IPAについて 2023年3月16日
独立行政法人情報処理推進機構
経済産業省とIPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、ECサイトを活用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」を公開しました。
近年、ECサイトへのサイバー攻撃により個人情報やクレジットカード情報が漏洩する事件が多数発生しています。特に中小企業が構築・運用するサイトのセキュリティ対策に課題が多くみられることから、経済産業省とIPAでは令和4年度に中小企業のECサイトにおける実態把握を目的とした調査や脆弱性診断を行い、ガイドラインを作成する事業を実施しました。
最近サイバー被害を受けたECサイト運営事業者20社を対象としたヒアリング調査では、1社あたりの顧客情報の平均漏えい件数は約3,800件、そのうち事故対応費用を支出した19社では、事故対応費用の平均額が約2,400万円に上ったことが分かりました。また、20社のうち75%がECサイト構築プログラムやCMS等の脆弱性を放置または最新版へのアップデートを怠っていたことや、90%が保守など運用時のセキュリティ対策を実施していなかったことが分かりました。こうした状況を踏まえ経済産業省とIPAは、ECサイトの構築・運用に必要なセキュリティ対策とその実践方法をまとめて解説するガイドラインを作成しました。
本ガイドラインの最大の特長は、経営者がECサイトにおけるセキュリティ対策の基本を認識できるよう、第一部としてまず経営者向けのメッセージを図表やイラストを用いて伝えていることです。ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示しました。IPAの「中小企業の情報セキュリティ対策ガイドライン」に記載されている7つの重要項目に基づき、必要な予算と人材の確保や、脆弱性対策のための日常的なセキュリティ運用、緊急時の体制整備などを示し、実務担当者に適切な指示を出せるようにしています。
また、第二部として実務者向けに、ECサイトの構築時、運用時それぞれにおけるセキュリティ対策要件を示し(表1、表2)、さらに付録としてチェックリストの形で利用可能にしたことも特長です。構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つの要件で構成され、要件ごとに「必須」、「必要」、「推奨」と3段階の区分が記載されています。例えば、構築時には「ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する」、運用時には「サーバおよび管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする」などを必須項目として示し、それぞれ詳しく解説しています。
| 要件No | セキュリティ対策要件(構築時) | 区分 |
|---|---|---|
| 1 | 「安全なウェブサイトの作り方」及び「セキュリティ実装チェックリスト」に準拠して、ECサイトを構築する。 | 必須 |
| 2 | サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。 | 必須 |
| 3 | ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する。 | 必須 |
| 4 | 管理者画面や管理用ソフトウェアへ接続する端末を制限する。 | 必須 |
| 5 | 管理者画面や管理用ソフトウェアへ接続する端末のセキュリティ対策を実施する。 | 必須 |
| 6 | クレジット取引セキュリティ対策協議会が作成する「クレジットカード・セキュリティガイドライン」を遵守する。 | 必須 |
| 7 | サイト利用者情報の登録時及びパスワード入力時における、不正ログイン対策を実施する。 | 必須 |
| 8 | サイト利用者の個人情報に対して安全管理措置を講じる。 | 必須 |
| 9 | ドメイン名の正当性証明とTLSの利用を行う。 | 必須 |
| 10 | サイト利用者のログイン時における二要素認証を導入する。 | 必要 |
| 11 | サイト利用者のパスワードの初期化及び変更といった重要な処理を行う際、サイト利用者へ通知する機能を導入する。 | 必要 |
| 12 | WebサーバやWebアプリケーション等のログや、取引データ等のバックアップデータを保管する。 | 必要 |
| 13 | 保管するログやバックアップデータを保護する。 | 推奨 |
| 14 | サーバ及び管理端末において、セキュリティ対策を実施する。 | 推奨 |
| 要件No | セキュリティ対策要件(運用時) | 区分 |
|---|---|---|
| 1 | サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。 | 必須 |
| 2 | ECサイトへの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する。 | 必須 |
| 3 | Webサイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Webサイト改ざん検知ツールによる監視を行う。 | 必須 |
| 4 | システムの定期的なバックアップの取得及びアクセスログの定期的な確認を行い不正アクセス等があればアクセスの制限等の対策を実施する。 | 必要 |
| 5 | 重要な情報はバックアップを取得する。 | 必要 |
| 6 | WAFを導入する。 | 推奨 |
| 7 | サイバー保険に加入する。 | 推奨 |
さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説しています。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめています。
IPAはECサイト構築・運営に必要なセキュリティ対策をひとまとめにした本ガイドラインを多くの中小企業が活用することで、ECサイトのセキュリティ対策が進み、サイバー被害が減少することを期待しています。「ECサイト構築・運用セキュリティガイドライン」は本日から、IPAのウェブサイトでダウンロードできます。
