アーカイブ

プレス発表 「ウェブサイト開設等における運営形態の選定方法に関する手引き」を公開

ウェブサイトの発注者、受注者間でセキュリティ対策に必要な確認項目の合意が容易に

2018年5月30日
独立行政法人情報処理推進機構

IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は、主に小規模事業者を対象に、ウェブサイトの新規開設、および刷新において、クラウドサービスなどの運用形態別にメリット・デメリット、およびセキュリティ対策に必要な確認項目を整理した、「ウェブサイト開設等における運営形態の選定方法に関する手引き」を公開しました。

企業・組織において、ウェブサイトは、事業案内、販売促進などを目的としたコミュニケーションツールとして事業活動に不可欠なツールです。

一方、企業等のウェブサイトが不正アクセスにより、個人情報が流出したといったトラブルが報道されることは、今や珍しいことでは無くなりました。

IPAでは、2004年7月からソフトウェアの脆弱性関連情報の届出を受け付けています(脚注1)。これまでに受付けたウェブサイトの脆弱性のうち、修正等が完了していないのは329件で、全体の約5%(脚注2)です。

こうしたウェブサイトは、主にセキュリティ対策への認識が不十分な小規模組織による運営です。そして、対策のための体制やコスト等の準備がなく、開設後に問題が指摘されても、修正も、廃棄もできません。これが“攻撃を受けてしまうウェブサイトの放置”に繋がっています。

そこで、問題のあるウェブサイトが不用意に制作されない様、発注事業者、および制作を請負う受注者の利用を想定した手引きを作成・公開しました。ウェブサイト開設・刷新における、クラウドサービス利用などの運営形態別のメリット・デメリット、および必要なセキュリティ対策などが整理されています。これにより、安全なウェブサイトの開設に必要な確認項目などの合意が、発注者、受注者間で容易になります。


表1「運営形態ごとの選定項目の比較」(手引きP9)

表1「運営形態ごとの選定項目の比較」(手引きP9)の画像


表2「運営形態ごとに必要となる費用」(手引きP19)

表2「運営形態ごとに必要となる費用」(手引きP19)の画像


表3「運営形態ごとに検討すべきセキュリティ対策」(手引きP22)

表3「運営形態ごとに検討すべきセキュリティ対策」(手引きP22)の画像

これらにより、ウェブサイト構築・運用における、“理想と現実”が整理でき、企業・組織の実情に即したウェブサイト構築と運用を可能にします。

IPAでは、この手引きを通じて、企画から廃棄までのライフサイクル全体を念頭にした、ウェブサイトの運用・管理がすすみ、安全なインターネット環境が整備されることを期待しています。

脚注

(脚注1) 経済産業省の告示に基づき策定された“情報セキュリティ早期警戒パートナーシップガイドライン”に則り運用。

(脚注2) 2018年4月25日公表「ソフトウェアなどの脆弱性関連情報に関する届出状況 2018年第1四半期」脆弱性の累計受付件数は9,715件で、うち取り扱いが終了したのは9,287件と約95%。
   ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]