◇SH1960◇個人情報保護委、「ウェブサイトを運営している事業者の皆様への注意喚起」を公表（2018/07/11）

個人情報保護委、「ウェブサイトを運営している事業者の皆様への注意喚起」を公表

――事業者が主に注意すべき事項や情報漏えい事案を紹介――

 

　個人情報保護委員会事務局は6月28日、「ウェブサイトを運営している事業者の皆様への注意喚起」を公表した。

　同委員会において報告を受けた不正アクセスに起因する漏えい等事案の中でも、ECサイトや会員用ウェブサイトにおける情報漏えい事案が多く報告されている。こうした不正アクセスは、企業規模の大小や業種に関係なく、様々なECサイトや会員用ウェブサイトなどに対して仕掛けられているため、ウェブサイトを運営する事業者は、こうした脅威を認識し、不正アクセスによる情報漏えいを防ぐために適切なセキュリティ対策を講じる必要があるところである。

　そこで、同事務局では、「ウェブサイト運営事業者がセキュリティ対策を行うに当たり、実際に発生した不正アクセスによる情報漏えい等事案を踏まえて、注意いただきたい事項を示す」ことを目的として、本資料をまとめたものである。なお、本資料に示す内容は、あくまでセキュリティ対策の一例であり、必ずしもこれらの対策を実施すれば十分というものではなく、個々のウェブサイトに応じて、システム担当者やシステム開発・保守運用の委託先と相談の上、必要な対策の実施が求められるとしている。

　本資料の概要をみると、「ウェブサイト運営事業者がセキュリティ対策を行う上で主に注意すべき事項」は、以下のようになっている。

(1)　まずは現状を確認

　ウェブサイトの構築手法は様々であるため、それぞれの実状に応じたセキュリティ対策が必要になる。まずは、自組織でどのようなシステム等を使用しており、誰が管理しているのか、どのようなセキュリティ対策を実施しているのか確認し、その上で必要な対策を検討・実施する。

(2)　ウェブサイト構築時に注意すべき事項

　ウェブサイトの構築（制作）・導入にあたっては、デザインやコストを重視しがちであるが、セキュリティ対策についても十分に行う。

　サイトの構築（プログラミング等）の段階で脆弱性に関する対策が不十分であったケースは決して少なくないため、公開前に脆弱性診断等を行い、見つかった脆弱性については確実に対策を行う。

(3)　ウェブサイト運用時に注意すべき事項

　ウェブサイトの運用にあたっては、OSやソフトウェアの脆弱性対策情報を収集し、必要に応じ速やかにセキュリティパッチを適用する。

　攻撃を感知・防御する体制や仕組みを整えることが望ましいと考えられる。

(4)　委託先業者の監督における注意すべき事項

　委託先業者に任せきりにしない。委託元には委託先の監督義務がある。

　ウェブサイトの構築や、その保守・運用を委託している場合は、委託先との契約時にセキュリティ対策の内容を明確にした上で契約をする。

　委託先にセキュリティ監査の実施、及び報告を求め、契約書に記載されたセキュリティ対策が委託先で適切に実施されていることを定期的に確認する。

 

　さらに本資料では、「発生事例から学ぶセキュリティ対策」として、同委員会で受け付けた不正アクセスを起因とする漏えい等事案の中でも、頻繁に発生している事例、自組織でも同様の事例が発生することがないか確認すべきものを下記のように紹介している。

1. 【事例１】既知の脆弱性対策を怠っていたことによる情報漏えい事案
2.  • 使用しているソフトウェアやアプリケーションフレームワークの脆弱性が公表されたものの、セキュリティパッチの適用を速やかに行っていなかったことにより、その脆弱性を狙った不正アクセスを受け、サーバ内に保持していたクレジットカード情報を含む個人データが窃取された。
3. 1. 〔対策例〕
   2. ・ 自組織のシステムがどのようなソフトウェアなどで構成されているか把握し、当該ソフトウェアなどの脆弱性対策情報の収集及びセキュリティパッチの適用やアップデートの適用状況を管理する仕組み（資産管理ソフト、脆弱性管理ソフトの導入等）を整備する。
   3. ・ 運用保守などを委託している場合は、委託先がバージョン管理や脆弱性管理を適切に行っているか確認する。
       
4. 【事例２】SQLインジェクション攻撃による情報漏えい事案
5.  • ウェブサイトの予約システムに対しSQLインジェクション攻撃があり、予約者の氏名や電話番号、メールアドレスなどの個人データが窃取された。
6.  • ECサイトの管理者IDとパスワードがSQLインジェクション攻撃により抜き取られ、悪意のある第三者により当該管理者IDとパスワードを使用して管理サーバにログインされ、ウェブサイトが改ざんされた上に、氏名、住所、クレジットカード情報などの個人データが窃取された。
7. 1. 〔対策例〕
   2. ・ ウェブサイトの構築・修正の段階でセキュリティチェックシートなどを使用して脆弱性が存在していないか確認を行う。
   3. ・ また、ウェブサイトのリリース前に外部業者による脆弱性診断サービスや、脆弱性診断ツールを利用するなど多段階の確認を行い、ウェブサイトに脆弱性を残さないようにする。
   4. ・ 定期的に、ウェブサイト全体を対象として脆弱性診断を行うことも有効である。
       
8. 【事例３】リスト型攻撃による情報漏えい事案
9.  • リスト型攻撃により会員用ウェブサイトへ不正にログインされ、登録されていた会員情報を閲覧されるとともに、ポイントプログラムのポイントを使用し商品を購入された。
10.  • ECサイトにリスト型攻撃があり、登録してある会員情報が閲覧されるとともに、登録クレジットカードによる商品の不正購入が行われた。
11. 1. 〔対策例〕
    2. ・ 事業者自身の対策としては、ＩＤ・パスワード以外の認証要素（多要素認証）を導入することや、不正ログインの試行を検知・防御するセキュリティツールを導入することが有効と考えられる。
    3. ・ 事業者側から利用者に対しては、他ウェブサイトのパスワードとの重複を避けることをアナウンスすることが有効と考えられる。
        
12. 【事例４】ウェブサイトの機能拡張やバージョンアップに起因して情報漏えいした事案
13.  • ECサイトのプログラムを修正（機能拡張など）した際に脆弱性が生成され、この脆弱性を狙った不正アクセスにより個人データが窃取された。
14.  • ウェブサイトを構築しているパッケージソフトのバージョンアップを行った際、バージョンアップに伴ってシステムの設定が変更になったことにより、サイト構築時に内在していた脆弱性が表面化し攻撃を受けた。
15. 1. 〔対策例〕
    2. ・ ウェブサイトのプログラム修正、システムのバージョンアップなど変更・修正を加えた場合は、リリース前にセキュリティチェックシートなどを使用し、ウェブサイトに脆弱性がないか網羅的に確認を行う。
    3. ・ 自組織で行うことが難しい場合は、外部業者の脆弱性診断サービスを利用することや、脆弱性診断ツールを使用するなどの方法がある。ウェブサイトの運用保守などを委託している場合は、委託先から脆弱性診断の結果（セキュリティチェックシート等）の提出を受けるなど、脆弱性対策が適切に実施されているか確認する。
        
16. 【事例５】脆弱性診断ツールで脆弱性を検知できず情報漏えいした事案
17.  • ウェブサイト用の脆弱性診断ツールを利用して診断していたものの、脆弱性診断ツールを適切に使用できていなかったため、脆弱性を検知できず、不正アクセスにより個人データが窃取された。
18. 1. 〔対策例〕
    2. ・ まずは、使用している脆弱性診断ツールの機能を確認する。そして、診断ツールの診断対象範囲について確認を行うなど、適切に診断ができているか確認を行う。
    3. ・ 定期的に、ウェブサイト全体を対象として脆弱性診断を行うことも有効である。

 

 

1. 個人情報保護委、ウェブサイトを運営している事業者の皆様への注意喚起（資料集）を公表（6月28日）
   https://portal.shojihomu.co.jp/wp-content/uploads/2018/07/20180628_warning.pdf