個人情報保護委員会から公表されている、「WARNING～ウェブサイトを運営している事業者の皆様への注意喚起～」が更新されています。個人情報保護委員会において報告を受けた不正アクセスに起因する漏えい等事案の中でも、ECサイト（インターネットショップ）や会員用ウェブサイトにおける情報漏えい事案が多く報告されており、両サイトとも、個人データを盗むことを目的として、攻撃の対象になりやすい傾向にあるとのことです。こうした不正アクセスは、企業規模の大小や業種に関係なく、様々なECサイトや会員用ウェブサイトなどに対して仕掛けられているようです。

そのため、ウェブサイトを運営する事業者は、こうした脅威を認識し、不正アクセスによる情報漏えいを防ぐために適切なセキュリティ対策を講じる必要があり、そこでまとめられたのがこの注意喚起です。

これは、実際に発生した不正アクセスによる情報漏えい等事案を踏まえて、ウェブサイト運営事業者がセキュリティ対策を行う際の注意事項を示すことを目的としています。

これを参考にして、個々のウェブサイトに応じて、システム担当者やシステム開発・保守運用の委託先と相談の上、必要な対策を実施して欲しいと呼びかけています。

 

■ウェブサイト運営事業者がセキュリティ対策を行う上で主に注意すべき事項

（１）まずは現状を確認

ウェブサイトの構築手法は様々であるため、それぞれの実状に応じたセキュリティ対策が必要になります。

まずは、自組織でどのようなシステム等を使用しており、誰が管理しているのか、どのようなセキュリティ対策を実施しているのか確認し、その上で必要な対策を検討・実施しましょう。

 

（２）ウェブサイト構築時に注意すべき事項

ウェブサイトの構築（制作）・導入にあたっては、デザインやコストを重視しがちですが、セキュリティ対策についても十分に行いましょう。

サイトの構築（プログラミング等）の段階で脆弱性に関する対策が不十分であったケースは決して少なくないため、公開前に脆弱性診断等を行い、見つかった脆弱性については確実に対策を行いましょう。

 

（３）ウェブサイト運用時に注意すべき事項

ウェブサイトの運用にあたっては、OSやソフトウェアの脆弱性対策情報を収集し、必要に応じ速やかにセキュリティパッチを適用しましょう。

攻撃を感知・防御する体制や仕組み（例えばＩDＳ/ＩPＳ※1、ＷＡＦ※2の導入等）を整えることが望ましいと考えられます。

※1IDS/IPS：IDS（Intrusion Detection System）不正侵入検知システム、IPS（Intrusion Prevention System）不正侵入防御システム

※2WAF：（Web Application Firewall）ウェブアプリケーションの脆弱性を狙った攻撃を防御するシステム

 

（４）委託先業者の監督における注意すべき事項

委託先業者に任せきりにしていませんか？委託元には委託先の監督義務があります。

ウェブサイトの構築や、その保守・運用を委託している場合は、委託先との契約時にセキュリティ対策の内容を明確にした上で契約をしましょう。

委託先にセキュリティ監査の実施、及び報告を求め、契約書に記載されたセキュリティ対策が委託先で適切に実施されていることを定期的に確認するようにしましょう。

 

<<脆弱性とは>>

脆弱性とは、広義には外部からの不正アクセスに対してシステムの安全性が損なわれる弱点のことを指します。ウェブサイトを構成するネットワーク機器やサーバ機器における不適切な設定が脆弱性となり不正アクセスを受ける場合があります。

また、ウェブサイトの利用者が直接操作する、ウェブサイト上で動作しているソフトウェア（ウェブアプリケーション含む）のセキュリティ上における弱点も脆弱性と言います。

ウェブサイトを建物に例えると、脆弱性とは建物の外から入る抜け穴（外壁のほころびなど）で、攻撃者はこの抜け穴から侵入（攻撃）してきます。セキュリティーホールと言われることもあります。

脆弱性対策とは、この抜け穴を塞ぐための対策（セキュアなシステム構築、セキュリティパッチやアップデートの適用等）を実施することです。

 

情報セキュリティ対策に関する中小企業向け参考資料

・NISC（内閣サイバーセキュリティセンター）

「小さな中小企業とNPO向け情報セキュリティハンドブック」

https://www.nisc.go.jp/security-site/blue_handbook/

 

 

・IPA（独立行政法人情報処理推進機構）

「中小企業の情報セキュリティ対策ガイドライン」

https://www.ipa.go.jp/security/keihatsu/sme/guideline/

 

・東京都

「中小企業向けサイバーセキュリティ対策の極意」※

http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/

※都内に事業所を有する中小企業（個人事業主を含む）を対象に作成されたもの。

 

 

詳しくは、こちらをご覧ください。

 

 

参照ホームページ[個人情報保護委員会]

https://www.ppc.go.jp/personalinfo/hiyarihatto/#warning