ECサイト構築・運用セキュリティガイドライン

近年、ECサイトからの個人情報及びクレジットカード情報の流出事件が多数発生しており、被害の大半を中小企業の自社構築サイトが占めています。中小企業の自社構築サイトにおいては、セキュリティ対策の必要性が十分に理解されていないため、適切なセキュリティ対策が行われず被害を招いている状況です。
ECサイトのセキュリティ対策を強化するため、IPAではECサイト構築・運用時のセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」を作成し、本日(2023年3月16日)、公開しました。

ガイドラインの内容

ECサイトでひとたび事故及び被害を発生させてしまうと、ECサイトの長期間の閉鎖に伴う売上高の大幅な減少や、原因調査や被害の補償等の事故対応費用を含む甚大な経済的損失が発生します。
本ガイドラインは、ECサイトを構築、運営されている中小企業の皆様に、ECサイトのセキュリティ対策を実施することがいかに重要であるかを認識いただき、ECサイトのセキュリティ確保のために経営者が実行すべき項目や、セキュリティ対策を担当される実務担当者が具体的に実践すべきセキュリティ対策の内容を、パッケージやスクラッチ開発による自社構築サイトを中心に記載しています。

• 経営者が取組むべきセキュリティ対策
  
• 実務担当者が取組むべきセキュリティ対策

【要件1】ウェブアプリケーションのセキュリティ対策
【要件2】サーバ、管理端末のソフトウェアを最新化
【要件4】管理画面、管理用ソフトウェアへのアクセス制限(ファイアウォール)
【要件7】利用者情報登録時等における不正ログイン対策(ウェブアプリケーション)
【要件8】利用者の個人情報への安全管理措置(DBサーバ)
【要件10】利用者のログイン時の二要素認証の導入(ウェブアプリケーション、利用者端末)
【要件12】ログ、バックアップデータを保管(ウェブサーバ、DBサーバ)
【要件13】ログ、バックアップデータを保護対策(ウェブサーバ、DBサーバ)
【要件14】サーバ、管理端末のセキュリティ対策(ウェブサーバ、DBサーバ、管理端末)
【要件3】【要件5】【要件6】【要件9】【要件11】その他のセキュリティ対策

対象読者

本ガイドラインの想定読者は、中小企業の以下の方々を対象としています。

• ECサイトを新規に構築しようとしている経営者
• SaaS型サービスの利用も含む既にECサイトを運営している経営者
• 経営者から指示を受けたECサイトの構築および運用担当者、関係者および外部委託先事業者

ガイドラインの活用方法

• 経営者の方は、ECサイトを構築・運営するためにECサイトのセキュリティ対策の重要性を再認識します。
• 経営者の方から、実務担当者へ本ガイドラインを参考に自社ECサイトのセキュリティ対策状況の確認と改善を指示し、状況や講じる対策等を共有します。
• SaaS型サービスを利用している実務担当者も含めて実務担当者の方は、セキュリティ対策要件リストを用いて自社ECサイトのセキュリティ対策状況を確認し、必要な対策を講じます。

資料のダウンロード

• ECサイト構築・運用セキュリティガイドライン(PDF:3.1 MB)
  • 本資料は日本語版のみ
• 付録_構築時・運用時チェックリスト(Excel:14 KB)
• チラシ(PDF:562 KB)

参考資料

• クレジットカード・セキュリティガイドライン
• 中小企業の情報セキュリティ対策ガイドライン