【2024年度末】ECサイト運営者必見!脆弱性診断の義務化について解説!
目次
【なぜ今?】ECサイト脆弱性診断義務化の背景とは?
オンラインショッピングが日常の一部となった今、ECサイトの安全性確保は喫緊の課題となっています。
そんな中、急増するサイバー攻撃からECサイトを守り、私たち消費者の個人情報やクレジットカード情報を保護するため、経済産業省は2024年度末を目処にすべてのECサイトに対して、脆弱性診断の実施を義務化する方針を発表しました。
2022年のECサイト被害総額は「400億円」超に
このタイミングで義務化を進める背景には、ECサイトを標的とした攻撃の激化があります。
総務省の調査結果によると、平成28年から令和2年にかけて不正アクセス件数が急増しており、その大半が全国の中小企業で発生しています。
またオンラインショッピングには不可欠な「クレジットカード不正利用」の被害額も年々増加傾向にあり、2022年には実に437億円にも達していることが調査でわかりました。
このような状況を踏まえ、国はECサイトのセキュリティ強化を義務化することを決定したというわけです。
参照:『 [経済産業省検討会] 全てのECサイトで脆弱性診断が義務化へ | クラウド型Webセキュリティ診断ツール – Securify』
診断の義務化とあわせてやるべきこと
前述の通り、2024年度末までにECサイトの脆弱性診断が義務化される見込みです。ここでは、すぐに始められる重要な対策を6つご紹介します。これらの対策を実施することで、サイトの安全性を高め、お客様の信頼を得ることができるでしょう。
1. セキュリティポリシーを策定する
まずは、自社のセキュリティポリシーを作ることから始めましょう。
経済産業省が公開している「ECサイト構築・運用セキュリティガイドライン」を参考にすると良いでしょう。ポリシーができたら、全従業員にしっかり周知することが大切で、会社全体でセキュリティ意識を高めるようにしてください。
出典:『ECサイト構築・運用セキュリティガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構』
2. 「認証システムの強化」でアカウント乗っ取りを防ぐ
ユーザーアカウントを守るため、認証システムを強化しましょう。二要素認証の導入や、パスワードポリシーの見直しなどが効果的です。お客様の大切な情報を守るため、この対策は欠かせません。
3. 「データ暗号化の徹底」で情報漏洩リスクを最小限に
お客様の個人情報やクレジットカード情報などの重要データは、必ず暗号化して保存しましょう。万が一の情報流出時でも、暗号化されていれば被害を最小限に抑えられます。お客様の信頼を守るため、この対策は絶対に怠らないでください。
4. 「ソフトウェアの更新」で既知の脆弱性をなくす
ECサイトで使用しているソフトウェアやプラグインは、常に最新の状態に保つことが重要です。アップデートを怠ると、既知の脆弱性を攻撃されるリスクが高まります。定期的な更新作業を習慣づけましょう。
「ツール+手動」のハイブリッド診断でECサイトを守る
ハイブリッドWebアプリケーション脆弱性診断は、自動診断ツールと診断員による手動診断を組み合わせることで、クイックWebアプリケーション診断では確認のできない診断項目も対象に網羅的で確実性の高い脆弱性診断サービスです。
先に紹介した「ツール診断+手動診断」を組み合わせることでツール診断だけでは発見が困難な脆弱性を中心に調査することで、Webに対する脆弱性を網羅的に検出します。
当社でもプロの診断員の目と技術と、各種セキュリティガイドライン規格で診断しますので、
- 万一のために、潜在的なリスクも見逃したくない
- 第三者による的確なセキュリティ評価が欲しい
- クレジットカードや口座番号などの機密情報を必ず守りたい
上記のようにお考えの方は、一度ご相談ください。