インターネットの普及に伴い、ECサイトを中心としたWebサイトへのサイバー攻撃が急増しています。
サイバー攻撃によって個人情報や決済情報が漏洩してしまうと、企業の信頼を大きく損なうだけでなく、多額の損害賠償や事業継続の危機にもつながりかねません。
そのため近年はECサイトの脆弱性診断を行うことが重要視されています。
この記事では、脆弱性診断の義務化の現状についてや、具体的な対応などについてご紹介します。
ECサイトの脆弱性診断てやっぱりやらなきゃダメなのかな?面倒くさいなぁ…
セキュリティに対する意識が低いですよ、ツクルくん!ECサイトの脆弱性診断は、サイバー攻撃を未然に防ぐためは大切なんです。
ECサイトの脆弱性診断の義務化は検討段階
結論からお伝えすると、2025年2月時点ではECサイトの脆弱性診断は義務化されていません。
義務化するかどうかについては、いまだに検討段階です。
ですが、ECサイトのセキュリティ対策の強化は至急取り組むべき課題といえます。
実際に経済産業省も、ECサイトの構築や運用を行う際のセキュリティに関するガイドラインを2023年3月に公開しています。
さらに、脆弱性診断はまだ義務化はされていませんが、セキュリティ対策の一環として、クレジットカードの不正利用を防ぐための仕組みである「3Dセキュア2.0」の導入は2025年3月末を目処にECサイトに義務化されています。
そのため、ECサイトの脆弱性診断も義務化されるのは時間の問題といえるでしょう。
ECサイトのセキュリティ強化が義務化されるようになった理由については次の章で、詳しく解説します。
脆弱性診断とは?ECサイトに潜む危険性・リスク
ECサイトの脆弱性診断とは、Webサイトやシステムのセキュリティ上の弱点、すなわち「脆弱性」を見つけ出すことです。
専門のツールや技術を用いて、攻撃者が悪用する可能性のある弱点を洗い出します。
ECサイトは顧客の個人情報や決済情報などを扱うため、サイバー攻撃の標的となりやすいのです。
以下は、ECサイトの代表的なサイバー攻撃の種類とその概要です。
| 攻撃の種類 | 攻撃の概要 |
|---|---|
| SQLインジェクション | 悪意のある入力を利用して、データベースを操作し、情報を盗んだり内容を改ざんしたりする攻撃。これにより機密データが漏洩する危険がある。 |
| クロスサイトスクリプティング (XSS) | 悪意のあるコードをWebページに埋め込み、ユーザーの情報(CookieやIDなど)を盗んだり、ユーザーになりすまして不正に操作したりする攻撃。 |
| OSコマンドインジェクション | 攻撃者が不正な入力を送り、サーバーがその入力を解釈・実行することで、サーバーの不正操作や乗っ取りを可能にする攻撃。 |
| ディレクトリトラバーサル | 不正な文字列を入力することで、通常はアクセスできないサーバー内の重要なファイルにアクセスしたり、機密情報を盗む攻撃。 |
| ブルートフォース攻撃 | IDやパスワードの組み合わせを次々に試して正解を探し出し、不正ログインを行う攻撃。簡単なパスワードだと、不正ログインされやすい。 |
これらの脆弱性を悪用されると、顧客情報やクレジットカード情報などの漏えい、サイトの改ざん、サービスの停止といった被害が発生する可能性があります。
ひとたびセキュリティ事故が起きると信頼を失って顧客離れが起こるだけでなく、損害賠償の支払い、サイトの閉鎖などにつながるかもしれません。
そのためECサイトの脆弱性診断は、義務化されていないものの、行うことを強く推奨されているのです。
ECサイトの脆弱性診断義務化が検討された背景・理由
ではなぜ、義務化が検討されるほどECサイトで脆弱性診断を行うことが求められるようになったのでしょうか。
その背景をご紹介します。
サイバー攻撃の増加によりセキュリティ事故が多発
ECサイトに限らず、インターネット上におけるサイバー攻撃やセキュリティ事故の件数は年々増加しています。
警視庁が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」という資料によりますと、ランサムウェア(悪意のあるソフトウェアの一種)の被害件数は、令和6年上半期で114件と、令和3年上半期の61件と比べて約2倍近くなっています。
また、経済産業省が発表したクレジットカードの不正利用を注意喚起する資料によると、クレジットカードの不正利用被害額は、2021年330億円、2022年437億円2023年541億円と、毎年百億円以上も被害額が増加しています。
このようにサイバー攻撃や被害が増えており、Webサイトの中でも顧客の個人情報やクレジットカード情報など、機密性の高いデータを大量に保有しているECサイトは、サイバー攻撃の標的になりやすい傾向にあるといえます。
そこで、サイバー攻撃の被害を防ぐために、脆弱性診断の義務化も検討されたということです。
経済産業省がセキュリティガイドラインを公開
上記で説明したように、サイバー攻撃とセキュリティ事故の増加という状況を受け、経済産業省は2023年3月、独立行政法人情報処理推進機構(IPA)が作成した「ECサイト構築・運用セキュリティガイドライン」を発表しました。
ECサイト構築・運用セキュリティガイドラインは、その名の通りECサイト運営事業者に対してセキュリティ対策の指針を示すもので特に、人的・資金的に十分な対策が難しい中小事業者を主な対象としています。
内容としては「経営者編」と「実践編」の二部構成です。
経営者編では、セキュリティの重要性と経営者の役割を解説し、実践編は、セキュリティ担当者向けに具体的な対策内容を示しています。
次の章で、ECサイトの脆弱性診断に関する部分を抜粋して対応などを解説します。
ECサイトの脆弱性診断が義務化した際の対応
もしECサイトの脆弱性診断が義務化されたらどうすれば良いのか、ここからは「ECサイト構築・運用セキュリティガイドライン」の内容に沿って、想定される対応についてご紹介します。
まず、ECサイトを運営している経営者として、以下のECサイトのセキュリティに対する基本対策を把握しておきましょう。
| 項目1 | ECサイトのセキュリティ確保に関する組織全体の対応方針を定める |
|---|---|
| 項目2 | ECサイトのセキュリティ対策のための予算や人材を確保する |
| 項目3 | ECサイトを構築および運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する |
| 項目4 | ECサイトのセキュリティ対策に関する適宜の見直しを指示する |
| 項目5 | 緊急時(インシデント発生時)の対応や復旧のための体制を整備する |
| 項目6 | 委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする |
| 項目7 | ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する |
上記は、ECサイト構築・運用セキュリティガイドラインに記載されている、経営者が取り組むべき重要7項目です。
ECサイトのセキュリティ対策は、会社のとしての対応方針を決めたり、体制を整えたりといった基礎作りも大切でしょう。
ECサイト構築時における脆弱性診断の対応
ECサイト構築・運用セキュリティガイドラインでは、ECサイトの構築時と運用時で具体的なセキュリティ対策要件を分けて紹介しています。
ここでは新規でECサイトを構築する際の脆弱性診断に関する対応を見てみましょう。
EC サイトの公開前に脆弱性診断を行い対策する
ECサイトの構築時におけるセキュリティ対策要件は14個あり、ガイドラインには、要件3としてECサイトを構築する際は「ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する」と書かれています。
ECサイトを構築したらすぐに公開するのではなく、脆弱性診断の期間をきちんと設けることは必須としています。
脆弱性診断は原則として第三者に委託することとし、IPAのサイト内に掲載されている「脆弱性診断サービスリスト」内の企業から選定することが推奨されています。
なお、脆弱性が見つかったらその危険度を「高・中・低」の3段階に分け、「高・中」の危険度に関してはきちんと対策を行ってから公開することと書かれています。
すでにECサイトを運営中の脆弱性診断の対応
ECサイトの構築時ではなく、すでにECサイトを運営している場合はどのような対応が必要なのか確認していきます。
カスタマイズした際に加え定期的に脆弱性診断を行い対策する
ECサイト運用時のセキュリティ対策の7要件のうち、要件2に「ECサイトの脆弱性診断を定期的およびカスタマイズを行った際に行い、見つかった脆弱性を対策する」とあります。
新規機能を追加したりシステムを改修すると、新たな脆弱性が発見されたり生まれてしまったりする可能性があるため、脆弱性診断を行うことが勧められています。
また、新規機能の追加や改修をしなかったとしても、脆弱性は継続的に発見されているため4半期に一度(3ヵ月に一度)行うのが望ましいです。
見つかった脆弱性について、危険度が「高」の場合はできる限り迅速に対応し、「中」の場合は3ヵ月程度を目安に解消しましょう。
脆弱性診断の種類や方法
ECサイトの安全性を確かめる「脆弱性診断」には、大きく分けて二つの種類があります。
- Webアプリケーション診断
- ECサイトの機能やプログラムに潜む脆弱性を診断します。
例えば、会員登録やログイン、買い物かごといった機能に、悪意のある第三者が不正アクセスやデータ改ざんを行えるような隙がないかを調べます。 - プラットフォーム診断
- ECサイトの基盤となるサーバーやネットワーク機器の脆弱性を調べることです。
OSやミドルウェアの設定ミスなど、システム全体の安全性を脅かす問題を見つけ出し、サイバー攻撃からサイトを守ります。
また、診断のやり方も、大きく分けて二つあります。
- 手動診断
- セキュリティ専門のエンジニアが手作業で診断を行うもので、ツールの診断では発見できないような脆弱性も発見できる可能性があります。
ですが、日数がかかり費用も高額になりがちです。 - ツール診断
- 専用のツールを使って、自動的にサイトを診断します。
短時間で多くの弱点をチェックできるのがメリットですが、手動診断のような細かい診断はできません。
なお、ECサイト構築・運用セキュリティガイドラインでは、ECサイトの開設時はWebアプリケーション診断とプラットフォーム診断の両方を行うことを推奨しています。
一方、すでにECサイトを運用している場合は、新規機能の追加時はwebアプリケーション診断、定期的にはプラットフォーム診断を行うとしています。
まとめ
ECサイトの脆弱性診断は、2025年2月の時点では義務化されていません。
ですが、顧客の個人情報や決済情報を扱うECサイトはサイバー攻撃の標的になりやすく、セキュリティ対策は不可欠です。
経済産業省もガイドラインを公開し、セキュリティ強化を呼び掛けており、その中で脆弱性診断は重要な対策として推奨されています。
脆弱性診断とは、システムのセキュリティ上の弱点を見つけ出し、攻撃を受ける前に対策するためのものです。
ECサイトの公開前や運用後は定期的に実施することで、常に最新の脅威に対応できる状態を維持できるでしょう。
▼こちらの記事も読まれています▼
