライバシーとセキュリティのレベルを簡単に選択することができます。
アカウント設定のデータタブから、ワンクリックでをバックアップできます。バックアップを実行すると、フォームのHTML コード、フォーム投稿のCSVエクスポート、アップロードされたファイルを含む、ZIPファイルが作成されます。
これらのバックアップはダウンロードまたはデータベースに保存することができます。フォームのみをバックアップしたい場合は、発行オプションからzip形式でソースコードをダウンロードし、ローカルストレージに保存することも可能です。
Jotformは2種類のCAPTCHAを提供しており、ボットによるフォーム入力を難しくし、かつフォーム回答者には簡単に入力できるようにしています。基本的な、CAPTCHAを使用するか、Googleが提供するreCAPTCHAを使用するか、どちらかをお選びください。
送信プロセス内に複数のコードチェックを実装し、送信が実際に人から行われているかを分析しています。万が一スパムが通過してしまった場合でも、年中無休の当社のサポートチームが常時対応し、原因を突き止めて必要があればアカウントを調整します。
スパム対策として、1つのIPアドレス、または1つのコンピュータからの送信を制限することもできます。ご希望により、両方を有効にして、より高い安全性を維持することもできます。さらに、特定の時間にフォームを無効にしたり、特定の送信数制限に達した際にフォームを無効にしたりすることもできます。
ユーザーのデータを保護するために、他にどのような対策をとっているのですか?
フォームセキュリティ、高可用性、高パフォーマンスに関しては、Jotformは常に適切な対策をおこなっています。Jotformはサービスの安全性を保つために最適なソリューションを提供しています。
Jotformエンタープライズアカウントでは、シングルサインオン(SSO)を使用することで、セキュリティを強化しながら、従業員同士の共同作業を容易にすることができます。複数のログイン方法から選択でき、ユーザーの操作を追跡し、アカウントのセキュリティを管理するためのオプションも用意されています。
Jotformエンタープライズは、SAMLユーザー認証と、Active Directory、Okta、Google、OneLoginなどの主要なSSO(シングルサインオン)ソリューションに対応しています。Multi SSOを使用すると、GoogleやMicrosoftなど複数のIDプロバイダーを通じて同時にユーザー認証を行うことができ、さまざまな認証ニーズを持つ組織の柔軟性とセキュリティが向上します。
また、JotformエンタープライズのSSO(シングルサインオン)を使って内部向けフォームを保護することもできます。ユーザーはフォームを閲覧する前に認証が必要となるため、機密性の高い従業員データを安全に収集でき、フォームを送信する人が確認済みユーザーであることを保証できます。
セキュリティを高める機能を実装するだけでなく、お客様のアカウントが安全であり続けるよう、バックエンドでもベストプラクティスを維持しています。セッションを監視してアカウントへのアクセスを適切に制限し、すべてのアカウントが隔離されるようにJotformを構築しています。
当社では、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を検出するためのセーフガードを配置しています。最も重要なことは、(すべてのユーザーのフィードバックの評価をおこなうことに加えて)潜在的なセキュリティ上の懸念事項について常にコードのチェックをおこない、問題の確認ができた場合にすぐに対処できるよう取り組んでおります。当社のプライバシーステートメントは、お客様のデータが悪用されないようにするための当社のコミットメントのレベルを公開しています。
開発されたコードは、ステージングシステム上でのテスト実行など、一定の手順を経て初めてプロダクション環境にデプロイされます。当社の継続的なデプロイメントシステムと開発プロセスにより、必要に応じて迅速にシステムを更新し、パッチを適用することができます。
PCIスキャンは、一般に公開されているインターフェイスのあらゆる種類の脆弱性を検出するために定期的に行われます。また、四半期ごとに内部および外部のASV(Approved Scanning Vendor)によるPCI検査を実施しています。これらのPCIスキャンに加えて、Jotformでは定期的にペンテストを実施しています。
また、脆弱性を報告してくれた外部の方に報酬を支払うバグバウンティプログラムを実施しており、これにより脆弱性に対してすばやく対応することができます。バグバウンティプログラムに報告された問題は、可能な限り最短時間で最優先に修正がおこなわれます。
CloudFlareが提供する外部ルーティングレイヤーにより、潜在的なDDoS(サービスの停止)攻撃を処理し、管理するための基本的なフィルタリングを提供しています。セキュリティスキャンは、監査/VA/PTの章で説明されているように定期的に実行されます。当社のサーバーは、管理に必要な最低限のアクセスしか許可しないように設定されています。
不要なユーザー、プロトコル、ポートはすべて無効化され、監視されています。当社の従業員は、秘密鍵を使用した2048ビットの暗号化された接続を使用して、仮想プライベートネットワークを介してのみサーバーにアクセスすることができます。サードパーティのセキュリティサービスに加えて、経験豊富な開発運用チームがシステム全体の不審な動作を継続的に監視しています。
よくある質問 (FAQ)
フォームにセキュリティ機能はありますか?
はい。フォームは保護された256ビットのSSL(Secure Sockets Layer)接続で保存されます。フォームを暗号化すると、投稿はカスタムパスワードで保護されます。さらに、"フォームをさらに安全にするには?" のセクションで説明したように、プライバシーとスパムの保護をさらに有効にすることができます。
暗号化されたフォームデータをすべて保存していますか?暗号化されたフォームに対して通知メールを送信していますか?
フォームの暗号化をご希望の場合、投稿データは暗号化されて転送、保存されます。これらのフォームの通知メールは暗号化されていないため、投稿データは含まれません。
御社のシステムを使用した場合、私のデータは転送中も保管中も保護されますか?
はい。フォームを暗号化すると、投稿データは弊社のサーバーに送信される間、256ビットSSL暗号化通信により暗号化されます。弊社サーバーに到着後、SSLは復号化され、お客様のデータは暗号化されて弊社サーバーに保存されます。暗号化パスワードをお持ちの方のみが、お客様のフォームデータにアクセスすることができます。
検索エンジンは私のフォームデータをインデックス化できますか?
Jotformでは、検索エンジンが投稿をインデックス化することを禁止しています。また、投稿へのアクセスを自分のアカウントだけに制限し、一般ユーザーが投稿にアクセスできないようにすることもできます。
アップロードしたファイルはどのように保存されますか?
フォームにアップロードされたファイルには、非常に複雑なURLが割り当てられ、このURLを持つ人だけがこれらのファイルをダウンロードすることができます。しかし、ファイルアップロードのセキュリティを強化したい場合は、Jotformにログインしていることを条件に、アクセスを制限することができます。さらに詳しくはこちらをご覧ください。
あなたの会社では、クレジットカードの取引や情報を扱っていますか?また、PCI DSSには準拠していますか?
Jotformは、クレジットカード決済の受付や連携を行う事業者として、Payment Card Industry Data Security Standard (PCI DSS) のサービスプロバイダ レベル I認証を取得しています。これは、決済を扱うビジネスが取得できる最高レベルのセキュリティ認証です。通常、支払いは決済プロセッサーのウェブサイト上で処理されますが、PayPal Payments Pro、Authorize.net、Worldpay US、PayJunctionの場合は、クレジットカードの情報がJotformのPCI準拠サーバー上で処理されます。ただし、情報が保存されることはありません。
Jotformのセキュリティ(HTTPS/暗号化)基準は何ですか?
デフォルトでJotformでは、HTTPSのSHA256/RSA暗号化の上に、TLSv1.2接続標準を使用します。フォーム送信の暗号化には、Jotformは2048ビットのRSAキーを使用します。
クロスサイトスクリプティング(XSS)やSQLインジェクションを防ぐには?
Jotformは、このような脆弱性を防ぐためにベストプラクティスを適用し、潜在的なセキュリティ上の問題がないか、常にコードを精査しています。さらに、ユーザーからのフィードバックやバグバウンティプログラムの報告を、可能な限り最短時間で確認しています。
悪質な攻撃に対するセキュリティ対策として、何を使用していますか?
スパム、フィッシング、DDOS攻撃対策にはCloudFlareを、侵入検知とサーバー監視にはOSSECを使用しています。
Jotformのデータベースに集められた情報には誰がアクセスできますか?
Jotformのサーバーは、ネットワークと認証レベルによってアクセスが制限されています。ネットワークレベルでは、限られた数のVPNエントリーポイントのみが許可され、それ以外の接続要求はファイアウォールによって完全にブロックされます。認証レベルでは、開発オペレーションチームとCTOおよびCEOのみが、これらのサーバーにアクセスするための権限を持っています。
パスワードの複雑性に関するポリシーはありますか?
パスワードの複雑さに関するポリシーはありません。パスワードはsaltとSHA-256で暗号化されています。
あなたの会社には、侵入検知ポリシーがありますか?
Jotformでは、アプリケーションサーバーにホスト侵入検知システム(HIDS)を、開発オフィスにネットワーク侵入検知システム(NIDS)を使用しています。さらに、PCI要件に従ってPCI侵入検知ポリシーが適用されます。
Jotformでは従業員に対してどのようなデューデリジェンスが行われていますか?
Jotformのすべての社員は、採用時に厳格な審査を通過しなければなりません。また、全ての社員は秘密保持契約書(NDA)に署名し、これに従うものとします。
データセンターではどのようなデータセキュリティ対策を行っていますか?データセキュリティ、データの機密性、データの安全な送信に関連する証明書はありますか?データセンターはSOC 2に準拠していますか?
当社のサーバーをホストするすべてのデータセンターは、最高のセキュリティ基準を満たしています。当社の主要プラットフォームはGoogle Cloudで、SSAE16/ISAE 3402 Type II、SOC 1、SOC 2、SOC 3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS v3.2に準拠しています。また、HIPAAへの準拠も可能です。Google Cloudのコンプライアンスに関する詳細は、https://cloud.google.com/security/complianceをご覧ください。
データセンターはどこにありますか?社内にサーバーはありますか?
Jotformは、すべてのデータセンターホスティング Google Cloudと AWSを利用しており、自社サーバーは保有していません。最新のクラウドホスティング拠点一覧については、データセンターのセクションをご覧ください。
システムにセキュリティ上の欠陥がないかテストしていますか?
はい、当社のシステムは、外部および内部の脅威に対して定期的にテストされています。