先日、IPAから「企業ウェブサイトのための脆弱性対応ガイド」改訂版が公開されました。前回公開された2013年3月から8年ぶりの改訂となります。

この記事では、改訂された点を紹介します。

企業ウェブサイトのための脆弱性対応ガイド(改訂版)（全26ページ）

初めてこのガイドランを読む方へ

このガイドラインは、主に小規模Webサイト運営者とWebサイト運営に関心のある経営者に向けて、Webサイトを安全に運用するために大切な「脆弱性対策」を紹介する目的で作成されています。 このガイドラインに掲載されている内容は、最低限知っておきたい「脆弱性対策」の基礎知識です。「脆弱性対策」といわれてピンと来ない方でも、Webサイトの規模を問わず、構築・運用に関わる立場であれば一度は目を通しておいても損はありません。

改訂された点

今回の改訂では、前回同様、小規模Webサイト運営者の現状把握のアンケート調査を実施し、301社からの回答による調査結果を踏まえて作成されました。

改訂された主な点は、以下の通りです。

✅「脆弱性がもとで起きる問題」の例のアップデート

最新の脆弱性関連情報の届け出をもとに、Webサイトに関する脆弱性がもとで起こる脆弱性情報事例が追加・更新されました。

• 脆弱性を悪用したSQLインジェクションによる個人情報流出
• 既知の脆弱性悪用によるクレジットカード情報流出
• 偽の情報入力画面設置によるクレジットカード情報流出
• グループ会社ウェブサイトの脆弱性を悪用による複数グループ企業サイトの個人情報流出

今回アップデートされた事例から見えてくる対策ポイントを1つあげると、「情報資産のセキュリティレベルに応じた対策を行うこと」といえるでしょう。

セキュリティレベルに応じた対策とはどういうことか、少し詳しく解説します。

まず、情報資産とは何か、どのように仕分けできるのかを整理します。 IPAが公開している資料では、情報資産とはこのように記されています。

• 「資産」としての「価値」がある情報
  • 例えば、顧客情報、製品開発情報、経営計画の情報
• あまり「価値」が高くない情報もある
  • Webページや四季報に載せている情報
  • 所在地、電話番号など

参照元：守るべき情報資産・情報リスクの考え方（IPA）

ここから、一般に公開しているコンテンツと、クレジットカード情報や個人情報などは、情報資産としての価値、つまりセキュリティのレベルが異なっているのがわかります。

このような異なるレベルの情報資産が、同じレベルで対策されているとどうなるでしょうか。

例えば、個人情報が、一般公開しているコンテンツと同じデータベースの中に格納されているケースを考えてみます。もしも何らかの形で攻撃者に侵入された場合、一般公開コンテンツが改ざんされるだけではなく、個人情報など秘匿性の高い情報が抜き取られてしまうかもしれません。このような情報漏洩は、企業活動に大きな影響を及ぼす可能性があります。

つまり、守るべき情報資産をセキュリティレベルに分け、それぞれに適切なセキュリティ対策をとるということが求められるといえるでしょう。

また、セキュリティ対策に関して、自組織による自力自前の対策だけでなく、あらかじめセキュリティ対策が施されたサービスの活用が示されている点にも注目です。

自組織内で一定のセキュリティを担保できない場合は、 セキュリティ対策が含まれるサービスの活用も検討。

セキュリティ対策において、担当者に求められる業務は、インシデント発生時の対応はもちろん、セキュリティ機器のアップデート、各種ログチェックなど多岐に亘ります。これらの業務に対応できるだけの運営体制がない場合には、外部サービスを活用するという選択肢も検討するとよいでしょう。

✅Webサイトの脆弱性対策のポイントのアップデート

脆弱性対策のポイントは、主に3点のアップデートがありました。

実施しているセキュリティ対策を把握する

前回の公開時にはまだなかった「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」が追加されました。

ウェブサイトのセキュリティ対策のチェックポイント20ヶ条

「現状の対策状況を確認したいが、専門知識がないので何を確認すればよいかわからない」といった課題をお持ちの方でも、このチェックリストを活用することで運用管理状況が可視化できます。

自組織のリソースやスキルに応じた運用形態を選定する

次に、問題のあるWebサイトが不用意に制作されないようにするためには、Webサイト構築時からセキュリティに配慮することも重要です。 今回の改定では、運用形態の選定方法が追加されました。

ウェブサイト開設等における運営形態の選定方法に関する手引き

クラウドサービスを利用する前に安全に利用するための確認事項を把握する

また、クラウドサービス利用に関する情報も追加されました。

中小企業の情報セキュリティガイドライン 付録6：クラウドサービス安全利用の手引き

『脆弱性がもとで起きる問題の例のアップデート』の中でもお伝えしたように、社内に十分なリソースが確保できない組織の場合、対策のための体制やコストなどの準備がなく、脆弱性対策がおろそかになってしまっているというケースが考えられます。この手引きでは、そういった背景や課題をお持ちの企業に向けて、企業・組織の実情に即したWebサイト構築と運用を実現する選択肢として、クラウドサービス活用のメリット・デメリットやクラウドサービスを安全に利用するためのチェックポイントを紹介しています。

✅Webサイトの脆弱性対策のポイントの追加

脆弱性対策のポイントをフェーズごとに分類し、IPAなどが公開している参考情報と簡易的なチェックリストの有無が一覧にまとめられています。

このガイドラインの活用方法として、Webサイト運営に関心のある経営者に向けて以下のように案内されています。

「1.2脆弱性が元で起きる問題の例」で、実際の被害事例を紹介していますので、「対岸 の火事」と思うことなく、自社が被害を受ける場合を想像してみてください。

その後、「 3.ウェブサイトの脆弱性対策のポイント」で7つの大きな対策項目を紹介して いますので、概要を把握してください。 そして、このガイドを担当者に渡して、「まずは、このガイドを見ながら、3.の(1)で紹介しているチェックリストを基にサイトのセキュリティ対策状況を確認して」と伝えてください。

つまり、自分では専門知識に乏しく検討が難しい場合でも、このガイドラインを活用すれば、組織のセキュリティ上の弱点の有無に気づくことができ、被害の未然防止が期待できるというわけです。

以上が主な改訂点です。

この改訂を機に、脆弱性対策の知識をアップデートしてみてはいかがでしょうか💪('ω'💪)ﾑｷｯ