ウェブサイトのセキュリティ対策（３／３）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

全３回のシリーズでお伝えしている、「ウェブサイトのセキュリティ対策」。

３回目となる今回は、前回に続きウェブサイト運営者、システムおよびネットワーク管理者に実行していただきたい「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」の後半と、ウェブサイトの中でも特に活用が進んでいるECサイトのセキュリティ対策について解説します。

ウェブサイトのセキュリティ対策のチェックポイント20ヶ条

１．ウェブアプリケーションのセキュリティ対策（ポイント１〜８）と、

２．ウェブサーバーのセキュリティ対策（ポイント９〜14）は、

前回配信の「ウェブサイトのセキュリティ対策（２/３）」をご覧ください。

３．ネットワークのセキュリティ対策

（１５） ルータなどを使用してネットワークの境界で不要な通信を遮断していますか？

境界ルータなどのネットワーク機器を使用して、外部から内部ネットワークへの不要な通信は遮断してください。

運用上、外部から内部ネットワークへの通信が必要な場合は、情報を秘匿するためにVPN 等を利用することを検討してください。

内部に侵入された場合、悪用される恐れがあるため、内部から内部ネットワークおよび内部から外部ネットワークへの通信についても、不要と判断される通信は遮断する必要があります。

（１６） ファイアウォールを使用して、適切に通信をフィルタリングしていますか？

ファイアウォールを設置していても、フィルタリングが適切でなければ意味がありません。

「どのサーバー」の「どのサービス」に「どこから」のアクセスを許可するのかを把握し、設定を見直してください。

（１７） ウェブサーバー（または、ウェブアプリケーション）への不正な通信を検知または、遮断していますか？

IDS（Intrusion Detection System不正侵入検知システム）やIPS（Intrusion Prevention System不正侵入防御システム）およびWAF（Web Application Firewallウェブアプリケーションファイアーウォール）は、ウェブサイトと利用者の間の通信を検査し、不正な通信を自動的に検知または遮断するソフトウェア、もしくはハードウェアです。

ウェブサイトに脆弱性が発見された場合、ウェブアプリケーションを速やかに修正できないことがあります。

修正されるまでの間、攻撃による影響を低減する対策としてIDSやIPSおよびWAFを導入してウェブアプリケーションを保護することは有効な手段の一つです。

（１８） ネットワーク機器のログを保管し、定期的に確認していますか？

ログは、事故や故障、不審な動きがあった際に原因を追究するための重要な情報源です。

必要に応じてログを保管し、定期的に確認をする必要があります。

４．その他のセキュリティ対策

（１９） クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか？

クラウドやホスティングのサービスを利用してウェブサイトを運営している場合、「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」の（１）～（18）及び（20）で記述したセキュリティ対策をサービス事業者側が提供していることがあります。

クラウドなどのサービスを利用する場合は、サービス事業者側の作業範囲とセキュリティ対策を把握した上で、不足する対策は自組織で対応することを検討してください。

（２０） 定期的にセキュリティ検査（診断）、監査していますか？

組織内部で上記のセキュリティ対策を実施しているか確認した上で、外部の組織によるサーバーやネットワーク機器、ウェブアプリケーションに対する脆弱性検査（診断）やセキュリティ監査を受けることは、対策漏れなどを洗い出すために効果的な手段です。

公開、運用後は定期的な検査（診断）、監査を継続することが重要です。

ECサイト*1のセキュリティ対策

インターネット上に店舗を構え、商品やサービスを販売するECサイトの活用が中小企業でも進んでいます。

一方、インターネット上の店舗は世界中からアクセス可能であり、絶えずサイバー攻撃に晒されています。

そのため、中小企業がECサイトで取り扱うクレジットカード情報や個人情報・仕入先情報などの漏えい事件が多数発生しています。

さらに、対策としてカード情報を「非保持化^*2」しているにも関わらず、購入者に偽の入力画面を表示し、入力させた情報を盗むという巧妙な手口により、被害が増加しています。

ECサイトが被害を受けた場合は、サイトの一時閉鎖や原因調査に加え、顧客への謝罪や事故対応費用の負担など経済的損失が発生します。

企業としての信頼も大きく損なわれ、売上が回復するまで多くの時間を要します。

被害を防ぐために、下記に示す運営形態ごとのセキュリティ対策を参考に、自社の対策を確認し、十分な対策を講じてください。

*1　EC（Electronic Commerce電子商取引）「ネットショップ」「オンラインショップ」「ネット通販サイト」などの呼称があります。いくつかある決済方法のうちクレジットカード払いが約8割（総務省 令和3年情報通信白書）で最も多くなっています。

*2　自社で保有する機器・ネットワークにおいて「カード情報」を「保存」、「処理」、「通過」しないこと。割賦販売法 第35条の17の９「販売店におけるクレジットカードの適切な取り扱い」では、販売店におけるクレジットカード番号等取扱契約の締結に係る業務に関して、クレジットカード番号を保有しない等、クレジットカード番号等に関する情報の適切な管理のために必要措置を講じる責任を負う、としています。

なお、本稿は、独立行政法人情報処理推進機構（IPA）が公表している「安全なウェブサイトの運用管理に向けての20ヶ条 〜セキュリティ対策のチェックポイント〜」「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。

次回は、ネットワーク対策などの技術的対策について解説します。