「ノーコードHP＝安全」ではない！Webサイトの脆弱性は“自社作成したサイト”こそ注意が必要！

「コードを書いていないのに、どこが危ないの？」ノーコードビルダーでホームページを運営していると、そう感じることも多いと思います。

しかし実際のところ、これらのプラットフォームは『セキュリティまですべてカバーしてくれている』というわけではありません。

本記事では、ノーコードホームページで起こりやすい脆弱性を押さえたうえで、今日から見直せる設定と、自力では見えにくい部分をどう補うかまで順に解説していきます！

【結論】ノーコードHPでも脆弱性は起きる！「プラットフォームのせい」にはできない

「コードを書いていない＝脆弱性がない」ではありません。プラットフォームが提供してくれるのは謂わば「建物の“共用部分”のセキュリティ」だけです。

権限の設定・フォームの送信先・外部ツールとの連携…、これらはすべて運営者側が設定・管理しなければならない部分です。ここに不備があると、プラットフォームのセキュリティがどれだけしっかりしていてもリスクの入口が生まれます。

ノーコードHPに多い3つの脆弱性パターンとは？

ノーコードホームページに多い脆弱性には、大きく3つのパターンがあります。

①：設定ミス…「設定した」と思い込んでいたが、実際は“誰でも見える状態”だった

設定ミスとは、「非公開にした」「削除した」という認識が、実際の公開状態とずれているケースです。

ノーコードビルダーでは画面を直接クリックして操作できる分、「設定したつもり」という状態が起きやすいもの。制作中に作ったテストページが全公開のまま残っていたり、不要になったページを削除しないまま放置していたりするのが典型的な例です。

たとえるならば、飲食店で「本日は定休日です」とシャッターを下ろしたつもりが、裏口の鍵は“開けっぱなし”になっているようなものです。

「設定した＝安全」ではなく、実際の挙動を確認する習慣が必要になります。

②：外部との連携ミス…APIキーが漏洩してしまう

「外部との連携ミス」で特に注意したいのが、APIキーと呼ばれる認証情報の取り扱いです。

APIキーとは、ホームページとCRMや決済サービスなどの外部ツールをつなぐとき「このサイトからのアクセスは正規のものです」と証明するための“合言葉”が必要になります。

問題は、この合言葉をサイトのコードに直接書き込んでしまうケース。ページにアクセスした人であれば、ブラウザの開発者ツールを使うと誰でも読み取れる状態になってしまいます。

またフォームツール（Formrunなど）と連携する際の「送信データの転送先」設定も要注意です。設定に誤りがあれば、お客様の問い合わせ内容が意図しない第三者に届いてしまう可能性があります。

「フォームが正常に動いている＝正しく設定されている」ではないということにも注意が必要です。

③：権限不備…辞めた人の鍵が“まだ使える状態”になっている

「権限不備」とは、管理画面にアクセスできるアカウントの管理が甘くなっている状態です。

• 退職した担当者のアカウントが残っている
• 取引が終わった制作会社が管理者権限のまま

これらは脆弱性診断の現場でもよく見つかる状態です。

オフィスに例えるならば、退職した社員がいまだに“オフィスの入館証を持っている状態”です。当時は必要だった。でも今は誰も回収していない。誰かがそのカードを悪用しようとすれば、普通に入れてしまいます。

「今、誰がこのサイトの管理画面に入れるか」を把握できているかが非常に重要になります。

脆弱性を放置するとどうなるの？

読者の皆様の恐怖を煽りたいわけではありませんが、具体的に何が起きうるかを知っておくことはサイト管理者として必要です。ここからは脆弱性を放置し続けるとどうなってしまうのか？を具体的に解説していきます。

問題1：フォームに入ってきた個人情報が、気付かないうちに漏洩してしまう

問い合わせや予約フォームがあるということは、お客様の名前・電話番号・メールアドレスといった個人情報が日々集まってくるということです。

 

このような状態にならないためにも、ノーコードツールで制作したサイトであってもフォームの脆弱性はしっかりと確認しておくべきなのです。

問題2：管理権限が甘く、サイトが第三者に“改ざん”されてしまう

管理権限の不備や認証の穴があると、第三者がサイトの内容を書き換えられる状態になります。これが「サイトの改ざん」です。

自社のロゴや文章が消えて、まったく別のページに差し替えられる…、そんな事態が実際に起こってしまいます。

さらに恐ろしいのが、改ざんされたページに「ウイルスを配る“しかけ”」がこっそり仕込まれるケースで、見た目は普通のサイトなのに、アクセスしたお客様のパソコンにウイルスが侵入してしまい、『自社サイト→お客様の端末』へと広がってしまいます。

この場合の責任の所在は、当然サイトを保有している「サイト運営会社」になりますから、お客様への対応／損害賠償問題が発生するだけでなく、企業としての信頼問題にも発展しかねません。

問題3：「プラットフォームが作ったものだから」は免責の理由にならない

ノーコードのサービスを使っていたんだから、自社に責任はないはず…、とはなりません。

ノーコードツールはあくまで「サイトを簡単に作成できるアプリ」であり、作成したサイトのセキュリティをどれだけ強化しておくか？は、持ち主、つまり制作者や運営会社に委ねられます。

個人情報保護法は、SaaSサービスを利用している場合でも、個人情報取扱事業者としての義務は運営者に課せられると定めています。

「ノーコードで作った」という事情は、運営者としての責任を免除する理由にはなりません。

安全な設定の“組み合わせ”は、専門家でないと発見しづらい

ある程度セキュリティに詳しい担当者がいたとしても「設定を一つずつ確認した＝全体が安全」とは言い切れないのが現状です。

なぜかというと、脆弱性というのは1つひとつの設定が正しかったとしても『複数の設定が重なったことによる“抜け穴”』から問題が生まれることがあるからです。

たとえばフォームの送信先も、顧客管理ツールも問題ないが、その間に噛ませているRPA（自動化ロボット）の設定が間違っていたとなった場合、いくら送受信がうまくいっていたとしても、その間のハブから情報が漏洩してしまいます。

こういった「組み合わせで生まれる穴」は、部分的なセルフチェックではなかなか見えづらいものなため、専門家の目を通して初めて浮き彫りになるケースが多いのです。

IFTの強み…「Vex＋手動診断」のハイブリッドで、ツールが見落とす穴も目視でセキュアに！

当社IFTの脆弱性診断は、国内シェアNo.1の自動診断ツール「Vex」と、診断員による手動診断を組み合わせた“ハイブリッド型”の診断をご用意しています。

自動ツールだけでは検出が難しいのが、

• 認証をすり抜けてログイン後のページにアクセスできる
• 権限のないアカウントから他ユーザーの情報が見えてしまう

といったケースです。IFTの脆弱性診断は、こうした「サービスの仕組みを悪用した攻撃」も対象に含めて確認します。

報告書＋報告会で「何を・どう直せばいいか」までご報告！

IFTの診断は、問題を“見つけて終わり”ではありません。

診断終了後、通常5営業日以内に「緊急・高・中・低」のリスクレベル別に整理した報告書をご提出します。非エンジニアの方にも理解できる形でまとめているため、「どこが危険で、何を直せばよいか」が具体的に把握いただけます。

またオプションで「報告会」も設けており、対面またはオンラインで報告書の内容を直接説明します。報告書の内容が制作会社への依頼書代わりになるため、改修もシームレスに実施いただけるようになります。

まとめ：ノーコードHPが不安になったら、まず診断を！

ノーコードでホームページを公開していても、設定・権限・外部連携は運営者が管理する責任範囲です。「プラットフォームが守ってくれているから大丈夫」という思い込みが、実は一番のリスクになります。

この記事のポイント

• プラットフォームが守れない「設定・権限・外部連携」は運営者の責任
• 設定ミス・外部連携の穴・権限不備の3パターンが脆弱性の入口になる
• 設定の組み合わせリスクは専門家診断でしか把握しづらい

「エラーが出ていない」「お客さんから苦情が来ていない」——これらは「サイトが安全である証拠」ではありません

IFTはこれまで1,000件を超える脆弱性診断実績（官公庁・大手企業含む）を保有しています。国内シェアNo.1の「Vex」と手動診断を組み合わせたハイブリッド型で、重大脆弱性の検出率は90%超。報告書と報告会を通じて「何をどう直せばいいか」まで一貫して対応させていただけます。

ノーコードツールで制作しているが『脆弱性のチェックは全く行っていない…』という企業様は、ぜひ一度ご相談ください。