「IPアドレス制限」を設定して、formrun管理画面への不審者からの不正アクセスを制限しよう

formrun（フォームラン）を始めとするクラウドサービスは、無料から使えるフォーム作成管理サービスということもあり、場所を問わず、どこからでもフォームや管理画面にアクセスができ、情報の入力やログインが可能という環境を前提に作られています。

ただし、管理画面はログインすればユーザ情報がわかってしまうため、利用環境や会社のセキュリティポリシー次第では、個人情報保護の点からアクセス可能な環境を制限する設定が必要となるケースがあります。

勤め先の会社にいる時のみ管理画面にログインするのであれば、会社からのアクセスだけに制限することにより、安全性を高めることができます。

Webサービスの管理画面へのアクセスを制限する方法
IPアドレス制限が必要な利用シーン
そもそもIPアドレスの仕組みとは？
一般的なIPアドレス制限の設定方法
formrunのIPアドレス制限（ホワイトリスト機能）を利用する

Webサービスの管理画面へのアクセスを制限する方法

このように管理画面へのアクセスを制限する場合、一般的には以下3つの方法が考えられます。

会社のイントラネットなど、特定の人しかアクセスできない環境にプログラムをインストールする
サイトにベーシック認証（アクセス用のIDやパスワード）を設定する
入力を許可したい環境（IPアドレス）からのアクセスのみを許可する

なお、それぞれ以下のようなメリット・デメリットがあります。

①会社のイントラネットなど、特定の人しかアクセスできない環境にプログラムをインストールする

メリット：確実にクローズド環境を実現できる
デメリット：イントラネット外の訪問者にはほぼ対応ができない。会社の情報システム部門にプログラムのインストール依頼などが必要で調整に手間がかかる。

②サイトにベーシック認証（アクセス用のIDやパスワード）を設定する

メリット：仕組みさえ用意できれば気軽に実施できる
デメリット：IDやパスワードを設定し、案内する必要がある。管理画面自体のID/パスワードと混同されるおそれがある。また、他の方法に比較してアクセス制限の効力が弱い。

③入力を許可したい環境（IPアドレス）からのアクセスのみを許可する

メリット：運営側の設定が必要だが、訪問者はストレスなくアクセスできる
デメリット：許可するIPアドレスを確認する必要がある

それぞれ一長一短がありますが、formrunでは設定の手間と効果のバランスをふまえ、③の方法で管理画面へのアクセス制限が可能です。（PROFESSIONALプランのみ対応）

本記事では、IPアドレスの基本的な知識から、formrunでの活用イメージまでを紹介します。いつもの使い方だけでない、より自由自在なformrunの活用をマスターしていただければ幸いです。

IPアドレス制限が必要な利用シーン

ではこのIPアドレス制限、実際にどんなときに出番があるのでしょうか？

実際の取り組み方法としては、大きく分けて2つのケースが考えられます。

①（支社など複数拠点も含め）自社からだけアクセスできる環境を手軽に作りたい

社内環境だけからアクセスできるフォームを作るのは、情報システム部門への依頼やセキュリティ問題がないかの確認が必要になるため、実際にはかなりの手間がかかります。

②提携企業など、決められた環境とのみ管理画面を共有したい

提携先企業と案件情報を共有したり、ワークフロー上の依頼をするためにフォームを共有するケースです。この場合も、イチから設定すると手間がかかる設定が、formrunではすぐに対応可能です。

通常であれば、クローズドなフォームの管理画面を作るにはかなりの手間がかかりますが、formrunならいつもご利用するフォームへのアクセスを許可するIPアドレスを設定するだけで、簡単に構築が可能です。

こちらはformrunを利用する最大のメリットのうちの一つといえます。

そもそもIPアドレスの仕組みとは？

ここで、IPアドレスの基本的な仕組みについて確認してみましょう。

IPアドレスとは、言ってしまえば「ネット上の住所」です。

通常は「171.13.342.1」のように、3桁までの数字をピリオドで区切り、4つに繋げた数字で表現されます。この形式はIPv4アドレスといい、2の32乗個（=43億）まで表すことができます。簡単に説明すると、パソコンやスマートフォンなどを最大43億台まで接続できるということになります。

かつてはインターネットに繋がるデバイス（パソコンやスマートフォンなどの機器）はそれほど多くありませんでした。しかし、近年はデジタルデバイスの数が爆発的に増加しており、接続数を増やすためのIPv6という仕組みの導入も進んでいます。

みなさんがWebサイトを閲覧するときは、IPアドレスよりも、URLやドメインを目にする機械の方が馴染みがあるかと思います。IPアドレスは数字だけで覚えにくいので、ドメインとIPアドレスを対応させることで、人間から見て理解しやすいURLにて表示しているのです。

このIPアドレスのうち、管理画面のアクセス、操作を許可したいアクセス元のアドレスだけを設定することで、外部の人間からのアクセスを遮断し、クローズドな環境下でのフォーム管理を実現できるというわけです。当然、設定していないIPアドレスからのアクセスは遮断されるようになります。

一般的なIPアドレス制限の設定方法

では「特定のIPアドレスからのアクセスのみ許可したい」という場合、どんな手続きが必要になるのでしょうか？

こちらの方法は、大きく分けて2つあります。

ApacheなどWebサーバの設定ファイルに設定
.htaccessというファイルをアクセス制限したいディレクトリに作成する

それぞれが、ほとんどの方にとっては聞き慣れない設定だと思います。

実際に作業を行う場合も手間がかかり、サーバーやFTPといったアクセス権限および設定の知識が必要です。Webサービスでよくある設定機能とも異なり、設定内容をテキストエディタで詳細に記述する必要があります（そのかわりに、自由な設定／カスタマイズが可能です）。

このような場合、たいてい現場の社員が自由に設定するというのは、ほぼ無理な話です。

設定するための権限や知識を持ち合わせていない場合が多いですし、現場社員のITリテラシーを考えると、情報システム部門も設定する際の権限を許可できない可能性が高いです。レンタルサーバなどに設置したフォームであれば敷居は低くなりますが、そもそもフォームを作成する手間や設定そのものも、自力で取り組む必要があります。