セキュリティ認証におけるWebサイトのセキュリティ対策

セキュリティ認証というと、以前は社内の情報システムが安全に運用されるようなセキュリティ対策の指針という位置づけで考えられていましたが、最近ではそのビジネスの大部分をインターネットでの取引が占める企業・団体も多くなっており、Webサイトのセキュリティ対策も含めて考えられるようになっています。

国内で代表的なセキュリティ認証には、「プライバシーマーク制度(以下Pマーク)」や「ISMS(情報セキュリティマネジメントシステム「ISO27001」)」等があります。企業などの組織内において情報をいかに守るか、セキュリティレベルをどう高めているかを客観的に評価するものです。

今回は、特に取得企業が多いPマークを例に、Webサイトにどのようなセキュリティ対策が求められているのか、また実際に対策するにはどのようにすればよいかを説明します。

プライバシーマーク制度とは、一般財団法人 日本情報経済社会推進協会のサイトによると「日本工業規格『JIS Q 15001個人情報保護マネジメントシステム―要求事項』に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度」と解説されています。平成24年2月現在で約1万2千社がプライバシーマーク付与事業者として登録され、更新には2年に1度の頻度で更新審査を受ける必要があります。

※Pマークについての詳細は、以下のページを参照してください。

プライバシーマーク制度

Pマークで求められているWebサイトのセキュリティ対策

Pマークは主に個人情報を適切に保護するための制度ですが、Webサイトでも個人情報を収集することが多いため、Webサイトにおける実施すべきセキュリティ対策についても説明されています。一般財団法人 日本情報経済社会推進協会 プライバシーマーク推進センターから発行されている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」によりますと、以下の項目についてウェブアプリケーションのセキュリティ対策が、望ましい対策手法として掲載されています。

参考:
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」
(PDF)

「Ⅱ技術的安全管理措置として講じなければならない事例と望ましい手法の例示」より抜粋

(P104)
2:個人情報へのアクセス制御
→ 「(8)個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること」
の具体例の一つとして、 「ウェブアプリケーションの脆弱性の有無を検証すること」 が挙げられています。

(P107)
6:個人情報の移送・通信時の対策
→ 「(3)盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること」
の具体例の一つとして、 「ウェブサイトで本人に個人情報を入力させる場合、SSL、SQLインジェクション、クロスサイトスクリプティング対策等の措置を実施している」 ことが挙げられています。

つまりPマークでは、ウェブサイトで個人情報を取得する場合は、Webアプリケーションに脆弱性がないか確認することや、代表的な脆弱性であるSQLインジェクションやクロスサイトスクリプティングへの対策を実施するよう求めているということになります

あくまで望ましい対策の一例として説明されており、一律に実施を求められているわけではありませんが、現在、各プライバシーマーク指定審査機関の現地審査確認事項にも、技術的安全管理措置の一つとしてSQLインジェクション対策やXSS対策が明記されるようになっています。

具体的なセキュリティ対策

Pマークで求められるWebサイトセキュリティ対策

Pマークで求められているWebサイトのセキュリティ対策について、具体的になにをすればよいかを考えると、ガイドラインを読む限りはWebアプリケーションの脆弱性検査を実施することが一番の近道だと思われます。しかし、Webアプリケーションの脆弱性診断以外にもより実施しやすいセキュリティ対策も場合によっては考えられます。

一般的にWebアプリケーションの脆弱性診断は高額な費用がかかり、また実施するにあたり事前調査やスケジュール調整に時間がかかります。また、調査したWebサイトに脆弱性が発見された場合は、セキュリティ認証を更新するためにその脆弱性を改修しなくてはなりません。そして多くの場合、その改修に多額の費用と期間が必要になります。もちろんしっかり検査を実施してWebサイトに潜んでいる問題を根本から改善することは非常に意義があることですが、もし対策可能な期間が短く、費用やスケジュールに余裕がない場合はその対応が難しい場合があります。その問題に対応できるのがSaaS型(サース:「Software as a Service」の略。ユーザーが必要なときに必要な機能だけ利用できる、クラウド型のソフトウェア)のWAF(Webアプリケーションファイアウォール)サービスです。

短期間でセキュリティ対策を講じられる SaaS型WAF(“ワフ”)サービス

Webサイトのセキュリティ対策を短期間で実施しなくてはならない場合、SaaS型(クラウド型)WAFサービスの導入がもっとも適していると思われます。WAFとは「Web Application Firewall」の略で、ウェブサイトの脆弱性(SQLインジェクションやクロスサイトスクリプティング等)を無害化してくれる装置です。また、SaaS型(クラウド型)のWAFを導入すれば事前調査や機器の導入などに手間をとられることがなく、サービスによっては1~2週間程度で導入できるものもあります。

PマークにおけるWebサイトのセキュリティ対策は、できればWebサイトの脆弱性診断を実施し、その結果問題があった場合は、SaaS型のWAFサービスを導入し、検出された脆弱性を迅速に無害化することがもっとも望ましいと思われます。もし、Webアプリケーションの脆弱性診断を実施する時間的余裕や予算がない場合でも、SaaS型のWAFサービスを導入することで、そのWAFサービスが対策済の脆弱性には対処できます。言い換えれば必要最低限のセキュリティ対策を行ったのと同じ効果が期待できるのです。

Pマークへの対応にはSaaS型WAFが有利