ECサイトに必要なセキュリティ対策は、構築時の対策、運用時の対策、構築時・運用時共通の対策の3つのフェーズに分けて実施します。各フェーズで求められる対策を網羅的に講じることで、ECサイト全体の安全性を確保できます。
- 構築時に必要な対策
脆弱性を作り込まない安全な設計・実装の計画、管理端末のセキュリティチェック、クレジットカード情報の取り扱い方針の策定の3つを、ECサイト公開前に完了させます。 - 運用時に必要な対策
WAFを導入してサイバー攻撃を検知・遮断するとともに、定期的なバックアップとログの取得により改ざんの早期発見と迅速な復旧に備えます。 - 構築時・運用時共通の対策
脆弱性診断の定期実施、ソフトウェアのアップデート、従業員へのセキュリティ教育、インシデント発生時の対応策定、外部委託先のセキュリティレベル確認の5つを継続的に実施します。特に脆弱性診断は、IPAのガイドラインでも公開前・運用中ともに実施が推奨されている最重要施策です。
ECサイトはフェーズごとに異なるリスクが存在するため、構築段階から運用後まで一貫したセキュリティ対策の計画が不可欠です。
詳しい対策内容は、「ECサイトに必要なセキュリティ対策」をご覧ください。
