HOME >> 情報セキュリティ >> 漏れたら大変!個人情報 >>ECサイト運営者向け参考情報
漏れたら大変!個人情報〜個人情報漏えいを防ぐために、チェックしましょう〜
チェックポイント一覧に戻る
 

ECサイト運営者の方にチェックしていただきたいポイント

Point 1ECサイトを外注して開発する場合、脆弱性対策や情報漏えい対策を盛り込んだ契約となっていますか? また、事後の追加対応が可能な保守契約はありますか?
  • ECサイトを外注して開発する場合、脆弱性対策や情報漏えい対策を盛り込んでおく必要があります。資料を参考にして、発注時の要件に盛り込んでください。また、後になって問題が発覚した場合でも、対応可能な保守契約の締結を推奨します。
  • IPA 安全なウェブサイトの作り方
    http://www.ipa.go.jp/security/vuln/websecurity.html
  • JNSA セキュアシステム開発ガイドライン
    http://www.jnsa.org/active/houkoku/web_system.pdf
Point 2自社でECサイトを開発する場合、脆弱性対策を盛り込んで開発していますか?
Point 3運営中のECサイトに脆弱性が発見された場合、対応できる体制になっていますか?
  • 悪者は日々、新しい手法での攻撃を行います。このため、開発時に脆弱性対策を講じていた場合であっても、今まで安全であった部分が脆弱となり、対応が必要になる場合があります。資料を参考に、新しい脆弱性が見つかった場合でも対応する準備を進めてください。
  • IPA ウェブサイト運営者のための脆弱性対応ガイド
    http://www.ipa.go.jp/security/fy19/reports/vuln_handling/
  • IPA 安全なウェブサイト運営入門
    http://www.ipa.go.jp/security/vuln/7incidents/index.html
Point 4既存のECサイト(ショッピングモールなど)を利用している場合、そのECサイトが行っているセキュリティ対策を確認しましたか?
  • 既存のECサイト(ショッピングモールなど)を利用する場合、セキュリティ対策の多くはそのECサイトが行う事となります。ECサイト運営者としては、そのセキュリティ対策の内容を確認し、把握しておく必要があります
Point 5個人情報をウェブサーバの公開フォルダに置いていませんか?
  • ウェブサーバの公開フォルダに置かれたファイルは、外部の人に見られてしまうため、そこに個人情報を置くことは非常に危険です。URLを秘密にしている場合であっても、検索エンジンを通じて漏えいすることがあります。また、非公開の設定をしている場合であっても、設定ミス等により漏えいしやすい状態となります。個人情報がどこに置かれているかを今一度確認し、公開フォルダには置かないでください。
Point 6ECサイトの利用者をフィッシング詐欺から守る対策を講じていますか?
Point 7ECサイトがどの程度の攻撃を受けているか、把握していますか?
  • 多くのECサイトは常に攻撃にさらされています。しかし、実際にどの程度の攻撃にされてれているのかを確認するためには、専用のツールが必要です。資料を参考に、実際にどの程度の攻撃を受けているか、日ごろから把握するようにしてください。
  • IPA SQLインジェクション検出ツール iLogScanner
    http://www.ipa.go.jp/security/vuln/iLogScanner/index.html

ページトップへ