HOME情報セキュリティ情報セキュリティ対策制御システム中小企業が運営するECサイト向け無償脆弱性診断の募集

本文を印刷する

情報セキュリティ

中小企業が運営するECサイト向け無償脆弱性診断の募集

最終更新日:2022年4月12日

募集は2022年4月20日(水)24:00で締め切ります。

概要

 報道で報じられているように、近年、サイバー攻撃等により、ECサイトが取り扱う個人情報やクレジットカード情報の情報漏洩事件が多数発生しています。クレジットカード情報非保持化を実施しているサイトにおいても、サイト改竄によるクレジットカード情報等の流出が起きています。被害を受けたECサイトは、数ケ月間のサイト閉鎖等を余儀なくされ、ECサイトの運営および事業継続等に大きな支障を受けるだけでなく、企業としての信頼も大きく損なわれます。

 本状況を改善するために、まずはECサイトの脆弱性の現状実態の把握、次にECサイトの構築及び運営における適切な指針の作成が必要と考えており、独立行政法人情報処理推進機構(IPA)は現状実態の把握を目的とし、通常100万円以上の費用がかかる専門家によるECサイトの脆弱性診断を無償で実施することにしました。

 ECサイト運営者にとっては、自社ECサイトの状況が正しく把握でき、また、専門家の助言を得ることにより、ECサイトへのサイバー攻撃による事業中断リスクを大幅に減らすことができます。ぜひ、本無償脆弱性診断の活用をご検討ください。

 ※本事業は経済産業省から補助を受けIPAが実施するものです。

募集対象

 以下の条件を全て満たす自社構築ECサイト(他社へ開発委託したECサイトも含む)を対象とします。

 (1) 中小企業が運営するECサイト。中小企業は、中小企業基本法で定義する業種ごとの資本金の額又は出資の総額
   あるいは常時使用する従業員数(※https://www.chusho.meti.go.jp/faq/faq/faq01_teigi.htm#q1
   に従います。
   例えば、小売業の場合は、「資本金の額又は出資の総額が5,000万円以下、あるいは常時使用する従業員数が
   50人以下」の企業とします。
 (2) OSS(Open Source Software)やパッケージの使用、または、スクラッチ開発により構築したECサイト。
 (3) オンプレミスまたはAWS等のIaaS(Infrastructure as a Service)クラウド環境に構築したECサイト。
 (4) リモートからの脆弱性診断が実施可能なECサイト。

 ※IaaS環境の場合、ECサイト運営者がIaaS事業者から脆弱性診断の許可を得ることを前提とします。
 ※ショッピングモールおよびショッピングカートASPを利用しているECサイトは募集対象から除きます。

無償脆弱性診断の流れ

 以下の流れで実施します。

 (1) IPA作成の診断シートを用いたECサイト運営者によるセルフチェック・アンケートへの回答
 (2) 専門家によるヒアリング、及び、脆弱性診断実施手順・実施上の留意点等の確認(対面またはリモート会議で実施)。
 (3) リモートからの脆弱性診断実施
   診断予定項目は下記PDFファイルを参照ください。

   EC サイト向け無償脆弱性診断の診断予定項目(PDF)PDF

 (4) 診断結果報告と対策助言(対面またはリモート会議で実施)。可能であれば、診断結果報告や対策助言をご理解出来る方
  (サイト構築事業者やサイト保守事業者など)の同席をお願いいたします。
 (5) 無償脆弱性診断で発見された脆弱性については、診断実施から3カ月後を目安に対応状況、今後の対応予定等を確認
   させていただきます。

無償脆弱性診断のお申込み方法

 「ECサイト向け無償脆弱性診断 申込書」にご記入・添付の上、以下のメールアドレスまでお送りください。

 【メールタイトル】 ECサイト脆弱性無償診断申込み
 【メールアドレス】 isec-ecsite@ipa.go.jp
 【問合せ先】  03-5978-7527

  ※在宅勤務でほぼ不在のため上記メールにコールバック依頼を入れて下さい。

 一定数のお申込みがあった時点で、本募集を終了します(募集終了は本ウェブページ上で連絡します)。
 応募を予定されている場合、早めのお申込みをお勧めします。

   ECサイト向け無償脆弱性診断 申込書(Wordファイル)

無償脆弱性診断の実施対象の選定方法と選定結果の連絡

 診断申込書の内容を見てECサイトの構築方法、業種等の属性に偏りがないように選定します。募集終了後1ケ月を目途(応募の状況にもよりますが5月頃の予定)、選定された会社様に対してのみご連絡いたします。
 また、選定状況、結果についてのお問合せにはお答えしませんので、お問合せはご遠慮ください。

無償脆弱性診断実施における免責事項

 無償脆弱性診断の項目は、稼働に影響を与えない項目のみを十分配慮のうえ実施しますが、非常に稀なケースとしてリソース(メモリ)不足等の理由により、稼働に影響を与える事象が発生することがあります。このような事象が発生した場合、診断実施者及びIPAは一切の責任を負わないものとします。
 ※本条件はECサイトの診断を一般的な民間事業者に依頼する場合と同一条件です。

更新履歴

 2022年4月12日:募集締切を追記
 2022年3月17日:募集対象の中小企業の定義を修正
 2022年3月8日:掲載