Webサイト運営で押さえておくべきセキュリティ対策

システム構築面でのWebサイトセキュリティ対策

Webサイトを公開する際には、独立行政法人 情報処理推進機構 Information-technology Promotion Agency（以下IPA）が提供している情報を参考に、確実な対策をとらなければなりません。

また、顧客から個人情報などの各種センシティブ情報を取得する際は、必ず暗号化 （SSL化） したフォームを用いるようにしましょう。

下記にあるような暗号化をかけないフォームでこのような情報を取得したり、あるいは電子メールを介した情報の送受信をしたりすると、内容が傍受される （流出する） おそれがあります。

Webサイトにおいては、公開後も継続的に、コンテンツが更新されます。コンテンツ内容が変わることで、セキュリティのリスクにつながる可能性もあります。脆弱性チェックなどを定期的におこないましょう。

人的な側面でのWebサイトセキュリティ対策

システム構築面での対策をきっちりおこなったとしても、セキュリティ対策としては不十分です。最終的には、従業員一人ひとりに対する、セキュリティ教育が必要になります。実は、人為的なミスが原因で情報漏えいするケースが多いからです。

このため、Web担当者をはじめ、営業担当者などWebサイト運営にかかわる全従業員を対象にしたセキュリティ教育が不可欠です。
顧客情報を格納したデータベースへのアクセス規則、顧客情報の取り扱い規則はもちろんのこと、日常業務において怪しいメールは開かない、顧客からの問い合わせに対して返信する際は誤送信をしない （宛先を確認する）など、さまざまなケーススタディを想定した教育が必要です。

情報漏えいを抑止するためには、漏えい時に想定される被害についても共有しておくとよいでしょう。一口に「情報漏えい」といっても、逸失利益、復旧コスト、企業の信頼感やブランド価値低下への対応コストなど、企業活動のさまざまな側面に大きな影響を与えることを、Webサイト運営にかかわる全従業員が、共通で認識しておく必要があります。

安心して使えるWebサイトにするために

鈴木 英美

Webサイトを使ってできることが急速に増えている今だからこそ、セキュリティに関しては慎重に考えたいですよね。

そうですね。さきほど紹介したIPAが「安全なウェブサイトの運用管理に向けての20ヶ条 〜セキュリティ対策のチェックポイント〜」を公開しています。ぜひ参考にしてみてください。

谷川 雄亮