Pマーク取得に必要なWebサイトセキュリティ
セキュリティ対策の専門家でないサイト運営者の皆さんにとって、Webサイトセキュリティは疑問だらけ。EC/オンラインショップ、顧客/会員管理、企業ホームページ、BtoBサイト…など、様々なWebサイトに共通の対策を分かりやすく解説します!
【5】Pマーク(プライバシーマーク)の取得・維持に必要なWebサイトセキュリティ対策
今回はセキュリティ認証におけるWebサイトおよびWebアプリケーションのセキュリティ対策について説明したいと思います。
2012年2月21日セキュリティ認証におけるWebサイトのセキュリティ対策
セキュリティ認証というと、以前は社内の情報システムが安全に運用されるようなセキュリティ対策の指針という位置づけで考えられていましたが、最近ではそのビジネスの大部分をインターネットでの取引が占める企業・団体も多くなっており、Webサイトのセキュリティ対策も含めて考えられるようになっています。
国内で代表的なセキュリティ認証には、「プライバシーマーク制度(以下Pマーク)」や「ISMS(情報セキュリティマネジメントシステム「ISO27001」)」等があります。企業などの組織内において情報をいかに守るか、セキュリティレベルをどう高めているかを客観的に評価するものです。
今回は、特に取得企業が多いPマークを例に、Webサイトにどのようなセキュリティ対策が求められているのか、また実際に対策するにはどのようにすればよいかを説明します。
プライバシーマーク制度とは、一般財団法人 日本情報経済社会推進協会のサイトによると「日本工業規格『JIS Q 15001個人情報保護マネジメントシステム―要求事項』に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度」と解説されています。平成24年2月現在で約1万2千社がプライバシーマーク付与事業者として登録され、更新には2年に1度の頻度で更新審査を受ける必要があります。
※Pマークについての詳細は、以下のページを参照してください。
プライバシーマーク制度Pマークで求められているWebサイトのセキュリティ対策
Pマークは主に個人情報を適切に保護するための制度ですが、Webサイトでも個人情報を収集することが多いため、Webサイトにおける実施すべきセキュリティ対策についても説明されています。一般財団法人 日本情報経済社会推進協会 プライバシーマーク推進センターから発行されている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」によりますと、以下の項目についてウェブアプリケーションのセキュリティ対策が、望ましい対策手法として掲載されています。
参考:「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」(PDF)「Ⅱ技術的安全管理措置として講じなければならない事例と望ましい手法の例示」より抜粋
(P105)
2:個人情報へのアクセス制御
→ 「(8)個人情報を取り扱う情報システムに導入したアクセス制御機能の有効性を検証していること」 の具体例の一つとして、 「ウェブアプリケーションの脆弱性の有無を検証すること」 が挙げられています。
(P107)
6:個人情報の移送・通信時の対策
→ 「(3)盗聴される可能性のあるネットワーク(例えばインターネットや無線LAN等)で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること」 の具体例の一つとして、 「ウェブサイトで本人に個人情報を入力させる場合、SSL、SQLインジェクション、クロスサイトスクリプティング対策等の措置を実施している」 ことが挙げられています。
つまりPマークでは、ウェブサイトで個人情報を取得する場合は、Webアプリケーションに脆弱性がないか確認することや、代表的な脆弱性であるSQLインジェクションやクロスサイトスクリプティングへの対策を実施するよう求めているということになります※。
※あくまで望ましい対策の一例として説明されており、一律に実施を求められているわけではありませんが、現在、各プライバシーマーク指定審査機関の現地審査確認事項にも、技術的安全管理措置の一つとしてSQLインジェクション対策やXSS対策が明記されるようになっています。
▼ 2012年2月現在、審査確認事項として記載されている例
- JIPDEC(一般財団法人日本情報経済社会推進協会)
- KPJC(財団法人くまもとテクノ産業財団)
- KIIS(財団法人関西情報・産業活性化センター)
- TPJC(みちのく情報セキュリティ推進機構・東北プライバシーマーク審査センター)
- 日印産連(社団法人日本印刷産業連合会)
- DPJC(北海道IT推進協会・北海道プライバシーマーク審査センター)
- 中四国マネジメントシステム推進機構・中四国プライバシーマーク審査センター
※上記を含むプライバシーマーク指定審査機関一覧
https://privacymark.jp/agency/member_list.html
具体的なセキュリティ対策
Pマークで求められているWebサイトのセキュリティ対策について、具体的になにをすればよいかを考えると、ガイドラインを読む限りはWebアプリケーションの脆弱性検査を実施することが一番の近道だと思われます。しかし、Webアプリケーションの脆弱性診断以外にもより実施しやすいセキュリティ対策も場合によっては考えられます。
一般的にWebアプリケーションの脆弱性診断は高額な費用がかかり、また実施するにあたり事前調査やスケジュール調整に時間がかかります。また、調査したWebサイトに脆弱性が発見された場合は、セキュリティ認証を更新するためにその脆弱性を改修しなくてはなりません。そして多くの場合、その改修に多額の費用と期間が必要になります。もちろんしっかり検査を実施してWebサイトに潜んでいる問題を根本から改善することは非常に意義があることですが、もし対策可能な期間が短く、費用やスケジュールに余裕がない場合はその対応が難しい場合があります。その問題に対応できるのがSaaS型(サース:「Software as a Service」の略。ユーザーが必要なときに必要な機能だけ利用できる、クラウド型のソフトウェア)のWAF(Webアプリケーションファイアウォール)サービスです。
短期間でセキュリティ対策を講じられる SaaS型WAF(“ワフ”)サービス
Webサイトのセキュリティ対策を短期間で実施しなくてはならない場合、SaaS型(クラウド型)WAFサービスの導入がもっとも適していると思われます。WAFとは「Web Application Firewall」の略で、ウェブサイトの脆弱性(SQLインジェクションやクロスサイトスクリプティング等)を無害化してくれる装置です。また、SaaS型(クラウド型)のWAFを導入すれば事前調査や機器の導入などに手間をとられることがなく、サービスによっては1~2週間程度で導入できるものもあります。
PマークにおけるWebサイトのセキュリティ対策は、できればWebサイトの脆弱性診断を実施し、その結果問題があった場合は、SaaS型のWAFサービスを導入し、検出された脆弱性を迅速に無害化することがもっとも望ましいと思われます。もし、Webアプリケーションの脆弱性診断を実施する時間的余裕や予算がない場合でも、SaaS型のWAFサービスを導入することで、そのWAFサービスが対策済の脆弱性には対処できます。言い換えれば必要最低限のセキュリティ対策を行ったのと同じ効果が期待できるのです。