情報セキュリティ

ECサイト構築・運用セキュリティガイドライン

最終更新日:2023年3月16日

独立行政法人情報処理推進機構
セキュリティセンター

近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。
ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。

ガイドラインの内容

ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。
本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施することがいかに重要であるかを認識いただき、ECサイトのセキュリティ確保のために経営者が実行すべき項目や、セキュリティ対策を担当される実務担当者が具体的に実践すべきセキュリティ対策の内容を、パッケージやスクラッチ開発による自社構築サイトを中心に記載しています。

  • 経営者が取組むべきセキュリティ対策
  • 実務担当者が取組むべきセキュリティ対策
ガイドラインの内容

本ガイドラインは、「第1部 経営者編」と「第2部 実践編」からなります。
「第1部 経営者編」は、ECサイトを新規に構築しようとしている、あるいは既に運営している経営者が、自社のECサイトにおけるセキュリティ対策の必要性を認識していただく内容になっています。
「第2部 実践編」は、ECサイトにおけるセキュリティ対策を実践する責任者および担当者が、ECサイトの構築時および運用時に、必要なセキュリティ対策を検討する上で、優先する対策や自社のECサイトの状況に見合った実践すべき対策の範囲や実現方法を適切に決めていただくための内容になっています。

具体的には、以下の項目が記載されています。

  1. 被害にあったECサイトや中小企業が運営中のECサイトのセキュリティ対策の現状
  2. ECサイトを新規構築、運営中の経営者が心がけるべきこと
  3. ECサイトを新規に構築する場合に検討、実施すべきセキュリティ要件
  4. ECサイトを既に運営している場合に検討、実施すべきセキュリティ要件
  5. チェックリスト形式のセキュリティ対策要件
ガイドライン活用によりセキュリティ対策を実施する箇所と実施内容

【要件1】ウェブアプリケーションのセキュリティ対策
【要件2】サーバ、管理端末のソフトウェアを最新化
【要件4】管理画面、管理用ソフトウェアへのアクセス制限(ファイアウォール)
【要件7】利用者情報登録時等における不正ログイン対策(ウェブアプリケーション)
【要件8】利用者の個人情報への安全管理措置(DBサーバ)
【要件10】利用者のログイン時の二要素認証の導入(ウェブアプリケーション、利用者端末)
【要件12】ログ、バックアップデータを保管(ウェブサーバ、DBサーバ)
【要件13】ログ、バックアップデータを保護対策(ウェブサーバ、DBサーバ)
【要件14】サーバ、管理端末のセキュリティ対策(ウェブサーバ、DBサーバ、管理端末)
【要件3】【要件5】【要件6】【要件9】【要件11】その他のセキュリティ対策

対象読者

本ガイドラインの想定読者は、中小企業の以下の方々を対象としています。

  • ECサイトを新規に構築しようとしている経営者
  • SaaS型サービスの利用も含む既にECサイトを運営している経営者
  • 経営者から指示を受けたECサイトの構築および運用担当者、関係者および外部委託先事業者

ガイドラインの活用方法

  • 経営者の方は、ECサイトを構築・運営するためにECサイトのセキュリティ対策の重要性を再認識します。
  • 経営者の方から、実務担当者へ本ガイドラインを参考に自社ECサイトのセキュリティ対策状況の確認と改善を指示し、状況や講じる対策等を共有します。
  • SaaS型サービスを利用している実務担当者も含めて実務担当者の方は、セキュリティ対策要件リストを用いて自社ECサイトのセキュリティ対策状況を確認し、必要な対策を講じます。

資料のダウンロード

参考資料

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2023年3月16日

    ページ公開