2023年3月17日7:20
経済産業省とIPA(独立行政法人情報処理推進機構)は、ECサイトを活用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」を公開した。
同ガイドラインの最大の特長は、経営者がECサイトにおけるセキュリティ対策の基本を認識できるよう、第一部としてまず経営者向けのメッセージを図表やイラストを用いて伝えていることだ。ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示した。IPAの「中小企業の情報セキュリティ対策ガイドライン」に記載されている7つの重要項目に基づき、必要な予算と人材の確保や、脆弱性対策のための日常的なセキュリティ運用、緊急時の体制整備などを示し、実務担当者に適切な指示を出せるようにしている。
また、第二部として実務者向けに、ECサイトの構築時、運用時それぞれにおけるセキュリティ対策要件を示し(表1、表2)、さらに付録としてチェックリストの形で利用可能にしたことも特長となる。構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つの要件で構成され、要件ごとに「必須」、「必要」、「推奨」と3段階の区分が記載されている。例えば、構築時には「ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する」、運用時には「サーバおよび管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする」などを必須項目として示し、それぞれ詳しく解説している。
さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説している。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめているそうだ。
IPAはECサイト構築・運営に必要なセキュリティ対策をひとまとめにした同ガイドラインを多くの中小企業が活用することで、ECサイトのセキュリティ対策が進み、サイバー被害が減少することを期待している。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト