2025年ウェブフォームセキュリティレポート

Webフォームは、最も機密性の高いデータを収集しています。顧客認証情報、財務記録、健康情報、政府発行IDなどが含まれます。そして、過去2年間で44%の組織がこれらのフォームを通じてデータ侵害を経験しています。

「2025年データセキュリティ＆コンプライアンスリスク：年次データフォーム調査レポート」では、324名のサイバーセキュリティ、リスク、IT、コンプライアンスの専門家からの回答を分析しました。その結果、重大なギャップが明らかになりました。組織は自社のセキュリティを高度と評価していますが、実際にはインシデントが発生しています。過去24か月で88%が少なくとも1件のWebフォームセキュリティインシデントを経験しています。

主なポイント

1. セキュリティ成熟度がフォーム侵害を防ぐとは限らない。 セキュリティを「高度」または「先進的」と評価する組織でも、87%がインシデントを報告しています。自己評価による成熟度と実際の侵害防止の間にはギャップがあり、従来型のセキュリティコントロールは、レガシー、埋め込み、部門所有フォームなど、攻撃者が狙う箇所へのカバレッジが一貫していない場合に機能しません。
2. データ主権が必須要件に。 現在、85%の組織がデータ主権を「極めて重要」または「非常に重要」と評価しており、政府（94%）、金融サービス（93%）、ヘルスケア（83%）がこの要件をリードしています。組織は、クラウドインフラに関する曖昧な約束ではなく、データが承認された管轄区域内にとどまる証拠を必要としており、この能力がベンダー選定の排除基準となっています。
3. 検知のみで対応がなければ危険な遅延が発生。 82%がリアルタイムの脅威検知を導入していますが、自動対応を備えているのは48%にとどまり、攻撃を認識しても手動チケットや調整に依存する34%のギャップが生じています。攻撃者は手動対応よりも速く動き、封じ込め前に偵察からデータ流出へと移行します。
4. モバイルフォームが最大の無防備な攻撃面。 71%の組織が、フォーム提出の21%～60%をモバイルデバイスから受け取っていますが、モバイル特有のセキュリティ対策は利用状況に大きく遅れています。デスクトップのワークフローはセキュリティレビューやペネトレーションテストを受けますが、モバイルフローはこれらのプロセスを回避し、パスワードリセットや本人確認、福利厚生申請フォームに悪用可能なギャップが生じています。
5. フォームセキュリティへの投資が戦略的優先事項の転換を示す。 83%が年間10万ドル以上をフォームセキュリティに割り当てており、48%は25万ドル以上を投入しています。これは最近のインシデント（82%）、規制要件（76%）、顧客からの要望（69%）が主な要因です。フォームセキュリティはITの保守から経営層レベルの戦略的イニシアチブへと進化し、71%が6か月以内の導入を計画しています。

これは単に新たなセキュリティツールを追加する話ではありません。問題はもっと根深いのです。多くの組織は利便性を優先してフォーム基盤を構築してきたため、今その代償を支払っています。

自信と現実のギャップ

64%の組織が自社のセキュリティ成熟度を「高度」または「先進的」と表現しています。しかし、実際のインシデント発生率を見ると、自己評価は崩れます。

「高度」なセキュリティプログラムを持つ組織でも、87%がインシデントを報告しています。「先進的」と主張する組織でも83%がインシデントを経験しています。「基本」と「先進的」なセキュリティ体制の差はわずか12ポイントです。

このギャップが示すのは、従来型のセキュリティコントロールは一貫して適用されていれば機能しますが、多くの組織は一貫性のあるカバレッジを実現できていないということです。メインプラットフォームは保護しても、レガシーフォーム、埋め込みフォーム、部門所有フォームは無防備なままです。

フォームの弱点を突く攻撃パターン

攻撃者は狙いどころを知っています。見落とされたフォームが標的です。

61%の組織がボットや自動化攻撃を受けています。 これらは単純なスパムボットではありません。最新の攻撃は、検証の弱点を探り、レート制限をテストし、複数のフォームで認証情報詰め込みを同時に試みます。

47%がSQLインジェクション攻撃を経験。 82%がパラメータ化クエリを使用していると主張しているにもかかわらず、依然として発生しています。その理由は、すべてのフォームがこれらのクエリを実装しているサービスに接続しているわけではないからです。レガシーバックエンドは依然として文字列連結を行い、サードパーティフォームは強化されたインフラを完全に迂回します。

39%がクロスサイトスクリプティング脆弱性に対処。 攻撃者はフォームフィールドにスクリプトを注入し、後で他のユーザーのブラウザで実行させます。影響は最初の侵害を超えて広がります。

28%がセッションハイジャックを被害。 認証コントロールが弱い、またはセッション管理が甘い場合に発生します。パスワードのみのフォームが最も高いハイジャック率を示しています。

パターンは一貫しています。攻撃者は最も脆弱なフォームを狙います。リード獲得用の公開フォーム、現行規格以前の古いフォーム、クライアントサイドのロジックが支配しサーバーチェックが不十分なモバイルフローなどです。

フォーム関連侵害の高コスト

組織が侵害の影響を評価する際、5つの結果が際立っています。

37%が財務的損失を壊滅的と見なす。 外部調査によると、データ侵害の平均コストは444万ドルです。これにはインシデント対応、フォレンジック、法的費用、通知コスト、クレジットモニタリング、システム修復が含まれます。

26%が規制違反による罰則を壊滅的と評価。 92%がGDPR、58%がPCI DSS、41%がHIPAAの下で運用しており、フォーム侵害は複数の管轄での執行を招きます。GDPRの罰金はグローバル売上に連動し、PCI違反はレコード単位の罰金や決済処理権の喪失リスクも伴います。

23%が法的責任を壊滅的と捉える。 顧客や従業員による集団訴訟は何年も続きます。パートナーとの契約紛争も被害を拡大させます。

評判の失墜と顧客信頼の喪失も、それぞれ20%、15%が壊滅的と回答。 これらの影響は、新規案件の受注率低下、パートナー審査の厳格化、取締役会からの圧力として現れます。

財務的・規制的影響が注目されがちですが、持続的なコストは、侵害後も終わらない監視、報告、コンプライアンス業務にあります。

データ主権は譲れない条件に

現在、85%の組織がデータ主権を「極めて重要」または「非常に重要」と評価しています。61%はコンプライアンス上、厳格に必須としています。

これは根本的な変化を示します。5年前はデータレジデンシーはチェックリスト項目でしたが、今やベンダー選定の決定要因となっています。

政府機関がこの要件をリード。 94%が主権を「極めて重要」または「非常に重要」と評価し、75%がデータの国内保管を義務付けています。市民データの所在を証明できなければ、選定から除外されます。

金融サービスも93%と高水準。 これらの組織は、フォームを通じて財務記録（90%）、決済カードデータ（83%）、認証情報（79%）を収集しています。ほぼ全てがGDPR（98%）とPCI DSS（90%）の要件に直面しており、EUデータ保護基準と米国金融規制の両方を満たす導入オプションが必要です。

ヘルスケアは83%に。 97%がフォームで保護対象保健情報を収集しており、HIPAAコンプライアンスに加え、欧州患者へのGDPR対応や州レベルのプライバシー規制も課されています。規制の重層化は複雑かつ厳格です。

従来クラウド優先だったテクノロジー企業でさえ、86%が主権機能を重視しています。グローバル展開には地域ごとのコンプライアンスが求められ、顧客もデータレジデンシーの証明を要求する傾向が強まっています。

課題は単にデータを適切な地域に保存することではありません。リージョン間の複製防止、バックアップの所在管理、ログや分析データの保存先管理、すべてのデータ移動の監査証跡作成が必要です。

規制フレームワークの重層化

組織は単一の規制下で運用しているわけではありません。複数の重複するフレームワークを同時に乗り越えています。

92%がGDPR遵守を必須としています。 これは欧州企業だけでなく、EU居住者からデータを収集するすべての組織に影響します。要件は同意管理、データ最小化、目的限定、越境移転制御など多岐にわたります。

58%がPCI DSS要件に直面。 決済フォームはカードデータを保存しなくてもリスクを生みます。伝送セキュリティ、ネットワークセグメンテーション、ログ要件が適用されます。

41%がHIPAAの下で運用。 ヘルスケア分野ではこの割合が97%に跳ね上がります。患者受付フォーム、保険確認、検査依頼、紹介、遠隔医療ワークフローなどでPHIが移動します。

37%がCCPAおよびCPRA基準を満たす必要あり。 カリフォルニア州のプライバシー法は、州外の居住者データを収集する場合にも適用されます。

政府回答者の75%がFedRAMP認証を要求。 69%がFIPS 140-3認証済み暗号化を必要としています。これらの認証取得には数か月と多額の投資が必要であり、市販のフォームベンダーの多くは対象外となります。

組織が最も大きなコンプライアンス課題として挙げるのは、データ主権・レジデンシー要件です。次に監査証跡や文書化の維持が続きます。複数フレームワーク対応に必要な証拠量は手作業では対応しきれません。

検知と対応のギャップがリスクを生む

82%がリアルタイム脅威検知を導入しています。一見安心に思えますが、自動対応を備えているのは48%に過ぎません。

この34%のギャップは、攻撃を認識しても手動介入に頼らざるを得ない組織を示しています。セキュリティチームはアラートを受け、チケットを発行し、メールを送り、チーム間で調整し、手動で封じ込め手順を実行します。

攻撃者はチケット処理よりも速く動きます。偵察からデータ流出まで、チームが対応を調整し終える前に進行します。

検知と自動対応を組み合わせた組織は、全体的なインシデント発生率と侵害転換率が明らかに低いと報告しています。SQLインジェクション試行を検知した場合、自動システムがIPをブロックし、侵害の可能性があるセッションを無効化し、追加監視を人手を介さずに実行できます。

このギャップは、検知ツールの進化が対応オーケストレーションよりも速かったために生じています。多くの組織はSIEMや脅威インテリジェンスを導入しましたが、その知見を自動で活用するワークフローを構築できていません。

モバイルフォームセキュリティは利用実態に追いつかない

71%の組織が、フォーム提出の21%～60%をモバイルデバイスから受け取っています。41%にとってはモバイルが最大の流入チャネルです。

しかし、モバイル特有のセキュリティ対策は利用実態に遅れています。証明書ピンニングを「重要」と評価するのはわずか23%。生体認証の導入率は48%ですが、高リスクワークフローで強制されることはほとんどありません。

このミスマッチが攻撃者の機会を生みます。パスワードリセット、本人確認、福利厚生申請、サービスポータルなどのモバイルフォームは、機密データと脆弱なクライアント側防御が組み合わさっています。

デスクトップワークフローは時間をかけてセキュリティレビューやペネトレーションテストで強化されますが、モバイルフローは二次的チャネルと見なされ、これらのプロセスを回避しがちです。しかし、現実はもはやそれに合致しません。

投資が戦略的優先事項を示す

フォームセキュリティはIT保守から戦略的イニシアチブへと移行しました。予算配分がそれを証明しています。

83%が年間10万ドル以上を割り当て、48%は25万ドル以上、21%は年間50万ドル超を投じています。

これらの数字は組織規模を問わず見られます。従業員500～999人の企業でも6桁の予算を確保しています。フォームセキュリティは大企業だけの課題ではありません。

支出の原動力は何か？82%が最近のセキュリティインシデント、76%が新たなまたは拡大する規制要件、69%が顧客・パートナーからの要望、61%が取締役会や経営陣の指示を挙げています。

スケジュールも緊急性を裏付けています。71%が6か月以内の導入・アップグレードを計画し、30%は3か月以内の完了を目指しています。

しかし障壁も残ります。72%が予算制約を挙げ、フォームセキュリティが他の施策と競合しています。58%は社内専門知識の不足、48%は技術的複雑さ、41%はレガシーシステムの制約を課題としています。

予算自体は存在します。課題は、競合する優先事項の中で配分を正当化し、明確な投資対効果を示すことです。

業界別リスクプロファイル

攻撃タイプは業界を問わず一貫していますが、リスクの集中度は大きく異なります。

金融サービス

金融サービスは最も高いリスクプロファイルを示します。90%が財務記録、85%が従業員データ、83%が決済カード、79%が認証情報をフォームで扱っています。

規制環境も同様に厳格です。98%がGDPR要件、90%がPCI DSS準拠を求められます。半数以上がSOX義務や州のプライバシー法にも対応しています。

フォームは顧客オンボーディング、ローン申請、KYC・AMLワークフロー、アカウント更新、取引業務、パートナーデータ交換など多岐にわたり、それぞれが侵害ベクトルとなり得ます。

ヘルスケア

ヘルスケアは最も機密性の高いデータを扱います。97%がフォームで保護対象保健情報を収集。患者受付、検査依頼、保険情報、紹介、遠隔医療ワークフローなど、PHIがフォームインターフェースを介して移動します。

HIPAAコンプライアンスはほぼ普遍的で、欧州患者の治療やグローバル研究ではGDPRも適用されます。州ごとの健康プライバシー規制も加わります。

レガシー臨床システムやサードパーティポータルが一貫した弱点となっています。多くの医療フォームは現行のセキュリティ基準以前に作成され、数十年前のEHRシステムと接続しています。

政府

政府はデータセット内で最も厳格な要件に直面しています。81%が政府ID番号を収集。フォームは申請、福利厚生登録、許認可、調達、市民サービスポータルを支えています。

75%がFedRAMP認証、69%がFIPS 140-3認証済み暗号化を要求。サイバーセキュリティ成熟度モデル認証2.0は防衛・請負業者環境に適用され、地域・国家レベルのデータレジデンシー法がデータの越境を禁止しています。

市販のフォームベンダーはこれらの要件を満たせない場合が多いです。FedRAMP認証取得には数か月と多額の投資が必要で、FIPS認証は連邦規格に基づく暗号モジュールのテストが求められます。多くのベンダーはこれらの能力を持ちません。

今、組織が取るべきこと

本レポートは明確な指針を示しています。まず次の5つのアクションから始めましょう。

まず、すべてのフォームを棚卸しする。 存在を把握していないものは保護できません。レガシーフォーム、埋め込みフォーム、サードパーティフォーム、モバイルフロー、部門作成フォームすべてを特定・評価します。多くの組織が、忘れていた数百ものフォームを発見します。

次に、エンドツーエンドの暗号化を徹底する。 すべての通信にTLS 1.3を必須とし、データは送信から保存まで暗号化します。保存データにはAES 256暗号化を使用し、SSN・決済データ・認証情報など高リスク項目にはフィールドレベル暗号化を適用。規制対象業務にはFIPS 140-3準拠を確認します。

三つ目は、データ主権コントロールの実装。 フォームは地域レジデンシーオプション付きで展開し、クラウド・ハイブリッド・オンプレミス・政府クラウドなど、コンプライアンス要件に合致した導入形態を選択します。明示的な許可がない限りリージョン間複製を防止し、データの所在を監査用に記録します。

四つ目は、検知と対応のギャップを埋める。 リアルタイム監視と自動インシデント対応を組み合わせ、SIEMやSOARと連携。人手を待たずに封じ込めを実行するプレイブックを構築し、定期的にワークフローをテストします。

五つ目は、コンプライアンス証拠の自動化。 監査準備を手作業で行うのはやめましょう。フォーム設定を継続的に監視し、アクセス・変更・データ処理の監査ログを取得。GDPR、PCI DSS、HIPAA、SOX、サイバーセキュリティ成熟度モデル認証にマッピングされた証拠を自動生成し、設定の逸脱をリアルタイムで検知します。

市場は二極化へ

フォームベンダーは、データレジデンシー・暗号化検証・政府水準のセキュリティを証明できる企業と、できない企業に分かれつつあります。

汎用フォームビルダーは利便性重視で設計されており、FedRAMP認証やFIPS 140-3検証、マルチリージョンデータ分離などの要件を満たす設計にはなっていません。

レガシーエンタープライズプラットフォームは長年の技術的負債を抱え、自社エコシステム内で作成されたフォームは保護できても、埋め込みフォームやモバイルフロー、サードパーティ連携には対応できません。

このギャップが新たな機会を生みます。組織は規制産業向けに特化したフォームソリューションを必要としています。主権コントロール、暗号化検証、自動コンプライアンス監視が標準装備されたソリューションが求められています。

WebフォームからセキュアなWebフォームへの移行はもはや選択肢ではありません。侵害率、主権要件、規制執行の現実がその必要性を示しています。変革を先送りする組織は、競合他社がより堅牢なアーキテクチャへ移行する中で、不要なリスクを受け入れることになります。

Webフォームは異なる時代のために作られました。セキュアなWebフォームは、いま直面している規制と脅威環境に対応するためのものです。

2025年データフォームレポートの完全版はこちらからご覧いただけます。