【Edge】Edgeの「フォーム送信時の警告」をHTTPS以外で必ず表示する設定と業務での活用

業務でEdgeを利用中に、フォーム送信のたびに警告が表示される動作を見かけたことはありませんか。これはセキュリティ上の重要な機能で、HTTPSで保護されていないページからデータを送信する際に警告を表示します。しかし、既定ではこの警告が有効になっていないケースがあります。本記事では、Edgeの「フォーム送信時の警告」をHTTPS以外で必ず表示する設定手順と、業務における活用方法を解説します。

Edgeの「フォーム送信時の警告」とは

この機能は、パスワードや個人情報などのフォームデータをHTTPSで保護されていないページから送信しようとしたときに警告を表示するものです。EdgeはMicrosoft Defender SmartScreenと連携して動作し、ユーザーに危険を知らせます。警告は「このページから送信する情報は安全ではありません」といった内容で、続行するかどうかを選択できます。この機能を常に有効にすることで、フィッシングサイトなどへの情報漏洩リスクを低減できます。

なぜHTTP経由のフォーム送信が危険なのか

HTTP通信は暗号化されていないため、第三者による傍受や改ざんが可能です。たとえば社内のログインフォームがHTTP上にあると、送信したIDやパスワードが漏洩する危険性があります。Edgeの警告が表示されることで、ユーザーは送信前にリスクを認識でき、情報漏洩を未然に防ぐ効果が期待できます。

フォーム送信時の警告を必ず表示する設定手順

以下では、個別のブラウザ設定とグループポリシーを使った管理者向けの2通りの方法を紹介します。どちらの場合も、HTTPSで保護されていないページからのフォーム送信時に警告が表示されるようになります。

個別のブラウザ設定で有効にする手順

1. Edgeの設定を開く
   Edgeブラウザの右上にある三点リーダー(…)をクリックし、メニューから「設定」を選びます。
2. プライバシー、検索、サービスへ移動
   左側のメニューから「プライバシー、検索、サービス」をクリックします。
3. セキュリティセクションを探す
   下にスクロールして「セキュリティ」の項目を見つけます。
4. 「フォーム送信時の警告」を有効にする
   「フォーム送信時の警告」(Insecure form notifications)というスイッチをオンにします。これでHTTPS以外のページでフォームを送信しようとすると警告が表示されます。
5. ブラウザを再起動する(必要な場合)
   設定は即座に反映されますが、念のためEdgeを再起動して動作を確認してください。

グループポリシーで全社に適用する手順

管理者はActive DirectoryのグループポリシーまたはMDMを使って、社内の全Edgeブラウザにこの設定を強制できます。以下の手順はWindows Serverのグループポリシー管理コンソールを例にしています。

1. グループポリシー管理コンソールを開く
   「gpmc.msc」を実行し、適用したいOU(組織単位)を右クリックして「このドメインにGPOを作成し、ここへリンクする」を選択します。
2. ポリシーエディターを開く
   作成したGPOを右クリックし「編集」を選びます。コンピューター構成またはユーザー構成の「管理用テンプレート」を展開します。
3. Edgeのポリシー設定を探す
   「Microsoft Edge」→「SmartScreen設定」と進みます。日本語版では「SmartScreen の設定」と表示されます。
4. ポリシー「DoNotShowFormWarningForInsecureForms」を構成する
   「安全でないフォームの送信に関する警告を表示しない」というポリシーをダブルクリックします。このポリシーを「未構成」または「無効」に設定すると、警告が表示されるようになります。「有効」にすると警告が非表示になるため、注意してください。業務では「無効」を推奨します。
5. ポリシーを適用する
   設定後、クライアントPCで「gpupdate /force」を実行し、ポリシーを反映させます。Edgeを再起動して動作を確認してください。

設定時の注意点とよくある誤解

この機能を有効にすることで、すべてのHTTPフォーム送信時に警告が表示されます。しかし、社内のレガシーシステムがHTTPに依存している場合、業務に支障をきたす可能性もあります。以下の点を事前に確認しておきましょう。

信頼できるHTTPサイトでは警告を非表示にしたい場合

Edgeでは、特定のサイトに対して警告を表示しないように設定することはできません。代わりに、該当のサイトをInternet Explorerモードで開くか、https:// に移行する必要があります。また、グループポリシーで「DoNotShowFormWarningForInsecureForms」を有効にしてしまうと全体的に警告が消えるため、緊急回避としては非推奨です。

警告が表示されない場合の確認ポイント

設定が正しく有効になっていても、特定の条件下では警告が表示されないことがあります。まず、対象のサイトが本当にHTTPであるか確認してください。HTTPSのサイトでは警告は表示されません。また、Microsoft Defender SmartScreenがオフになっていると、警告機能が無効になる場合があります。「プライバシー、検索、サービス」のセキュリティセクションでSmartScreenが有効であることを確認してください。

Edgeのバージョンによる違い

この機能はEdge 87以降で利用できます。古いバージョンでは設定項目がないため、最新版にアップデートしてください。Windows 10とWindows 11の両方で同じ設定が提供されていますが、グループポリシーテンプレートはEdgeの管理用テンプレートファイル(MicrosoftEdgePolicyTemplates)をダウンロードして追加する必要があります。

他ブラウザとの比較:EdgeとChromeのフォーム警告機能

Edgeの「フォーム送信時の警告」は、Chromeの類似機能と比較されることがあります。以下に主な違いをまとめます。

Edgeのポリシー名は「DoNotShowFormWarningForInsecureForms」で、警告を非表示にするかどうかを制御する点がChromeと逆になっています。設定時には注意が必要です。

業務での活用方法とセキュリティ強化のポイント

この機能を組織全体で有効にすることで、従業員がHTTPサイトに誤って機密情報を入力するリスクを低減できます。特に、以下のようなシナリオで効果を発揮します。

• 社内ポータルサイトがHTTPの場合: 警告が表示されることで、IT部門にHTTPS移行の必要性が可視化されます。
• 外部のフィッシングサイトへの注意喚起: 従業員がHTTPの偽ログインページにアクセスした際に警告が届き、被害を防ぎます。
• コンプライアンス要件への対応: 取引先との間でデータ送信時の暗号化が求められる場合、ポリシーとして警告を強制できます。

ただし、すべてのHTTPフォームが悪意があるわけではありません。内部の開発環境などでは一時的に例外を認める運用ルールを策定し、グループポリシーと併用するとよいでしょう。

まとめ

Edgeの「フォーム送信時の警告」を有効にすると、HTTP経由のフォーム送信時に警告が表示され、情報漏洩リスクを軽減できます。設定はブラウザのプライバシー設定から簡単にオンにでき、グループポリシーで全社に展開することも可能です。業務では、この警告をきっかけに社内システムのHTTPS化を推進したり、従業員のセキュリティ意識向上に役立てられます。まずはEdgeの設定画面でスイッチをオンにして、動作を確認してみてください。