日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.16 サイトの運営体制に注意

運営形態ごとに検討すべきセキュリティー対策

認識が不十分な小規模組織

今や企業や組織においてウェブサイトの利活用は、事業展開や重要な経営戦略の一部として機能している。特に電子商取引(EC)サイトによるウェブ通販を生業としている組織においては、ウェブサイトの公開が停止すると収益に大きく影響してしまう。

さらに、企業情報のみの公開で重要な情報は保有していないウェブサイトの場合でも、ウェブサイトの利用者にウイルスを配布するサイトに改ざんされてしまうといった被害が考えられる。このような被害が発生すれば、ウェブサイトの公開停止のみならず、企業や組織の信用失墜につながる。

独立行政法人情報処理推進機構(IPA)では、2004年7月からソフトウエアの脆弱(ぜいじゃく)性関連情報の届け出を受け付けているが、これまでに受け付けたウェブサイトの脆弱性のうち、修正などが完了していないものが329件ある。こうしたウェブサイトは、主にセキュリティー対策への認識が不十分な小規模組織による運営である。対策のための体制やコストなどの準備がないことから、開設後に問題が指摘されても、修正も、廃棄もできない。これが〝攻撃を受けてしまうウェブサイトの放置〟につながっている。

そこでIPAは、主に小規模組織を対象に、ウェブサイトの新規開設、および刷新において、クラウドサービスなどの運用形態別にメリット・デメリット、およびセキュリティー対策に必要な確認項目を整理したIPAテクニカルウオッチ「ウェブサイト開設等における運営形態の選定方法に関する手引き」を本年5月に公開した。小規模組織においては、ウェブサイトの開設などを外部へ委託するケースが多い。発注者と受注者の両者がこの手引きを活用することで、安全なウェブサイトの開設に必要な確認項目などの合意が容易になる。

形態別に対策の確認を

手引きでは、ウェブサイトの運営形態について、①モール、②ASP・SaaS型クラウドサービス、③PaaS型クラウドサービス・レンタルサーバー、④IaaS型クラウドサービス、⑤ハウジング、⑥オンプレミスの6種類に分類しているが、どの運営形態を採用するかによって、運営にかかる費用が変化するのはもちろん、運営者が実施する作業内容が異なるため、運営者に求められる技術レベルも変化する。

また、運営形態ごとにウェブサイト上でどのような機能を提供できるか、ウェブサイトをどこまで自由に変更できるか、どのようなセキュリティー対策が必要になるかについても異なる。特に企業のウェブサイトでは個人情報を取り扱うことも多く、サイト運営者はセキュリティーが継続的に維持され、最新の脅威に対し対策ができているかどうかに気を配る必要がある。

運営者はウェブサイトで提供したいサービスや運営形態の手軽さだけでなく、日々の運営でセキュリティーを維持し続けることができるかといった点についても目を向けていただき、安全なウェブサイトの運営が可能な運営形態を選定するようにしてほしい。

手引きの具体的な内容はIPAのホームページ (https://www.ipa.go.jp/security/technicalwatch/20180530.html)を確認してほしい。(独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

個人情報漏えいの事件や事故の報道が相次いでいるが、NPO日本ネットワークセキュリティ協会(JNSA)が公表した「2017年情報セキュリティインシデントに関する調査報告書【速報版…

前の記事

独立行政法人情報処理推進機構・江島将和

情報セキュリティーの脅威は増大の一途をたどっており、毎年のように新たな脅威が出てきている。これらの脅威に対応するためには情報セキュリティーの知識や技術を有するセキュ…

関連記事

独立行政法人情報処理推進機構・江島将和

在宅勤務で急速に拡大新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大している。Web会議サービスの活用は大変有益である一方、…

独立行政法人情報処理推進機構・江島将和

「サイバーセキュリティお助け隊」報告書公表独立行政法人情報処理推進(IPA)は6月15日、「中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け…

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、情報セキュリティーに関する技術的な相談窓口として「情報セキュリティ安心相談窓口」を開設し、年間1万3000件近くの相談を受理してい…