メルマガ登録
ベストなDXへの入り口が見つかるメディア
-
テーマから探す
-
技術から探す
-
業界・事例から探す
-
関連トレンドから探す
ベストなDXへの入り口が見つかるメディア
テーマから探す
技術から探す
業界・事例から探す
関連トレンドから探す
BtoCマーケティング領域のDXにおいて重要なチャネルの一つとなるECサイト。
ただ、リソースの少ない中小企業では、ECサイトを構築するだけでも簡単ではありません。ましてや万全なセキュリティ対策を施すことは、直接的な売上にはつながらないことから、つい優先順位を下げてしまうケースもあるのではないでしょうか。
今回、IPA(独立行政法人 情報処理推進機構)より公開された「ECサイト構築・運用セキュリティガイドライン」は、まさにそんなECサイトのセキュリティ対策にお困りの中小企業に向けた手引きといえます。このガイドラインを参照することで、大まかにどんな対策を講じればよいのかの見取り図を得られます。また外部委託するに際しても、何に気をつければよいのか、委託先がきちんとセキュリティに配慮してくれているのかをチェックしやすいでしょう。
この記事では、ガイドラインの内容を要約してお伝えします。特に経営者や実務担当者がとるべきアクションをご説明しますので、ぜひECサイト構築時やセキュリティ対策検討時に参考にしていただければ幸いです。
【参考】情報処理推進機構「ECサイト構築・運用セキュリティガイドライン」
「ECサイト構築・運用セキュリティガイドライン」は、ECサイトのセキュリティ確保のために実践すべき内容をまとめたものです。リソースが少なく対策を怠りがちな中小企業向けに、経営者が認識して責任を持ち実行すべき内容、それを受けて構築・運用に際して検討・確認すべき内容を説明しています。
ECサイトを利用する際、ユーザーは個人情報やクレジットカード情報を入力することになります。そのためECサイトはサイバー攻撃を受けやすく、結果としてこれらの情報の漏えいが数多く発生しているのです。
情報漏えいが発生すると、ユーザーが損失を被ることはもちろん、事業者側もECサイトの長期閉鎖、原因調査や損害補償など、甚大な経済的損失を被ることになります。
こうした事態を未然に防ぐために、ECサイトの構築・運用に際して適切なセキュリティ対策を講じることが欠かせません。当ガイドラインを活用することで、比較的安全なECサイトづくりが可能です。
当ガイドラインは、「経営者編」と「実践編」の2部構成です。経営者編では、IPAがかつて作成した「中小企業の情報セキュリティ対策ガイドライン」をもとに、経営者が実行すべきセキュリティの基本対策が記載されています。
まず経営者は、セキュリティ対策を軽視することの危険性について理解する必要があります。ガイドラインに記載されているECサイトのサイバー被害の現状についてご紹介します。
日本クレジット協会によると、2021年の国内発行クレジットカードにおける年間不正利用被害総額は約330 億円に達しており、2016 年の2倍以上に増加しています。その94%がカード番号の盗用による被害が占めており、ECサイトから入手された情報が不正利用されているのです。
またIPAの調査では、顧客情報の平均漏えい件数が約3,800件、1社当たりの平均被害額が2,400万円にのぼるなど、ECサイトへのサイバー攻撃がもたらす被害の大きさがよく分かります。
大半の中小企業のECサイト運営事業者は、セキュリティ対策への意識が弱いことに加えて、継続的な対策のための経営資源割り当ても不十分とされています。例えば、外部事業者に委託してECサイトの運用・保守を実施していた事業者のうち、44%が契約書や仕様書の中にセキュリティ対策を記載していなかったことが分かっています。
IPAの調査では、Webアプリケーションないしプラットフォームの脆弱性診断の結果として危険度が「高」とされたのは、調査対象企業50社のうち半数以上の26社を占めました。これらの企業のECサイトでは、いつサイバー被害が発生してもおかしくないことになります。
セキュリティ事故・被害が発生すると、ECサイトを閉鎖することによる売上損失と事故対応費用の発生という2種類の影響が発生します。また、ブランド毀損や風評被害なども考えられます。
被害を受けたECサイト(従業員数300名以下の40社)を対象とした調査によると、平均閉鎖期間は約8.6か月に及びます。売上高損失額を見ると、40社のうち1,000万円未満が14社である一方、1億円以上が4社あるなど、大きな売上毀損が発生することもあります。
以上のように、セキュリティ対策をおろそかにすると、甚大な代償を払う可能性があることを事業者(特に経営者)は認識する必要があるでしょう。
当ガイドラインには、実際にセキュリティ被害を受けた企業の声が記載されています。
そちらを見ると、社内でのリスク認識が不十分であった、外部委託事業者の得意分野ではなかったなど、根本原因が語られています。また契約書に記載した瑕疵担保期間を過ぎていたために、被害発覚後に外部委託事業者に賠償請求できなかった、ショックを受けて信頼できる相談先を見つけられなかったなど、事後対応にも苦慮したケースも書かれています。
こうしたケースは、少なからずECサイト運営者に当てはまるのではないかと考えられます。「明日はわが身」の意識で、セキュリティ対策の強化に努めることが必要不可欠です。
「経営者編」では、経営者が実施するべきこと、担当者に対して指示すべきことがまとめられています。
これらの内容を整理してご紹介します。
セキュリティ対策を行う前提として、組織全体としての対応方針と必要な予算・人材・体制の整備を経営者として責任を持って実施します。
特に予算については、ECサイト構築時の対策費用に加えて保守コストも計算することが重要です。外部委託先へ依頼する際のコストも加算する必要があります。
講じるべきセキュリティ対策要件を把握すること、またセキュリティ対策を任せられる外部委託先を選定することが重要です。ガイドラインでは、セキュアコーディングや脆弱性診断を外部委託先に必ず実施させること、また構築後のセキュリティ運用や保守についても契約可能な事業者を選定するよう求めています。
またECサイト構築後も、定期的にセキュリティ対策の現状と課題を見直すよう担当チームや外部委託先に指示することも経営者の責任の範疇に含まれます。当ガイドラインには振り返りに使えるチェックシートが添付されているため、適宜活用しましょう。
なおセキュリティ対策の不備が発覚したものの、対策実施に時間がかかるケースもしばしばあります。そうした場合は、WAF(Web Application Firewall)の実装やサイバー保険への加入など、応急措置を講じる旨の説明が記載されています。
外部委託先にセキュリティ対策を依頼するとしても、「丸投げはやめましょう」とガイドラインでは明確に書かれています。ECサイトのセキュリティ運用や保守の契約を締結することはもちろん、セキュリティ対策の内容や責任を明記するなど、委託元として責任あるアクションをとることが必要です。
また納品時や運用時に、契約通りのセキュリティ対策が実施されていることを確認することも重要です。
サイバー攻撃とセキュリティ対策はいたちごっこの関係にあり、攻撃内容も急速に変化していきます。特定の段階で知識をインプットするだけでは不十分であり、IPAのホームページをはじめ最新情報を定期的に収集するようにします。
最新の攻撃内容を踏まえて、セキュリティ対策の定期見直しを指示することが経営者の実行すべきアクション項目となっています。
ここからは「実践編」の内容です。より具体的なセキュリティ対策が実務よりの立場で記載されています。全体像は以下の図の通りです。
IPAは、「安全なウェブサイトの作り方」という資料を作成しています。また、この資料に付随して「セキュリティ実装 チェックリスト」もあります。これらの資料に記載されたルールにのっとって、ECサイトを構築することが重要です。
これらの資料では、サイバー攻撃の標的となる脆弱性とその対策が記載されています。外部事業者にECサイト構築を委託する際は、これらの資料を参考にするよう依頼することが求められます。
サーバーや管理端末、Webアプリケーションなど、ECサイトを構成する複数箇所でソフトウェアを利用しているはずです。こうしたソフトウェアの最新バージョンへアップデートすることで、脆弱性対策を実施することができます。
アップデート実施後は、システムへの影響がないことを動作検証によって確認することも重要です。
管理者画面や管理端末へのアクセス制限、Webアプリケーションにおける不正ログイン対策、個人情報を管理するDBサーバーにおける安全管理措置、ログイン時の二要素認証の導入、ドメイン名の正当性証明や通信の暗号化など、必要なポイントで必要なセキュリティ対策を講じることが求められます。
クレジットカード情報の漏えい対策は、クレジット取引セキュリティ対策協議会による「クレジットカード・セキュリティガイドライン」にまとまっています。こちらに従うことで、カード情報の非保持化やカード決済のEMV 3D セキュアの導入など最新のセキュリティ対策をとることが可能です。
WebサーバーやWebアプリケーションなどにおけるログ・取引データをはじめ、必要なデータのバックアップを取得して保管します。
これは、万が一顧客情報の漏えいが発生した際、原因究明を行うのに必要な情報です。ガイドラインでは、ログやバックアップデータを過去1年間保管しておくよう求めています。
ECサイトの運用時におけるセキュリティ対策の要件として、以下の表のように7つが挙げられています。
ここでは、4つの項目に整理してご説明します。
サイト運用中でも、利用ソフトウェアを最新バージョンへ保つことは意識する必要があります。特に、既に攻撃方法が見つかっていたり、被害が広く知られていたりする危険性の高い脆弱性について、セキュリティパッチの適用やバージョンアップを迅速に行うことが重要です。
ECサイトの脆弱性診断を定期的に実施する必要があります。OSやミドルウェアをはじめ、脆弱性は継続的に発見されるものです。ガイドラインでは、四半期に1度の頻度でプラットフォーム診断を実施するよう求めています。また、新機能の開発・追加やシステム改修などを行ったときには、その都度Webアプリケーション診断を実施します。
さらに、差分チェック(ファイル整合性監視)を定期的に実施したり、Webサイト改ざん検知ツールを導入したりすることも有効です。不正アクセスやマルウェア感染によって、アプリケーションやコンテンツ、重要ファイルを書き換えることや、顧客情報および注文データなどを外部に送信することなどを検知できます。
システムを改ざん・破壊された場合、ECサイトの運用継続は難しくなります。そうした事態に備えて、システムのバックアップを最低月に1回は取得することが重要とガイドラインでは説明しています。この際、バックアップはネットワークに接続されていないオフライン環境へ保管することが重要です。
ガイドラインは、万が一に備えてサイバー保険へ加入することを推奨しています。損害賠償や事故対応費用の負担、収益の減少を補う効果が認められるとされています。
ここまで「ECサイト構築・運用セキュリティガイドライン」の内容をお伝えしてきました。「ITの知識はないから自分で何をやるべきか判断・指示できない」と担当者に丸投げしがちだった経営者の方でも、このガイドラインを参考に対策の概要を把握できるでしょう。
セキュリティ対策の実務担当者も、対策要件の全体像を把握することで自社のセキュリティ対策に欠けている部分を見つけやすくなります。経営者とのコミュニケーションも円滑になり、ECサイト構築・運用の生産性がアップする効果も期待できます。
ECサイトを運用する、あるいは今後運用する予定の中小企業経営者や、システム担当者は当ガイドラインに目を通すだけではなく、手元に置いて適宜参照できるようにするとよいかもしれません。
