ECサイトの脆弱性診断が2024年度末に義務化！？　やるべきことは？

2024年度末には、全てのECサイトのセキュリティ対策が義務化される方針って、ご存じですか？　経済産業省は、近頃のサイバー攻撃によるECサイトの被害が甚大なことを受け、2023年1月に脆弱性対策義務化の方針を固め、同3月に「ECサイト構築・運用セキュリティガイドライン（以下、ガイドライン）」を公開しました。やらなければならないことが明文化されて、セキュリティ対策待ったなしの状態に。 

そのガイドライン、84ページに及びますがもう読まれましたか？　「脆弱性対策」の文字に吸い込まれるように、ブログ担当の私もちゃじも読みました。  

ガイドラインによると、サイト構築時と運用時でセキュリティ対策の要件が異なり、それぞれリストがあるのですが、なんとその両方に「脆弱性診断」の文字が！　これはWebセキュリティ診断サービスを提供している当社としても見逃せないではないか。 

ということで、この記事ではガイドラインの数ある要件の中でも、脆弱性診断（Webセキュリティ診断）に焦点を当て、義務化に向けて解説していきます。 

ガイドラインの概要については、こちらの記事をご覧ください。 

対象のECサイトとは？ 

ガイドラインでは、以下サイトを「自社構築サイト」と定義し、対象としています。 

• ECサイト構築パッケージやスクラッチで構築した自社サイト 
• SaaS型サービスを使用して自分たちで動的にカスタマイズしたもの 

なぜこのような定義になったかというと、サイバー攻撃による被害を受けたECサイトの97％が自社構築サイトだからです。EC市場が拡大し続ける中、ECサイトはより簡単に構築できるようになりました。大半の中小企業のECサイト事業者は、セキュリティ対策への意識が低かったり、セキュリティコストを割けなかったりしており、悪い人に狙われ、被害は増え続けています。 

ECサイトがサイバー攻撃を受けたときの被害 

ECサイトはその性質上、クレジットカード情報などの個人情報を取り扱うことが多く、サーバーにはその情報が保存されている場合が多いです。 

セキュリティ対策をおろそかにすると脆弱性があったとしても分かりません。そのまま脆弱性を放置すると、以下のような被害に遭う恐れがあります。 

• 顧客情報やクレジットカード情報などの流出 
• サイトの改ざん 
• 不正アクセスなど 

実際の調査結果では、1社あたり以下のような甚大な損失が出ています。 

• 事故対応に要した平均費用：約2400万円 
• 漏えいした顧客情報件数の平均：約3800件 
• ECサイト閉鎖期間の売上高の平均損失：約5700万円 

事故対応費用には、フォレンジック調査やコールセンター設置費用に加え、クレジットカードの再発行手数料やクレジットカード不正利用被害者への補償額・慰謝料などがあります。顧客情報の漏えい件数が増えるほど事故対応費用は大きくなります。 

実際にサイバー被害を受けたECサイト事業者の66％はサイトの運営停止に追い込まれ、自社構築サイトから、SaaS型やAmazon、楽天などに代表されるモール型サービスへ移行しています。最悪はサイトが閉鎖になるなんてこともあります。 

ガイドラインの脆弱性診断の項目は何が書かれている？ 

先述したとおり、ガイドラインのセキュリティ対策要件は「構築時」と「運用時」の二つに分かれていて、その両方に「脆弱性診断の実施」と出てきます。対策要件は「必須」「必要」「推奨」の三つの区分に分けられていますが、脆弱性診断は「必須」項目。 

構築時も運用時も診断しろよ、ということ。 

では、ガイドラインにはどういうことが書かれているか。ガイドラインの内容をひもといていきましょう。 

構築時の脆弱性診断 

構築時のセキュリティ対策要件は14件ありますが、その中の「要件3」にはこのように書かれています。 

ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する 

絶対に公開前に脆弱性診断をして、もし脆弱性が発見されたら対策して、攻撃されないようにしてからECサイトを公開しなさいよ、ということですね。 

脆弱性の危険度 

発見された脆弱性は、一般的に危険度「高」「中」「低」の3段階に分類されます。危険度は、攻撃の実現可能性（悪用の実現度）と想定される被害規模によって設定されます。特に対策しなければならないのは、危険度「高」と「中」の脆弱性です。 

• 危険度「高」：直接被害に結び付く脆弱性 
• 危険度「中」：複数の条件が揃った場合に被害に結び付く脆弱性 
• 危険度「低」：現時点では被害に結び付かないが、攻撃者に対し攻撃の手掛かりとなる情報を与えてしまう脆弱性 

脆弱性診断の種類 

脆弱性診断は、原則、外部委託先事業者や第三者が実施しなければなりません。しかも、以下2種類。 

• プラットフォーム診断：システムの土台となるサーバーやネットワーク機器などのOSやミドルウェアを診断 
• Webアプリケーション診断：Webサーバー上で動くWebサイトやアプリケーションを診断 

中でもWebアプリケーション診断は、最低でも以下の画面の診断が必要です。 

• ログイン画面 
• サイト利用者情報登録／変更画面 
• 商品検索画面 
• 注文・決済画面　など 

プラットフォーム診断とWebアプリケーション診断については、こちらの記事をどうぞ。 

脆弱性診断の依頼先 

そして大切なのが、脆弱性診断の依頼先。ガイドラインが推奨しているのは、「情報セキュリティサービス基準適合サービスリスト」の「脆弱性診断サービス」に記載されている事業者に依頼することです。 

「情報セキュリティサービス基準適合サービスリスト」は、経済産業省が定めた「情報セキュリティサービス基準」に適合したサービスを、IPA（独立行政法人情報処理推進機構）が公開しているリストで、情報セキュリティ対策に役立つサービスが分かりやすくまとめられています。 

このリストに掲載されるには、審査登録機関による審査を通ることが必要です。なので、どこに頼めばいいか分からない場合や、依頼予定の事業者が信頼できるか知りたい場合などには、このリストを見てみましょう。サービスごとにサービス概要や対象分野と業種が記載されているので、比較検討もしやすいです。 

IPA「情報セキュリティサービス基準適合サービスリスト」
https://www.ipa.go.jp/security/service_list.html
※情報セキュリティサービス基準適合サービスリストの「脆弱性診断サービス」PDFをご覧ください。

第三者による脆弱性診断が推奨されていますが、自社に脆弱性診断員がいて自社で診断を行うケースもあるでしょう。その場合は、脆弱性診断員に求められるスキルマップなどが掲載されている「脆弱性診断士スキルマップシラバス」を参考にすることが推奨されています。 

脆弱性診断士スキルマップシラバス 
https://github.com/OWASP/www-chapter-japan/tree/master/skillmap_project#

運用時の脆弱性診断 

運用時のセキュリティ対策要件は7件ありますが、その中の「要件2」にはこのように書かれています。 

ECサイトの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する 

構築時、公開前に脆弱性診断を実施して対策しても、定期的に診断する必要があるよ、カスタマイズしたときは都度診断して、脆弱性が見つかったら直しましょう、ということですね。 

プラットフォーム診断は四半期に1度 

サイバー攻撃は日々巧妙化しているので、今まで大丈夫だったものが突破される恐れがあります。そのためOSやミドルウェアもアップデートし続けており、私たちは最新の状態に更新しておくことが大切です。新機能開発やシステム改修などの変更がなくても四半期に1度、プラットフォーム診断を実施して、システムの安全性を維持することが重要です。 

Webアプリケーション診断は変更時に都度 

新機能の開発や追加、システム改修などのWebアプリケーションに変更を加えた際には、必ずその都度診断を実施し、セキュリティレベルを維持することが重要です。診断対象は最低限、変更箇所とし、必要に応じて全体診断も検討しましょう。 

危険度に応じた対応時期 

脆弱性診断の結果は、先述したとおり危険度「高」「中」「低」の3段階に分類されます。 

それぞれの危険度と推奨される対応時期は以下のとおり。 

• 危険度「高」：速やかに対策を行うこと 
• 危険度「中」：3カ月をめどに対策を行うこと 
• 危険度「低」：ガイドラインには記載なし 

これらは一般的な目安なので、実際の危険度や対応時期は脆弱性の種類、状況によっても変わります。 

すぐに対策できないときはWAFを導入する 

すぐに対策できない、必要なセキュリティ対策に時間が必要など、速やかに対応できない場合は、WAF（Web Application Firewall）の導入が推奨されています。 WAFは、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションの脆弱性を悪用した攻撃や、ボットネットからのDDoS攻撃などの脆弱性を悪用した攻撃に対して、攻撃通信を遮断してWebサーバーを防御します。ただし、WAFでは防御できない攻撃もあるため、根本的な対策を実施するまでの応急処置として利用することを推奨しています。 

ハイブリッドWebセキュリティ診断「ABURIDA」の場合 

構築時、運用時の両方で脆弱性診断の実施が必要になる上に、ECサイトを運営している以上、定期的な診断もする必要がある。診断は信頼できる第三者に依頼することが推奨されていることから、当社のハイブリッドWebセキュリティ診断「ABURIDA」の紹介チャンスなんでは？　ということで、紹介します。 

診断サービスを検討する上でガイドラインが推奨しているのは、「情報セキュリティサービス基準適合サービスリスト」の「脆弱性診断サービス」に掲載されていること。はい、「ABURIDA」は掲載されています。 

プラットフォーム診断とWebアプリケーション診断両方を実施せよとのこと。はい、「ABURIDA」は両方に対応しています。 

ガイドラインでは脆弱性診断の診断手法を3パターン紹介しています。 

• ツール診断：ツールを使って自動的に診断 
• 手動診断：人の手で診断 
• ツールと手動のハイブリッド診断：ツールでの診断が難しい箇所を人の手で診断 

「ABURIDA」はツールと手作業のハイブリッド診断です。ツールで一気に脆弱性を洗い出し、手作業でしっかり脆弱性を精査します。早さと精度の高さを両立している診断です。 

脆弱性診断を実施して、脆弱性が発見されたら対策をしなければなりません。そうしたら、報告書は分かりやすくなければ！　「ABURIDA」は報告書が分かりやすいと好評をいただいております。 

定期的な診断となると、費用面も大きな問題になってくると思いますが、「ABURIDA」は見積もり無料、相談無料なので、お気軽にお問い合わせいただければと思います。状況に合わせた診断内容を提案させていただき、柔軟に対応いたします。 

と、なんだか「ABURIDA」のゴリ押しみたいになりましたが、脆弱性診断を第三者に依頼する際、サービス選定の観点を持っていた方が良いので、例えば「ABURIDA」だったらということで、面の皮厚く宣伝してみました。 

賢明なる読者の皆さまが、信頼できるサービスで納得のいく診断ができますように、とのもちゃじのささやかな願いが字面では厚かましくなってしまうのは、筆力のせいなのか、元々の性格なのか。 

まとめ 

2024年度末以降、全てのECサイト運営事業者は、定期的に脆弱性診断を実施し、セキュリティを強化することが求められます。 

その時に焦らないために、今からやっておかなければならないことは、以下のとおり。 

• ガイドラインの内容を理解する 
• 脆弱性診断の実施計画を策定する 
• 診断事業者を選定する 

覚えておかなければならないことは、以下三つ。

• ECサイトを構築したら、公開前に脆弱性診断をして、脆弱性が発見されたら対策をしてから公開すること 
• 運用しているECサイトは、定期的にプラットフォーム診断をすること 
• サイトになにかしら変更を加えたときは、都度Webアプリケーション診断をすること 

ECサイトは集客や売り上げだけでなく、セキュリティ対策もとても重要！なので、サイバー攻撃に遭わないためにも、今からセキュリティ体制を整備していきましょう。 

詳しくは、ガイドラインを読まれることをおすすめします。 

IPA 「ECサイト構築・運用セキュリティガイドライン」 
https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html

ふう書き終えた 

くしゃみが年々大きくなっている気がしてならない。順調に大人の階段を上っているようだ。

ライター／もちゃじ

IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。

ITド素人の私がWebセキュリティについて学び、レベルアップしていく（予定です）様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。