ウェブサイト運営で押さえておくべきセキュリティ対策

投稿日: | 投稿者:槌谷 和
ウェブサイトのセキュリティ対策は、何に注意すればよいのだろう?

企業による個人情報漏えいのニュースがあるたびに、不安になります。どのようなことに気をつけて、セキュリティ対策をすればよいのでしょうか?

セキュリティ対策にもいろいろある

企業のウェブサイト運営においても、セキュリティ対策は重要です。セキュリティ対策が十分でない場合、顧客の個人情報の漏えいだけでなく、ウェブサイトの改ざん、システムダウンなどを引き起こすおそれがあります。

ここでは、ウェブサイトのセキュリティ対策を「システム構築面」「人的な側面」の2つの視点からまとめたいと思います。

 


 

システム構築面での対策

ウェブサイトを公開する際には、独立行政法人 情報処理推進機構 Information-technology Promotion Agency(以下IPA)が公開している「安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~」を参考に確実な対策を取らなければなりません。

また、このIPAのチェックポイントには明記されていませんが、顧客から個人情報などの各種センシティブ情報を取得する際は、必ず暗号化 (SSL化) したフォームを用いるようにしましょう。暗号化をかけないフォームでこのような情報を取得したり、あるいは電子メールを介した情報の送受信をすると、内容が傍受される (流出する) おそれがあります。

ウェブサイトにおいては、公開後も継続的に、コンテンツが更新されます。コンテンツ内容が変わることが、セキュリティのリスクにつながる可能性がありますので、脆弱性チェックなどを定期的に行なうのがよいでしょう。

16ヶ条チェックポイント抜粋
  • ウェブサーバーが設置されているネットワークのセキュリティ確保。ルーターやファイアウォールの設定、IPS (侵入防止システム) の設置など。
  • ウェブサーバーのセキュリティ確保。OSやサーバーソフトウエアなどのアップデート、ファイルやディレクトリへの適切なアクセス制御設定など。
  • ウェブアプリケーション (ウェブサイト本体) のセキュリティ確保。脆弱性のチェックなど。

 


 

人的な側面での対策

システム構築面での対策をきっちりやったとしてもセキュリティ対策としては実は不十分で、最終的には、従業員一人ひとりに対する、セキュリティ教育が必要です。というのも、人為的なミスが原因で情報漏えいするケースが多いからです。

このため、ウェブ担当者をはじめ、営業担当者などウェブにかかわる全従業員を対象にしたセキュリティ教育が不可欠です。顧客情報を格納したデータベースへのアクセス規則、顧客情報の取り扱い規則はもちろんのこと、日常業務において怪しいメールは開かない、顧客からの問い合わせに対して返信する際は誤送信をしない (宛先を確認する)、安易に顧客情報の入ったUSBメモリーの持ち出しはしない、など、さまざまなケーススタディを想定した教育 (継続的な徹底) が必要です。

情報漏えいを抑止するためには、漏えい時に想定される被害についても共有しておくとよいでしょう。たとえば、逸失利益、復旧コスト、企業の信頼感やブランド価値低下への対応コスト、など、一口に「情報漏えい」と言ってもその影響は企業活動のさまざまな側面に大きな影響を与えることを、ウェブにかかわる全従業員が共通で認識しておく必要があります。

 


 

30分無料オンライン相談 受付中!ウェブ戦略の専門家が
ご相談を承ります!

無 料

ウェブ戦略お役立ち資料

企業のウェブ担当者必見の
お役立ち情報が満載!

ページの先頭へ