中小企業が運営するECサイト向け無償脆弱性診断の募集

最終更新日：2022年4月12日

募集は2022年4月20日（水）24:00で締め切ります。

概要

報道で報じられているように、近年、サイバー攻撃等により、ECサイトが取り扱う個人情報やクレジットカード情報の情報漏洩事件が多数発生しています。クレジットカード情報非保持化を実施しているサイトにおいても、サイト改竄によるクレジットカード情報等の流出が起きています。被害を受けたECサイトは、数ケ月間のサイト閉鎖等を余儀なくされ、ECサイトの運営および事業継続等に大きな支障を受けるだけでなく、企業としての信頼も大きく損なわれます。

本状況を改善するために、まずはECサイトの脆弱性の現状実態の把握、次にECサイトの構築及び運営における適切な指針の作成が必要と考えており、独立行政法人情報処理推進機構(IPA)は現状実態の把握を目的とし、通常100万円以上の費用がかかる専門家によるECサイトの脆弱性診断を無償で実施することにしました。

ECサイト運営者にとっては、自社ECサイトの状況が正しく把握でき、また、専門家の助言を得ることにより、ECサイトへのサイバー攻撃による事業中断リスクを大幅に減らすことができます。ぜひ、本無償脆弱性診断の活用をご検討ください。

※

本事業は経済産業省から補助を受けIPAが実施するものです。

募集対象

以下の条件を全て満たす自社構築ECサイト(他社へ開発委託したECサイトも含む)を対象とします。

(1) 中小企業が運営するECサイト。中小企業は、中小企業基本法で定義する業種ごとの資本金の額又は出資の総額あるいは常時使用する従業員数（※https://www.chusho.meti.go.jp/faq/faq/faq01_teigi.htm#q1）に従います。
例えば、小売業の場合は、「資本金の額又は出資の総額が5,000万円以下、あるいは常時使用する従業員数が50人以下」の企業とします。
(2) OSS(Open Source Software)やパッケージの使用、または、スクラッチ開発により構築したECサイト。
(3) オンプレミスまたはAWS等のIaaS(Infrastructure as a Service)クラウド環境に構築したECサイト。
(4) リモートからの脆弱性診断が実施可能なECサイト。

※

IaaS環境の場合、ECサイト運営者がIaaS事業者から脆弱性診断の許可を得ることを前提とします。
※

ショッピングモールおよびショッピングカートASPを利用しているECサイトは募集対象から除きます。

無償脆弱性診断の流れ

以下の流れで実施します。

(1) IPA作成の診断シートを用いたECサイト運営者によるセルフチェック・アンケートへの回答
(2) 専門家によるヒアリング、及び、脆弱性診断実施手順・実施上の留意点等の確認(対面またはリモート会議で実施)。
(3) リモートからの脆弱性診断実施
　　診断予定項目は下記PDFファイルを参照ください。
- ■EC サイト向け無償脆弱性診断の診断予定項目(PDF:50 KB)
(4) 診断結果報告と対策助言(対面またはリモート会議で実施)。可能であれば、診断結果報告や対策助言をご理解出来る方（サイト構築事業者やサイト保守事業者など）の同席をお願いいたします。
(5) 無償脆弱性診断で発見された脆弱性については、診断実施から3カ月後を目安に対応状況、今後の対応予定等を確認させていただきます。