84ページもある「ECサイト構築・運用セキュリティガイドライン」の中身をざっくりと紹介！

2023年3月に経済産業省とIPA（独立行政法人情報処理推進機構）が公開した「ECサイト構築・運用セキュリティガイドライン」。

読みました？　ブログ担当の私もちゃじ、今更ですがヒーヒー言いながら読みました。

このガイドライン、ECサイトを構築、運用している中小企業の方が順守すべき項目がまとめられているんです。84ページにわたって。

読み始めてそっと画面を閉じた方、読んでいる途中で寝落ちた方、読まなきゃなと気になりつつ、読めていない方、うん、みんなトモダチ。

だれか簡単に教えてくれよ、何が書かれていてどうすりゃいいんだよと思いますよね（もちゃじです）。読みたてほやほやのもちゃじと一緒に、まずは概要から理解していきましょう。

ガイドラインの中でも、脆弱性診断（Webセキュリティ診断）について詳しく知りたいという方は、こちらの記事をご覧ください。

ガイドライン策定の背景

きっとこういうことなんだろうな、ともちゃじは思うのです。

「なぜ自分の管轄のECサイトは被害に遭わないと考えているのか？　多くのECサイトがサイバー攻撃を受けているというのに。もっとセキュリティの重要性を真剣に考えてほしい」

あぁ、IPAの心の声が聞こえてくるよう。

サイバー攻撃の脅威は目の前にあるといっても過言ではないのに、のんびり構えているECサイト運営者が多いようです。ECサイトはユーザーのクレジットカード情報や個人情報などの機密データを多く扱っていますが、そういった重要な情報が漏えいしてしまえば、ECサイト運営者は甚大な被害を受けることになります。最悪、サイトは閉鎖。

だから、徹底的なセキュリティ対策が不可欠なのに、実際にはセキュリティ対策が不十分なECサイトが少なくない現状があります。そして、攻撃されて被害を出すECサイトが後を絶たない。

その理由は、「ECサイトの運営事業者がセキュリティ対策の重要性を認識していないこと」に尽きます。

そこで作られたのが「ECサイト構築・運用セキュリティガイドライン」。IPAが経済産業省と連携して、中小企業のECサイト構築や運営に携わっている方に向けて、ECサイトのセキュリティ対策の重要性を理解してもらい、具体的な対策を講じてもらうために策定されました。

深刻なECサイト被害の実態

ECサイトはどれくらいサイバー攻撃を受けていて、被害状況はどれくらいになるのか。ガイドラインでは深刻な被害状況について取り上げています。

国内で発行されたクレジットカードの不正利用被害額は、5年間で2倍以上に増加し、2021年には330億円に達しているんだとか。ECサイトが攻撃されて、クレジットカード情報が漏えいしたら、このような不正利用に直結する危険性が高まります。

さらにECサイトで被害が出た場合、経済的に大打撃。実際の調査結果では、1社あたり以下のような甚大な損失が出ています。

• 漏えいした顧客情報件数の平均：約3800件
• 事故対応に要した平均費用：約2400万円
• ECサイト閉鎖期間の売上高の平均損失：約5700万円

このように、サイバー被害に遭ったら直接の売り上げ減はもちろん、事故対応コスト、顧客の信用失墜など、EC事業の存続さえ危ぶまれかねない深刻な被害が生じる恐れがあります。控えめにいって、死活問題なんでは……。

ガイドラインの概要

ガイドラインでいいたいことは、「ECサイトは『集客』や『売り上げ』だけでなく『セキュリティ対策』を入れた三つのことを考えることが大切、というより必須。『セキュリティ対策』に目を向けよ。そして、とにかく書かれていることをやりなさい」ともちゃじは理解しました。

経営者がやるべき基本対策と、実務担当者がするべき取り組みについて書かれています。

対象のECサイトとは？

ガイドラインで対象にしているECサイトは、中小企業の自社構築サイトです。では、「自社構築サイト」ってどの範囲のことをいうんでしょうか。

ガイドラインでは「ECサイト構築パッケージ、または、スクラッチで自社サイトを構築すること」を自社構築サイトと定義しています。SaaS型サービスを利用しているサイトは自社構築サイトに含まれません。

ただし、Sass型サービスを利用していても、自分たちで動的にカスタマイズしたものは自社構築サイトとして扱うんですね。例えばShopifyで構築しても、カスタマイズした場合は、自社構築サイトとして考える、という風に。 

ガイドラインの構成

ガイドラインは、「経営者編」「実践編」「付録」の3パートに分かれており、内容は以下のとおり。

• 経営者編：経営者（新規にECサイトを構築しようとしている、またはECサイトを運営している）が認識して、自分の責任において実践しなければならないこと
• 実践編：実務担当者が「構築時」と「運用時」に検討、確認すべき対策要件
• 付録：「自社構築サイト50社の脆弱性診断結果」や「構築時チェックリスト」「運用時チェックリスト」など合計五つ

ガイドラインを読んでやるべきこと

ちょっと乱暴ですが、簡単にいうとこれに尽きます。

• 経営者の責任で7項目を実施せよ
• 構築時には14要件を満たせ
• 運用時には7要件を満たせ

経営者編の概要

平たくいうと、経営者編では「なぜECサイトが狙われるのか？」「経営者は何をしたらいいのか？」について書かれています。

大事なこと

• セキュリティ対策は重大な「経営課題」と認識しなさい
• 経営者が実行すべき7項目を実施しなさい
• 実務担当者に構築時と運用時の取り組み、それぞれ三つの実施指示を出すこと

84ページにわたり書かれているガイドラインですが、経営者はまず、この「経営者編」を読みましょう。大丈夫、経営者編はそのうち17ページ分だけです。

その中でも、経営者がしなければならないことについて一部ご紹介します。

経営者が実行すべき基本対策7項目

ECサイトのセキュリティ対策を「経営課題」と認識して、経営者の責任において実行すること。それが基本対策として7項目あります。「経営者、やれよ」と心の声が聞こえてきます。

必要な予算と人材の確保

項目1：セキュリティに関する組織全体の方針を決める
項目2：セキュリティ対策に必要な予算と人員を確保する
項目3：ECサイトの構築と運用時に必要な対策を検討し、実施を指示する
項目4：セキュリティ対策を適宜見直すよう指示する

ECサイトの事故や被害が起きた場合に備えて体制を整備

項目5：インシデント発生時の対応と復旧体制を整備する
項目6：外部委託時のセキュリティ内容と責任を明確にする
項目7：最新のセキュリティリスクと対策動向を収集する

経営者が実務担当者に指示すべき取り組み

ECサイトといっても、新規構築時と運営時では、それぞれに注意する観点が変わってきます。それぞれに即した内容に分け、取り組み内容が書かれています。

新規にECサイトを構築する場合

売り上げや集客を優先して、セキュリティ対策をないがしろにしないように！　ECサイトの事故や被害で、信用失墜やお客さま離れを防ぐために！という目的で、三つの取り組み内容が書かれています。

ECサイトを運営中の場合

いつサイバー攻撃に遭ってもおかしくない状況を回避すること！　またそういう状況を改善すること！　そのための取り組みが三つ書かれています。

実践編の概要

実践編では、セキュリティ対策を実践する実務者がすべき「対策要件」や「確認・検討事項」について「新規構築時」と「運用時」に分けて、それぞれ書かれています。

実務担当者は、「実践編」を読んでみてください。

新規構築時におけるセキュリティ対策14要件

ガイドラインには新規構築時にすべき14要件が載っています。「必須」「必要」「推奨」と三つの区分に分かれていて、その要件一覧は、チェックリストとしても活用できるとのこと。それらの一部を抜粋して紹介します。

まずは必須要件。

【必須】要件1：「安全なウェブサイトの作り方」及び「セキュリティ実装チェックリスト」に準拠して、ECサイトを構築する

出ました！　「安全なウェブサイトの作り方」。IPAが出しているやつですね。設計者は脆弱性を知っていないと安全な設計ができません。脆弱性の根本的解決方法も載っているので、これを読んで構築してください、ということですね。

参考：IPA「安全なウェブサイトの作り方」https://www.ipa.go.jp/security/vuln/websecurity/about.html

【必須】要件2：サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする

使っているソフトウェアを最新にしてくださいね。保証期間内のものを使ってくださいね、ということ。

【必須】要件３：ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する

脆弱性診断！　必須項目！　「脆弱性診断」あるいは「Webセキュリティ診断」とちまたでいわれているやつですね。もう義務なんですって！

脆弱性診断……（白目）となったあなたへ、当社にはツールと手作業によるハイブリッドWebセキュリティ診断「ABURIDA」がありますよ、とそっと宣伝しておきます。報告書が分かりやすいと評判な。あ、ご相談やお見積もりは無料ですのでお気軽にお問い合わせください。はい、ここぞとばかりに宣伝を入れ込みました。

気を取り直して、他にも必須項目はありますが、次に進みます。次は「必要要件」と「推奨要件」。

【必要】要件10：サイト利用者のログイン時における二要素認証を導入する

やだ、不正ログイン？　と冷や汗が出る状況でも、二要素認証を導入しておけば安心です。一つ目の認証が突破されてしまったとしても、二つ目の認証がブロックしてくれるはず。二つとも突破するのは容易ではないので、二要素認証を導入しましょう。

【推奨】要件13：保管するログやバックアップデータを保護する

ログを取るだけではなくて、保護してくださいね。

他にはどんな要件があるんだ？　と、全ての要件を確認してみたくなりましたか？　そんな方は大本のIPAの「ECサイト構築・運用セキュリティガイドライン」をどうぞご覧ください。

IPA「ECサイト構築・運用セキュリティガイドライン」
https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html

運用時におけるセキュリティ対策7要件

こちらもガイドラインにはチェックリストとして活用できる要件一覧が載っています。7要件は構築時と同じで「必須」「必要」「推奨」と三つに区分されています。それらの一部を抜粋して紹介します。

【必須】要件1：サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする

常日頃から脆弱性に関する情報収集をして、セキュリティパッチの適用や最新版へアップデートしてくださいね。

【必須】要件2：ECサイトの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する

脆弱性診断！　構築時だけでなく、運用時にも必須項目です！　定期的にやりましょう。カスタマイズ時はもちろん大切ですが、OSやミドルウェアは継続的に脆弱性が見つかっているので、カスタマイズに関係なく定期的に行い、見つかったら改修しましょう、ということです。

当社のハイブリッドWebセキュリティ診断「ABURIDA」はツールと手作業による診断を行っています。どこを診断すべきか？　定期的にとは？　とお悩みの方は、サイトに合わせてお見積もりをしますので、お気軽にお問い合わせください。と、また宣伝を挟んでみました。

さ、気を取り直して、「必要要件」と「推奨要件」に進みます。

【必要】要件5：重要な情報はバックアップを取得する

ランサムウェアで被害に遭っても、バックアップがあれば被害額を減らせます。

【推奨】要件6：WAFを導入する

脆弱性が見つかった場合、応急処置としてWAFを導入し、その間に設計から見直してみましょう。

まとめ

ECサイトのセキュリティ対策の重要性を認識して、決しておろそかにしないこと！　そして要件を順守すること！　それが一番大事だということが分かりました。

経営者と実務者ですべきことが明確に示されているので、ガイドラインの内容を確実に理解して実践していくこと。それが求められているんです。

まずはざっくりとガイドラインの概要にとどめましたが、なんとなく伝わったでしょうか？

覚えてほしいこと

• 経営者は、ご自身の責任で7項目を実施せよ
• 実務担当者は、構築時には14要件を満たせ
• 実務担当者は、運用時には7要件を満たせ

84ページ全部読むのはきついぜという方も、ご自分に該当する箇所だけでも一読することをおすすめします。

IPA「ECサイト構築・運用セキュリティガイドライン」
https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html

ふう書き終えた

眠気ニモマケズ　頭痛ニモマケズ　84ページニモマケズ　ガイドラインをさらさら読める　そんな強者に私ハナリタイ

ライター／もちゃじ

IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。

ITド素人の私がWebセキュリティについて学び、レベルアップしていく（予定です）様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。