こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
経済産業省と独立行政法人情報処理推進機構(IPA)は2023年3月、ECサイトを構築・運用する中小企業向けの必要なセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を公開しました。
今回は、「ECサイト構築・運用セキュリティガイドライン」のWeb担当者(=実務担当者)向け部分の解説をします。
ECサイトセキュリティガイドラインの概要
本ガイドラインは、ECサイトにおけるセキュリティ対策を「経営者編」と「実践編」に分けて記載しています。
さらに、「経営者編」の中に「経営者自身がすべき対策」と、「実務担当者が実施すべき対策」に掘り下げて記載があり、「実践編」の中には「構築時」と「運用時」に分けてフェーズごとに実施すべき具体的な内容が書かれています。
それでは、今回の解説対象である「実務担当者が実施すべき対策」の「構築・運用」部分を順に見ていきましょう。
ECサイト構築時のセキュリティガイドライン
Web担当者がECサイトを新規構築する場合のセキュリティガイドラインをご紹介します。
既に構築済みの場合は、自身のECサイトと比較しながら読んでみて下さい。
ECサイト構築時に実施すべき取り組み
Web担当者がECサイト構築時する際の実施すべき取り組みは3つです。
【取り組み1.】ECサイト形態を正しく選定する
自社に合ったECサイトの形態を選定しましょう。
ECサイトはサーバー環境からECサイトの構築方法により費用・セキュリティ対策・運用方法が異なります。たとえば、サーバー環境の種類として、自社のサーバールームにサーバーを設置する「オンプレミス」や、データセンターの仮想サーバーを利用する「クラウド」があります。
他にも、構築方法の違いとして、「Shopify」や「BASE」などの「プラットフォーム型」、「EC-CUBE」や「Magento」などの「オープンソース型」が挙げられます。
それぞれの違いについては下記記事で紹介していますので、ぜひご覧ください。
▼オンプレミス・クラウドの違いについてはコチラ
【Web担当者向け】クラウドサーバー導入で費用と労力を削減!物理サーバー運用との違いとは?
▼プラットフォーム型・オープンソース型の違いについてはコチラ
【ECサイト担当者向け】顧客などの個人情報のセキュリティ対策できてますか?
【取り組み2.】外部委託で構築する場合、要件を遵守させる
自社にECサイトを構築できる人材や人手がない場合、外部委託による開発を実施する企業もいると思います。その場合、外部委託先にもセキュリティ構築および運用に関する対策要件を遵守させましょう。
要件はRFP(Request for Proposal)のように文書で示すことで、自社と外部委託先のコミュニケーションエラーを防ぐことができます。
▼RFPについての記事はコチラ
RFPって何?システム導入担当者が知っておきたい提案依頼書の基礎知識を解説
【取り組み3.】外部委託先への丸投げはしない
外部委託でECサイトを構築する場合、外部委託先への丸投げはやめましょう。
また、構築費用が安いという理由だけで業者を選定してはいけません。外部委託業者としてセキュリティ対策を確実に実施でき、自社担当者も継続的に進捗確認ができるようなスキル・体制を取りましょう。
ECサイト構築時の具体的な実践内容
次に、ECサイト構築時の具体的な実践内容の解説です。
【要件1.】IPAが公開している資料に準拠して構築する
IPAが公開している「安全なウェブサイトの作り方」及び「セキュリティ実装チェックリスト」に準拠して、ECサイトを構築しましょう。
また、それぞれのECサイトの特性によって必要なセキュリティは異なります。自社でセキュリティ要件を策定しておくことも有効な手段です。
▼セキュリティチェックシートについてはコチラ
セキュリティチェックシートとは?活用から作成方法まで解説!
【要件2.】最新のセキュリティパッチを当てる
ECサイトを動かすサーバーや管理端末は構築前に最新のセキュリティパッチを当てておきましょう。最新のセキュリティパッチが当たっていない場合、セキュリティ上の脆弱性攻撃に遭う可能性があります。しっかりとしたセキュリティ対策を実施したうえでECサイトを構築して、自社の情報を守りましょう。
【要件3.】脆弱性診断を行う
ECサイトの構築完了後は、すぐにインターネット上に公開するのではなく、脆弱性診断を実施しましょう。脆弱性を持ったままインターネット上に公開してしまうと、その瞬間から攻撃者の標的とされてしまいます。
【要件4.】接続端末を制限する
ECサイトの管理者画面や管理用ソフトウェアへ接続する端末を制限しましょう。
社内の人間が誰でもECサイトの管理画面に入れる環境では、パスワード漏洩や誤操作などによる情報漏洩リスクが高まります。ECサイト構築後は外部委託業者もサーバーや管理画面にアクセスできないように制限を実施します。
【要件5.】端末のセキュリティ対策を実施する
ECサイトのサーバーやソフトウェアのセキュリティ対策だけでなく、操作する端末のセキュリティ対策も実施しましょう。
サイバー攻撃により端末側が乗っ取られてしまうと、その端末からECサイトサーバーへ侵入することができてしまいます。端末が複数ある場合は、その台数分だけ継続的なセキュリティ対策が必要です。
【要件6.】クレジット取引セキュリティ対策協議会作成のガイドラインを遵守する
クレジット取引セキュリティ対策協議会が作成する「クレジットカード・セキュリティガイドライン」を遵守しましょう。
ECサイトは利用者のクレジットカード情報などお金にまつわる情報が集まります。上記ガイドラインでは、クレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取り組みがまとめられています。
【要件7.】不正ログイン対策を行う
サイト利用者情報の登録時及びパスワード入力時における、不正ログイン対策を実施しましょう。不正ログインされないためには、パスワードの文字数設定などが効果的です。
【要件8.】個人情報の安全管理措置を講じる
個人情報保護委員会は、「特定個人情報の適正な取扱いに関するガイドライン」を制定しており、その中で安全管理措置の具体例が記載されています。
上記では、安全管理措置は、組織・物理・人的・技術的それぞれの側面から考える必要があるとしています。
【要件9.】ドメイン名の正当性証明・TLSの利用を行う
ECサイトで使用するドメインや通信のやり取りにおいて、正当性の証明とTLSの利用を行いましょう。
ドメイン名の正当性証明とは、ドメイン認証型(DV)証明書としてドメイン名の利用権を持っていることを確認する証明書です。一般的に認証局(デジタル証明書を発行する信頼できる組織)からのメールにより認証されます。
TLS(Transport Layer Security)とは、安全性の高い通信を行うプロトコルで、暗号化によって第三者の盗聴・なりすましを防ぎます。
【要件10.】サイト利用者の二要素認証を行う
ECサイト利用者には二要素認証を行いましょう。二要素認証とは、ユーザー自身のID・パスワードだけでなく、ユーザーの携帯電話などにワンタイムパスワードを送信して、そのパスワードを入力させる認証方式です。
【要件11.】サイト利用者への通知機能を導入する
サイト利用者に対して、パスワードの初期化や変更といった重要な処理を行う場合に、サイト利用者へ通知できる機能を導入しましょう。これにより、第3者が利用者として不正ログインされた場合でも、利用者側で不正ログインを阻止することが可能です。
【要件12.】サーバーのログ・バックアップデータを保管する
サーバーのログや取引データ等のバックアップデータを保管しましょう。これにより、サイバー攻撃を受けた際の調査や、不正ログインの兆候検知に役立ちます。
【要件13.】ログ・バックアップデータを保護する
要件12. で保管したログ・バックアップデータの保護をしましょう。データの暗号化をすることで保護することができます。また、複数の保管先に保存することで、災害対策やデータ保管先の不具合にも対応可能となります。
【要件14.】サーバー・管理端末のセキュリティ対策を実施する
サーバーや管理端末自体にもセキュリティ対策を実施しましょう。WAFやファイアウォールを設定し適切なセキュリティ対策を実施します。
ECサイト運用中のセキュリティガイドライン
次は、ECサイトの運用中における項目の解説です。
ECサイト運用中に実施すべき取り組み
Web担当者がECサイト運用する際の実施すべき取り組みは3つです。
【取り組み1.】自己点検する
ECサイト構築から現在までを振り返って、これまでのセキュリティ対策が不十分でないか自己点検しましょう。
【取り組み2.】セキュリティ不備があれば応急処置を
自己点検後、セキュリティ対策に不備があれば暫定対策として応急処置を実施します。応急処置の方法として、該当機能を非公開にする・一部サービスを停止するなどが挙げられます。あくまでも応急処置ですので、取り組み3. の恒久対策が必要です。
【取り組み3.】セキュリティ対策をする
取り組み2. の応急処置後に、十分なセキュリティ対策を実施しましょう。恒久対策をすることでECサイトとしてセキュリティ不備が無く、全ての機能が使えるサイトとなります。
ECサイト運用中の具体的な実践内容
次に、ECサイト運用中の具体的な実践内容の解説です。
【要件1.】最新のセキュリティパッチを当てる
ECサイト構築時のガイドラインと同様、運用中もサーバーや管理端末に対して最新のセキュリティパッチを当てましょう。OSやソフトウェアの開発会社は、製品に脆弱性が見つかった場合にはセキュリティパッチを公開します。常に最新のセキュリティパッチが当たっている状態を保ちましょう。
【要件2.】脆弱性診断を定期的に行う
脆弱性診断を定期的及び機能追加やカスタマイズした際に実施しましょう。
JPCERT/CCの「Web サイトへのサイバー攻撃に備えて」によると、項目により、「1週間に1回程度」の項目や、「1年に1回程度」などの目安が設けられています。
【要件3.】ファイルの差分チェック・改ざん検知の監視を行う
ECサイトのコンテンツや設定ファイルの定期的な差分チェック・改ざん検知ツールによる監視を行いましょう。改ざん検知ツールは既知の改ざん手法から検知する「パターンマッチング」やファイルのハッシュ値(ファイルデータから生成される文字列)を比較する「ハッシュ比較リスト」等があります。
【要件4.】バックアップ・ログの定期的な確認及び対策を実施する
定期的にバックアップやログが取得できているか確認が必要です。
サイバー攻撃やセキュリティインシデントなどの有事の際、バックアップやログが取得できていないと長時間のサービス停止や損害賠償請求など多大な損害が発生します。バックアップやログが取得できているか確認し、取れていない場合は対策しましょう。
【要件5.】重要情報のバックアップを取得する
重要情報のバックアップを取得しましょう。重要情報は企業の活動に大きな影響を与えるため、ECサイト構築ガイドラインで紹介したような暗号化や複数箇所にバックアップを保管しておきます。
【要件6.】WAFを導入する
WAF(Web Application Firewall)を設定しましょう。インターネットとサーバーの間に設置してサーバーを守ることができます。WAFの場合、WAFの配下にいる複数サーバーを一緒に防御することが可能です。
【要件7.】サイバー保険に加入する
サイバー保険とは、事業活動の中で生じるサイバーリスクに起因した損害を補償する保険です。
セキュリティインシデントが起きた場合、数百万円から数億円の損害が発生してしまいます。サイバー保険に加入することで、金銭的な被害を抑えることが可能です。
▼セキュリティ事故による損害を解説した記事はコチラ
【システム・Web担当者向け】セキュリティ事故が起きると生じる6つの損害
ECサイトのセキュリティ対策は「クロジカサーバー管理」へ
ECサイトのセキュリティガイドラインについて解説しました。
ECサイトはクレジットカード情報などお金に関する情報が集まるため、セキュリティ対策が欠かせません。ECサイトのWeb担当者は、このセキュリティガイドラインに沿ったECサイトの構築・運用を頂ければと思います。
しかし、中にはセキュリティ対策スキルや業務過多で対策する時間がないWeb担当者様もいるかと思います。「クロジカサーバー管理」では、企業様ECサイトのセキュリティ対策・サーバー監視・運用の代行業務を行っております。
本記事で解説したような、セキュリティガイドラインに沿ったセキュリティ対策の実施が可能です。ECサイトのセキュリティ対策にお困りの方は、ぜひ「クロジカサーバー管理」へご相談ください。
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
