「ECサイト構築・運用セキュリティガイドライン」を公開 ～ECサイトを持つ中小企業向けに、セキュリティ対策と実践方法をまとめて指南～　

2023年3月16日
独立行政法人情報処理推進機構



プレス発表　「ECサイト構築・運用セキュリティガイドライン」を公開
～ECサイトを持つ中小企業向けに、セキュリティ対策と実践方法をまとめて指南～　

経済産業省とIPA（独立行政法人情報処理推進機構、理事長：富田達夫）は、ECサイトを活用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめた「ECサイト構築・運用セキュリティガイドライン」を公開しました。
URL：リンク

近年、ECサイトへのサイバー攻撃により個人情報やクレジットカード情報が漏洩する事件が多数発生しています。特に中小企業が構築・運用するサイトのセキュリティ対策に課題が多くみられることから、経済産業省とIPAでは令和４年度に中小企業のECサイトにおける実態把握を目的とした調査や脆弱性診断を行い、ガイドラインを作成する事業を実施しました。

最近サイバー被害を受けたECサイト運営事業者20社を対象としたヒアリング調査では、1社あたりの顧客情報の平均漏えい件数は約3,800件、そのうち事故対応費用を支出した19社では、事故対応費用の平均額が約2,400万円に上ったことが分かりました。また、20社のうち75％がECサイト構築プログラムやCMS等の脆弱性を放置または最新版へのアップデートを怠っていたことや、90％が保守など運用時のセキュリティ対策を実施していなかったことが分かりました。こうした状況を踏まえ経済産業省とIPAは、ECサイトの構築・運用に必要なセキュリティ対策とその実践方法をまとめて解説するガイドラインを作成しました。

本ガイドラインの最大の特長は、経営者がECサイトにおけるセキュリティ対策の基本を認識できるよう、第一部としてまず経営者向けのメッセージを図表やイラストを用いて伝えていることです。ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示しました。IPAの「中小企業の情報セキュリティ対策ガイドライン」に記載されている7つの重要項目に基づき、必要な予算と人材の確保や、脆弱性対策のための日常的なセキュリティ運用、緊急時の体制整備などを示し、実務担当者に適切な指示を出せるようにしています。

また、第二部として実務者向けに、ECサイトの構築時、運用時それぞれにおけるセキュリティ対策要件を示し（図１、図2）、さらに付録としてチェックリストの形で利用可能にしたことも特長です。構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つの要件で構成され、要件ごとに「必須」、「必要」、「推奨」と3段階の区分が記載されています。例えば、構築時には「ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する」、運用時には「サーバおよび管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする」などを必須項目として示し、それぞれ詳しく解説しています。


リンク

図１. 構築時におけるセキュリティ対策要件


リンク

図2. 運用時におけるセキュリティ対策要件

さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説しています。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめています。

IPAはECサイト構築・運営に必要なセキュリティ対策をひとまとめにした本ガイドラインを多くの中小企業が活用することで、ECサイトのセキュリティ対策が進み、サイバー被害が減少することを期待しています。「ECサイト構築・運用セキュリティガイドライン」は本日から、IPAのウェブサイトでダウンロードできます。