近年、ECサイトを狙ったサイバー攻撃や個人情報の漏洩が急増しており、経済産業省は「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書において、すべてのECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めました。
(https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/pdf/20230120_1.pdf)
義務化の目的は消費者に安心してECサイトでショッピングができる環境を整備し、EC業界全体のセキュリティレベルを向上させることにあります。本記事では、脆弱性診断とは何か、その義務化の背景、どんなことを実施すればよいか解説します。
1. 脆弱性診断とは?
脆弱性診断とは、ECサイトやその関連システムがサイバー攻撃に対してどの程度の安全性を保っているかを調査・評価するプロセスのことです。特に、近年増加しているマルウェアによるウィルス感染や不正アクセス、あるいは機密情報の流出など、セキュリティ上の脅威となる事象に対処するため、ECサイト運営者にとって欠かせない取り組みといえます。
経済産業省のIT政策実施機関であるIPA(独立行政法人情報処理推進機構)が作成した「ECサイト構築・運用セキュリティガイドライン」(https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf)にも脆弱性診断の重要性が記載されており、ガイドラインでは大きく「経営者編」と「実践編」の2部で構成されています。
経営者編
経営者編では主に経営課題としてECサイトのセキュリティとして取り組むべきことについて書かれています。項目1から4はECサイトのセキュリティ対策をしなければセキュリティ被害にあう言うことを認識し、必要な予算や人材の確保、ECサイトのセキュリティ対策を取るように述べています。項目5から7は万が一、ECサイトの事故や被害が発生したときに事前に対応方針・ルールの策定や外部委託先との連携との緊急時の対応体制を整えることを記載しています。
実践編(ECサイト構築時におけるセキュリティ対策要件一覧)
実践編(ECサイト運用時における構築時におけるセキュリティ対策要件一覧)
実践編ではECサイト構築時と運用時における対策要件一覧から構成されており、「必須」は、ECサイト運営事業者がECサイトのセキュリティを確保する上で早急かつ確実な対策実施が求められるものであり、実装が必須として求められる内容と定義しています。 また、「必要」は、事業の重要度、対策費用、対策までの期間、対策を実施しないことによる影響度等または、他の代替策を実施する等を考慮して導入時期を検討した上で実装が求められる内容と定義しています。 さらに、「推奨」は、EC サイト運営事業者がサイバー被害を受けるリスクの低減、被害範囲の拡大防止、ECサイトを復旧する場合において、対策実施が求められるものであり、事業の重要度、影響度等を考慮した上で、ECサイト運営事業者が各自の責任において、その実装を検討すべき内容と定義しています。
ガイドラインでは 「脆弱性診断は、原則、第三者(外部委託先事業者、自社以外の第三者)による脆弱性診断を実施し、実施する脆弱性診断は、プラットフォーム診断、Web アプリケーション診断の2種類を実施してください。 」とされているため、今後は第三者による定期的な脆弱性診断が必須となってきます。
2.義務化の背景
義務化の背景には、電子商取引及びキャッシュレス決済の普及に伴い、クレジットカード決済市場の規模は継続的に増加している一方、サイバー攻撃の増加を背景に、クレジットカードの不正利用被害額が増加しており、2021年には、不正利用被害額は過去最高の約330億円となった事が挙げられます。
そしてクレジットカード決済機能の分化により様々な会社ががクレジットカード決済に関与していく傾向にあります。政府としてはキャッシュレス決済の拡大を目指している中、これらの状況に鑑み、安全・安心なクレジット決済環境を整備推進してためにすべてのECサイトに脆弱性診断を義務付け、利用者がより安心して買い物ができるようにECサイトの脆弱性をより少なくすることが必要となります。
3.義務化の概要と対象
2024年度末を目標ににECサイトの脆弱性診断の義務化が実施される予定です。この規制は、近年のセキュリティリスクの増加を受けて、消費者保護と業界全体の安全性向上を目的としています。ここでは、義務化の具体的な内容と対象となる事業者について解説します。
義務化の対象
今回の義務化では、ECサイトを運営するすべての事業者が対象となります。規模や業種にかかわらず、小規模事業者から大手企業まで自社ECサイトを運営するすべての企業が対象となります。特にクレジット決済を行うECサイトではクレジットカードの非保持化か否かにかかわらず脆弱性対策について責任を持つことが非常に重要になってきます。
具体的な措置
具体的な措置をIPAが発行するECサイト構築・運用セキュリティガイドラインに沿って説明します。
定期的な脆弱性診断
EC サイトを構築したあとは新たな脆弱性が発見されたり新たな脆弱性を作り込まれるといった可能性があります。そのため定期的およびカスタマイズを行った際に脆弱性診断を実施することが重要になってきます。 またOSやミドルウェア等の脆弱性は継続的に発見されているため、四半期に1回の頻度でプラットフォーム診断を実施することを推奨しています。
カスタマイズを行った際
新機能の開発・追加やシステム改修等のカスタマイズを行った際にも、都度Web アプリケーション診断を実施することが重要です。なお、診断箇所は、最低でも新機能の開発や追加やシステム改修等を行った箇所を対象とした診断を実施する必要があります。
脆弱性診断結果に沿った対応
脆弱性診断の診断結果として、実害に至る攻撃難易度を考慮した危険度は、一般的に「高」、「中」、「低」の3段階で分類されており、危険度「高」の脆弱性については、迅速に対策を行うことを推奨しており、危険度「中」では、3ヶ月程度を目途に対策を行うことを推奨されています。 またECサイトを構築した際の脆弱性診断では危険度「高」および「中」については対策を行ったうえでECサイトを公開することとしています。
4.まとめ
2024年度から義務化される脆弱性診断はECサイト運営においてサイトの安全性を確保し、利用顧客が安心して買い物をするために欠かせないプロセスであり、サイト運営会社のブランドイメージを守るための施策です。今回の記事で脆弱性診断が少しでも気になった方はお気軽にご相談ください。
