(2/2)ECサイトを安全に運用するためのポイント
3.実務担当者・責任者が取り組むべき対策
ECサイトにおけるセキュリティ対策を実践する責任者および実務担当者は、セキュリティ対策要件を、ECサイトを新規に構築する際の設計書や調達を行う際の要求仕様書に盛り込んだり、運営中のECサイトにおけるセキュリティレベルを自己点検する際の評価項目として活用し、リスクの高い問題に関して対策を行うことにより、ECサイトのセキュリティ確保に向けた取り組みを推進していく責任を果たすことが重要になる。
また、外部の事業者へ委託する際も、セキュリティ確保に向けた対策を実行することが重要になる。セキュリティ対策要件については構築時と運用時で内容が異なるが、誌面の都合により、運用時におけるセキュリティ対策のみ紹介する。
3-1.ECサイト運用時におけるセキュリティ対策の要件
ECサイトの運用時におけるセキュリティ対策は、7つの要件により構成されている。要件ごとに求められるセキュリティの水準に応じて、必須・必要・推奨を定めている。
必須要件1 サーバ及び管理端末などで利用しているソフトウェアをセキュリティパッチなどにより最新の状態にする
ソフトウェアを安全な状態で利用するためには、脆弱性情報に関する常日頃の情報収集が大切である。すでに攻撃方法が見つかっていたり、被害の存在が広く知られていたりするなど、危険度の高い脆弱性に関しては、セキュリティパッチの適用や最新版へのバージョンアップによるアップデートを迅速に行うことが重要になる。アップデート実施後は、アップデートによりシステムへの影響がないことを確認、動作検証していただきたい。
必須要件2 ECサイトの脆弱性診断を定期的およびカスタマイズを行った際に行い、見つかった脆弱性を対策する
ECサイトを構築後、新たな脆弱性が発見される可能性があるため、定期的およびカスタマイズを行った際には、脆弱性診断※2を実施することが重要になる。新機能の開発・追加やシステム改修などのカスタマイズを行った時には、その都度 Webアプリケーション診断を実施することも重要になる。なお、最低でも新機能の開発や追加、システム改修などを行った箇所を対象とした診断を実施するようにして欲しい。また、新機能の開発・追加やシステム改修などのカスタマイズを行っていない場合でも、OSやミドルウェアなどの脆弱性は継続的に発見されているため、四半期に1 回の頻度で、プラットフォーム診断を実施することが重要になる。
必須要件3 Webサイトのアプリケーションやコンテンツ、設定などの重要なファイルの定期的な差分チェックや、Webサイト改ざん検知ツールによる監視を行う
不正アクセスやマルウェア感染により、Webサーバ内部に保管しているサイト利用者の顧客情報や、注文取引データなどを外部に送信する不正プログラムがWebサーバの公開ディレクトリ配下などに仕掛けられた場合でも、それを検知できるように定期的な差分チェック、ファイルの整合性監視やWebサイト改ざん検知ツールを導入し、適切な運用を行うことが重要になる。
必要要件4 システムの定期的なバックアップの取得およびアクセスログの定期的な確認を行い、不正アクセスなどがあればアクセス制限などの対策を実施する
不正アクセスやマルウェア感染により、システムを改ざん、破壊された場合、ECサイトでの事業の継続ができなくなる可能性があるため、システムのバックアップを月1回取得することが重要になる。また、ECサイトへの不審なログインが増えたり、システム上で採用されていない不正な注文は、不正アクセスの予兆とも考えられる。このためWebサーバのアクセスログを定期的に確認※3し、特定のIPアドレスからの大量のアクセスなどがあれば、ファイアウォールなどのネットワーク機器の設定でアクセス制限などの対策を実施することが重要になる。
必要要件5 重要な情報はバックアップを取得する
サイト利用者の顧客情報や仕入れ先情報、売上情報などの重要な情報がランサムウェアによって暗号化されると、ECサイトでの事業の継続ができなくなる可能性があるため、重要な情報は一日に一回、バックアップを取得(ネットワークに接続されていないオフライン環境へ保管)することが重要になる。
推奨要件6 WAFを導入する
すでに見つかっている脆弱性に対して対応するまでに期間が必要な場合や、必要となるセキュリティ対策を実装するまでに期間が必要な場合、その期間内にサイバー攻撃を受けることが無いよう、応急処置としてWAFを導入することを推奨している。
推奨要件7 サイバー保険に加入する
万が一、ECサイトまたは自社システムがサイバー攻撃による被害を受けた場合に備えてサイバー保険に加入することを推奨している。
おわりに
掲載した内容は、 IPAと経済産業省が連携して作成した「ECサイト構築・運用セキュリティガイドライン※4」により詳しく記載されている。ECサイトのセキュリティ確保のために経営者が実行すべき項目やセキュリティ対策を担当されている実務担当者が具体的に実践すべきセキュリティ対策の内容を、パッケージやスクラッチ開発による自社構築サイトを中心に記載している。
利用者が安心して利用できるような安全なECサイトを維持するためにも、脆弱性の解消や運営状態の見直しを今一度やっていただきたい。また、運営を委託業者に任せる場合でも、最終的な責任は当然、ECサイトの運営者にかかってくるので、メンテナンスや脆弱性の対応状況、解消状況などは運営者ご自身で把握していただきたい。このような運営責任を自覚していただき、EC サイトの運営者と利用者の両方が被害に遭わないための対策を実行していただきたい。
※2 脆弱性診断を第三者に依頼する場合は、「情報セキュリティサービス基準適合サービスリスト」にある、「脆弱性診断サービス」(https://www.ipa.go.jp/security/ug65p90000019fc0-att/20230922_2.pdf )に記載されている事業者を選定することを推奨している。
※3 Web サーバのアクセスログの定期的な確認は、IPA が提供する「ウェブサイトの攻撃兆候検出ツール iLogScanner」を利用して確認可能。
※4 https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html