2005年4月の「個人情報保護基本法」の施行以降、ガイドラインの公開^（*1） や各組織における様々な対策が実施されてきましたが、毎年1,000件前後の情報漏えい事件・事故が報告されており、2008年以降は1,500件近くになってきています^（*2）。情報漏えいの中でも、ネットワークを経由し、特定の企業を標的としたサイバー攻撃では、大量の個人情報が漏えいするという大きな特徴があります。直近では、ウェブサイトを経由し、ソフトウェアの脆弱性(ぜいじゃくせい)を狙ったサイバー攻撃により、1億件を超える個人情報が漏えいしています。

　IPAでは、このような事態を受け、ウェブサイト運営者に対して、日頃からのセキュリティチェックと対策を呼びかけるため、注意喚起を発することとしました。経営者やウェブサイト運営者は、下記の対応策および別紙のチェックリストを活用し、日頃からの対策を徹底してください。

　インターネットやウェブサイトを利用している事業者や組織においては、改めて、セキュリティ対策を検証し、便利でより安全なインターネット社会の確立と維持に向けた継続的な尽力をお願いいたします。対策の基本的な観点は以下のとおりです。

• 【Step1】：入口（ネットワーク経路）をしっかり守る
• 【Step2】：入られてもシステムにつけ入られる隙（脆弱性）を与えない
• 【Step3】：重要な情報はその利用を制限（アクセス制御）する
• 【Step4】：情報にアクセスされても保護するための鍵（暗号）をかける
• 【Step5】：操作や動き（ログ証跡）を監視・分析し不審な行為を早期に発見する
• 【Step6】：万一被害が発生したら早急な対応（ポリシーと体制）をとる

　

　検討にあたっては、取り扱う個人情報の量や組織情報の重要度、機密度を精査し、企業の社会的責任と事業継続性の観点から、相応の対策を選択することが重要となります。また、グループ企業や連携している組織では、統制されたポリシーと対策が必要となります。

　昨今の標的型攻撃や新しいタイプの攻撃^（*3）などに、それぞれの関門における多段の防御が有効となります^（*4）。それぞれの組織におけるシステムやネットワークにおいて、下記の対策状況をチェックし、不足している部分を改善してください。

1．ネットワークの入口と経路での防御

• □　ファイアウォール
• □　最新のウイルス対策ソフト　（ネットワーク、サーバ、クライアント)^（*5）
• □　侵入検知システム／防止システム
• □　通信路の暗号化（Virtual Private Networkなどの利用）
• □　ネットワーク構造／設計　（重要なサーバに対するルート制御）

2．脆弱性対策

2.1 サーバソフトウェアの脆弱性対策

• □　OSやサーバソフトウェアの定期的な脆弱性診断
• □　ウェブサイトで使用しているOSやサーバソフトウェアに関する脆弱性情報の時期を逸しない収集とパッチの反映^（*6）

2.2 ウェブアプリケーションの脆弱性対策

• □　ウェブアプリケーションへの脆弱性の作り込みの回避^（*7）
• □　ウェブアプリケーションの定期的な脆弱性診断
• □　ウェブアプリケーションファイアウォール（WAF）^（*8）

3．アクセス制御

• □　ユーザ認証
• □　アクセスするプログラムの特定（ホワイトリスト化）

4．情報の暗号化

• □　暗号
• □　暗号鍵管理

5．システム監視、ログ分析

• □　ネットワークログ取得・分析
• □　サーバログ取得・分析
• □　アクセスログの監査（DB監査ツールなど含む）

6．管理統制およびコンテンジェンシープラン

• □　セキュリティポリシー　
• □　海外を含むグループ会社間でのセキュリティガバナンス
• □　危機対応体制の整備

上記のチェックリストは、随時アップデートしますので、IPAから発信する情報を定期的にご確認ください。

• 最近の動向を踏まえた情報セキュリティ対策の提示と徹底(経済産業省)
  http://www.meti.go.jp/press/2011/05/20110527004/20110527004.html
　　　
• 情報窃取を目的としたウェブサイトへのサイバー攻撃に関する注意喚起(IPA)
  http://www.ipa.go.jp/about/press/20110527.html

（*1） 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf

（*2） NPO日本ネットワークセキュリティ協会
http://www.jnsa.org/result/index.html

（*3） IPAテクニカルウォッチ「新しいタイプの攻撃」に関するレポート
http://www.ipa.go.jp/about/technicalwatch/20101217.html

（*4） 2011年版 10大脅威
http://www.ipa.go.jp/security/vuln/10threats2011.html

（*5） コンピュータウイルス対策基準
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

（*6） 脆弱性対策情報データベースJVN iPedia
http://jvndb.jvn.jp/

（*7） 安全なウェブサイトの作り方 / 安全なSQLの呼び出し方
http://www.ipa.go.jp/security/vuln/websecurity.html

（*8） Web Application Firewall（WAF）読本
http://www.ipa.go.jp/security/vuln/waf.html

2011年6月1日	掲載