(1/2)ECサイトを安全に運用するためのポイント
はじめに
10月20日に、独立行政法人情報処理推進機構(IPA) セキュリティ対策推進部 脆弱性対策グループ 木村 泰介氏を講師に招き、セキュリティ対策をテーマに開催した講演内容を一部抜粋して掲載する。ECサイトのセキュリティ確保のために経営者が実施すべき項目や、実務担当者が実践すべきセキュリティ対策の内容について紹介する。
1.経営者が取り組むべき対策
項目1
ECサイトのセキュリティ確保に関する組織全体の対応方針を定める
項目2
ECサイトのセキュリティ対策のための予算や人材を確保する
項目3
ECサイトを構築および運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する
項目4
ECサイトのセキュリティ対策に関する適宜の見直しを指示する
項目5
緊急時(インシデント発生時)の対応や復旧のための体制を整備する
項目6
委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする
項目7
ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する
IPAが提供している中小企業の情報セキュリティ対策ガイドラインに記載されている7つの重要項目について実行することが、ECサイトのセキュリティ対策の基本となる。項目1から4では、組織全体の対応方針を定めた上、必要な予算と人材を確保し、対策を指示する必要がある。また、指示した対策を対応方針に従って評価し、適切に見直しをするよう指示を出すことも重要になる。項目5から7においては、万が一ECサイトの事故や被害が発生した場合に備えて、事前に対応方針ルールの策定や外部委託先との連携などの緊急時の対応体制を整備することも必須になる。
2.経営者が実務担当者に実施させるべき取組
この7つの重要項目をもとに、ECサイトの経営者が認識し、実務担当者に実施させるべき取り組みについて紹介する。 新規にECサイトを構築する場合と、ECサイトを運営中の場合で実行するべき取り組みが異なるので、まずは新規にECサイトを構築する場合において実行するべき取り組みについて説明する。
2-1.新規にECサイトを構築する場合において実行すべき取組
取組1
ECサイトの開設計画時にセキュリティ対策および運用、保守コストを必ず見積もり、ECサイトの形態を正しく選定する
取組2
自社に人材がおらず、外部委託先の活用によりECサイトを自社構築する場合は、セキュリティ構築及び運用に関する対策要件の実施を外部委託先に遵守させる
取組3
外部委託先への丸投げはやめて、セキュリティ対策を確実に実施できる委託先の選定と対策実施の継続的な確認を行う
2-2.ECサイトを運営中の場合において実行すべき取組
取組1
過去を振り返り、これまでのセキュリティ対策が不十分ではないか自己点検※1する
取組2
セキュリティ対策が不十分であることがわかり、対策までに時間がかかる場合、対策までのサイバー被害リスクを減らすため、WAFの実装やサイバー保険への加入といった応急処置を行う
取組3
セキュリティ対策の不十分な箇所を対策する
取組3については、長期的なトータルコストを評価し、SaaS型サービスやモール型サービスへの移行も検討していただきたい。
※1 IPAが提供している「安全なウェブサイトの作り方」や、「ECサイト構築・運用ガイドライン」の付録にある、EC サイトの構築時や運用時における講じるべきセキュリティ対策要件をまとめたチェックシートを活用し、自己点検を行う。