独立行政法人情報処理推進機構(IPA)と経済産業省は3月16日、「ECサイト構築・運用セキュリティガイドライン」を公開した。
経済産業省とIPAでは令和4(2022)年度に、中小企業のECサイトにおける実態把握を目的とした調査や脆弱性診断を行い、ECサイトの構築・運用に必要なセキュリティ対策とその実践方法をまとめて解説するガイドラインを作成する事業を実施した。
最近サイバー被害を受けたECサイト運営事業者20社を対象としたヒアリング調査では、1社あたりの顧客情報の平均漏えい件数は約3,800件、さらに事故対応費用を支出した19社ではその平均額が約2,400万円であることが判明した。また、75%がECサイト構築プログラムやCMS等の脆弱性を放置あるいは最新版へのアップデートを怠っていたことや、90%が保守など運用時のセキュリティ対策を実施していなかったことも明らかとなった。
本ガイドラインでは、第一部に図表やイラストを用いて経営者向けのメッセージを掲載、ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示している。IPAの「中小企業の情報セキュリティ対策ガイドライン」記載の7つの重要項目に基づき、必要な予算と人材の確保、脆弱性対策のための日常的なセキュリティ運用、緊急時の体制整備などを掲載し、実務担当者に適切な指示を出せるようにしている。
第二部では実務者向けに、ECサイトの構築時、運用時におけるセキュリティ対策要件を示し、付録としてチェックリストとして利用できるようにしている。構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つの要件で構成され、「必須」、「必要」、「推奨」の3段階の区分が記載されている。
