メールフォームの作り方とは？フォームを設置するメリットやセキュリティ対策も解説

＞ Webフォーム作成システムの活用事例多数！事例のインタビュー記事はこちら

はじめに、メールフォームの仕組みや基本的な構成について解説します。

一般的にメールフォームは以下3つの画面で構成されています。

・入力画面（フォーム）
・確認画面
・完了画面

入力画面は、チェックボックスやプルダウンなどの選択肢の中から回答を選んだり、自由にテキストを入力したりする画面です。

確認画面は、入力内容を確認するための画面です。入力に間違いがなければ「送信」ボタン等をクリックして内容を送信し、訂正したい場合は「戻る」ボタン等で入力画面に戻ることができます。

完了画面は、「送信ボタン」をクリックしたあとに表示される最後の画面です。問い合わせへのお礼メッセージや、今後の手続きの流れ、受付番号などを表示するケースが多いです。

メールフォームは、どのような場面で利用されているでしょうか。身近にある「〇〇フォーム」を思い浮かべてみましょう。

・お問い合わせ受付フォーム
・見積もり依頼フォーム
・資料請求フォーム
・人材採用の受付フォーム
・イベントやセミナーの受付フォーム
・メルマガ会員登録フォーム
・アンケートフォーム
・大学入試の出願フォーム
・写真コンテストの投稿フォーム　…等々

このように、メールフォームは「ユーザーからの情報を受け取るWeb上の窓口」として、アイデア次第で様々な使い方ができます。

メールフォームを設置すると、どのようなメリットが得られるのでしょうか。代表的なメリットをいくつかご紹介します。

メールフォームの一番のメリットは、ユーザーが気軽に問い合わせできることです。企業へ電話をかけたり、メールソフトを立ち上げてメッセージを一から作ったりする必要がないため、問い合わせへのハードルがぐっと下がります。より気軽に問い合わせしてもらうには、メールフォーム内の項目を減らす・自由記述式よりも選択式を増やす、等の対策がおすすめです。

フォームでユーザーのメールアドレス情報を取得する場合は、そのメールアドレス宛に「受付を完了しました」のような定型メールを自動返信することができます。また、ユーザーが回答した選択肢や入力した内容をメールの文面に記載することも可能です。ユーザーは自分の問い合わせがきちんと受付されたことがわかるのと同時に、問い合わせ内容の“控え”として手元に残しておけるというメリットもあります。

メールフォームは、あらかじめ用意した選択肢の中からユーザーに回答を選んでもらうことが可能です。そのため入力ミスや表記ゆれがなくなり、データの正確性を確保できます。具体的には、一つだけ回答を選択してもらう「ラジオボタン」や、当てはまるものを複数選択してもらう「チェックボックス」「セレクトボックス」などの項目を作成することができます。

電話で問い合わせを受け付ける場合、どうしても聞き忘れや聞き間違いが発生するリスクがあります。また、メールで問い合わせを受け付ける場合も、ユーザーによる書き漏れを完全に防ぐことはできません。一方でメールフォームなら「回答必須」の設定ができるため、必要な情報は確実に入手することが可能です。

メールで問い合わせを受け付ける場合は「info@example.co.jp」のような企業の代表メールアドレスをWeb上に公開する必要があります。しかし、メールアドレスを公開すると迷惑メール（スパムメール）の標的になったり、売り込みメール等が多く届いたりする可能性があります。メールフォームならメールアドレスを公開せずに問い合わせを受け付けられるので、そのような心配もいりません。

メールフォームは、プログラミングで自作するかメールフォーム作成サービスを利用して設置します。

メールフォームをプログラミングで自作するには、PHPなどのプログラミング言語を使い、設計通りに動くプログラムを開発する必要があります。今回は、HTMLとPHPを組み合わせてフォームを作成する過程を一部ご紹介します。

入力フォームをHTMLで記述する場合は、以下のように「formタグ」を使用します。ラジオボタンやチェックボックス、テキストボックスなどの入力エリアは「inputタグ」にtype（属性）を設定して表現します。下の例では名前を入力するテキストボックスを記述しています。

1. <form action="confirm.php" method="post">
2.   名前：＜input type="text" name="yourname">
3. </form>

フォーム登録完了と同時にメールを送信させるため、確認画面と完了画面それぞれのPHPファイルを作成します。完了画面のPHPファイルにはメールを送信するmail関数（mb_send_mail関数）を記述します。たとえば完了画面のPHPファイルを「mailto.php」という名前のファイルで保存したとき、確認画面のPHPファイルに

1. <form action="mailto.php" method="post">

プログラミングの知識がない場合は、メールフォーム作成サービスを利用するのがおすすめです。メールフォーム作成サービスなら、プログラミングの知識がなくても思い通りのフォームを簡単に作成できます。サービスを利用する際は、以下のポイントを確認するとよいでしょう。

テンプレートを利用すると、より簡単に、よりスピーディーにメールフォームを作成することができます。そのため、作成サービスにテンプレートがあらかじめ搭載されているかをチェックするとよいでしょう。ただし、テンプレートを使うことで色の変更ができなかったり、企業ロゴを挿入できなかったり等デザインに制約が生じてしまう場合もあります。そのため「デザインをどのくらい自由に調整できるか」もあわせて確認することをおすすめします。

メールフォーム作成サービスによっては、入力項目数やフォーム登録数に制限があるものや、「登録数によって料金が変わるサービス」も多くあります。より多くの問い合わせを獲得したい場合は登録数に制限のないサービスを利用するなど、自社の運用に合わせて選定しましょう。

登録データを閲覧できる管理画面があるか、データはCSV等でエクスポートできる機能があるか等を確認することをおすすめします。フォームへの登録をリアルタイムに把握したい場合は、内部向けの「登録通知メール機能」の有無を確認しておくと安心です。

メールフォームでは、ユーザーの名前やメールアドレス、電話番号など「個人情報」を扱うケースが多くあります。メールフォーム作成サービスを利用する際は、個人情報漏洩を防ぐためにどのような対策がなされているかをしっかりチェックしましょう。メールフォームのセキュリティ対策については次の章で解説します。

メールフォームの脆弱性を狙ったサイバー攻撃には、クロスサイトスクリプティングやSQLインジェクション、クロスサイトリクエストフォージェリ、メールヘッダインジェクション等が挙げられます。

Webアプリケーションの欠陥を突いて不正なスクリプト（文字列の記載のみで実行できるプログラム）を実行させる攻撃手法です。悪意のあるスクリプトをページに埋め込むことで、ユーザーのセッションを乗っ取り、機密情報を盗み出したり、ページを改悪したりします。

アプリケーションの脆弱性を意図的に利用し、アプリケーションが想定しないSQL文（データベースに指示を出すための命令文）を実行させることにより、不正にデータベースのデータを読み取ったり、データを改ざん・削除したりする攻撃手法です。

会員サイトにログインしている状態のユーザーに攻撃者が作った罠サイトを閲覧させ、ユーザーがログインしている会員サイトへ強制的に悪意のあるリクエスト（書き込みや決済処理等）を送信する攻撃手法です。

不正なメールヘッダを混入させることにより意図していないアドレスに迷惑メールを送信するなど、メール送信機能を悪用した攻撃手法です。メールの宛先に改行コードを挿入することで、Bccなどの新しいメールヘッダを追加し、本来の宛先以外にメールを送信したりメールの内容を改ざんしたりします。

メールフォームを設置する場合は、上記への対策を講じる必要があります。メールフォーム作成サービスを利用する場合にも、アプリケーション自体にこれらのサイバー攻撃への対策がなされているかを確認しましょう。

外部からのサイバー攻撃には、セキュリティ対策製品の活用も有効です。具体的には、F/W（ファイアウォール）、WAF、IDS/IPS等が挙げられます。F/W、IDS/IPS、WAFはいずれも外部からの不正アクセスからシステムを守るセキュリティ対策製品ですが、以下のようにそれぞれ守備範囲や得意分野が異なります。

よりセキュリティの高いメールフォームを作成するには、これらのセキュリティ対策製品を導入する、もしくはこれらのセキュリティ対策製品が導入されているメールフォーム作成サービスを利用するとよいでしょう。

●こんなコラムも読まれています