経営者に向けてセキュリティ対策の基本を解説

　ECサイトへのサイバー攻撃により、個人情報やクレジットカード情報が漏洩する事件が多発している。特に、中小企業が構築・運用するサイトのセキュリティ対策に課題が多くみられることから、経済産業省とIPAでは2022年度に中小企業のECサイトにおける実態把握を目的とした調査や脆弱性診断を行い、ガイドラインを作成する事業を進めてきた。

　最近サイバー被害を受けたECサイト運営事業者20社を対象としたヒアリング調査では、1社あたりの顧客情報の平均漏えい件数は約3800件、そのうち事故対応費用を支出した19社では、事故対応費用の平均額が約2400万円に上ったことが分かった。

　また、20社のうち75％がECサイト構築プログラムやCMSなどの脆弱性を放置、最新版へのアップデートを怠っていたことや、90％が保守など運用時のセキュリティ対策を実施していなかった。こうした状況を踏まえて経済産業省とIPAは、ECサイトの構築・運用に必要なセキュリティ対策とその実践方法をまとめて解説するガイドラインを作成した。

　ガイドラインの最大の特長は、経営者がECサイトにおけるセキュリティ対策の基本を認識できるよう、「第一部」として、まず経営者向けのメッセージを図表やイラストを用いて伝えていることだ。

　ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示。IPAの「中小企業の情報セキュリティ対策ガイドライン」に記載されている7つの重要項目に基づき、必要な予算と人材の確保や、脆弱性対策のための日常的なセキュリティ運用、緊急時の体制整備などを示し、実務担当者に適切な指示を出せるようにしている。

実務者向けにサイト構築・運用時のセキュリティ対策要件を説明

　また、「第二部」として実務者向けにECサイトの構築時、運用時それぞれにおけるセキュリティ対策要件を示し、付録としてチェックリストの形で利用可能にしたことも特長の1つだ。

　構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つの要件で構成され、要件ごとに「必須」「必要」「推奨」と3段階の区分が記載されている。例えば、構築時には「ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する」、運用時には「サーバおよび管理端末等で利用しているソフトウェアをセキュリティパッチなどにより最新の状態にする」などを必須項目として示し、それぞれ詳しく解説している。

　さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめている。


　■『ECサイト構築・運用セキュリティガイドライン』
　https://www.ipa.go.jp/files/000109337.pdf