経営者のお役立ち情報「メルマガ誌上セミナー」（８２） 「ECサイトとセキュリティ対策」（第３回）

　中小企業の経営者が抱える経営課題について、専門家の方にわかりやすく解説していただいています。

　なお、このセミナーのバックナンバーは「Ｗｅｂセミナー」で公開しています。

ECサイトのセキュアな運用と事故への備え 村上　正弥（むらかみ　まさや） Office M2Style　代表

これまでにECサイト運営でのセキュリティトラブルの例やセキュリティ対策についてお話してきました。今回はECサイトを運営していくために運用面で留意する点についていくつか例を挙げて説明します。

• ・運用に関わるセキュリティポリシーの確立
• 組織的にセキュアな運用に取り組む上でまず必要になるのが「何をどうする」といった基準となるポリシーです。セキュリティに対する基本方針やセキュアなシステム運用を実現するための施策とその適用範囲といった事項が確立され、運用に関わる人に周知されている必要があります。
  
  
• ・システム運用の責任体制の確立
• 決められた基準が日々の運用において確実に実行されるようにするためには、
• ・施策が求める内容を適確に運用へ反映させる
• ・必要な運用環境の整備
• ・運用要員のセキュリティについての理解とスキルの確保
• を誰が指導、管理するのかといった責任体制の確立が必要になります。
  
  
• ・日々の運用に関する適切な管理の実施
• 上記で決めたセキュリティ要求事項が実施されるような工夫を盛り込んだ運用管理の仕組みを確立することも必要となります。
• ・定期的に実施すべき作業や処理を定期スケジュール化する
• 例：　システム更新の確認は毎日行い、更新作業は月曜日に行う
• ・作業の漏れをなくすため、実施チェックリストの作成
• 例：　作業を行う前に決められた場所にバックアップを取得する
• ・作業や処理の実行方法や管理の方法について定期的なチェックの実施
• 例：　チェックリストの中で漏れているもの、無駄なものがあれば修正する
  
  
• ・退職者への対応
• 運用に関わっていた人が退職することも考えておかなければなりません。ECサイトの管理業務を行っていた人が退職後に情報にアクセスし、不正に窃取する事故も発生しています。退職者が出た場合に実施する作業をリスト化しておくことをおすすめします。
  
  
• ・事故は発生するものと考える
• 各種セキュリティ対策を施し、運用のための基準や取り決めを行った上で考えることは、「すべての攻撃・事故を排除することは保証できず、いつか被害を受けるもの」ということです。
  事故が発生した場合に被害の拡大を防ぐとともにシステムの被害からの回復と業務の再開がなるべく早く行えるようにしておく必要があります。
  
  
• ・事故への備え
• 事故が発生してしまった場合に「何から対応すればいいかわからない」という状態では、対応が後手にまわり、復旧までの時間が長くなってしまいます。
  また、手順については事故の種類、受けた攻撃のタイプなどにより異なってきます。
  そこで、サイト上の業務・システムの構成や運用の組み立てから事故処理の計画単位を適切に決めた上でそれぞれに必要な処理や事故処理要領をまとめておく必要があります。さらに、この計画単位ごとに必要なバックアップの取得や必要な情報の確保など日ごろの備えについても明確にしておく必要があります。
  
  
• ・セキュリティ事故への備えについて定期的なチェックの実施
• 日々の運用では、上記の備えとして必要な処理が運用に組み込まれ、適切に実施されていることを確認することが大切です。
  例えば...
• ・何か運用に変更があった場合には運用マニュアルや事故対応要領に反映する
• ・バックアップの実施状況についてのチェックの実施
  
  

こうした日々の運用で適切な処理・作業を行っておくことで、セキュリティリスクを低減し、いざという時の復旧を迅速に行うことができるようになります。
これまでにお話した内容はECサイトを運営していく上でのいくつかのポイントです。ITに関する技術は日々進歩していきますので、1度決めた対策や運用手順がいつまでも使えるわけではありません。定期的な見直しと情報収集が何よりも大切です。

■＜講師プロフィール＞

村上　正弥（むらかみ　まさや）
Office M2Style　代表

ITコーディネータ(経済産業省推奨資格)

情報セキュリティスペシャリスト
ソフトウェア開発技術者
IPAセキュリティプレゼンター

所属企業にてセキュリティポリシーの策定支援、セキュリティ研修講師等を行い、さらに範囲を広げた活動をするため2017年6月 個人事業としてOffice M2Styleを開業、所属企業に属しながら研修講師やHPの構築・運用も支援している。

経営者のお役立ち情報「メルマガ誌上セミナー」（８２） 「ECサイトとセキュリティ対策」（第３回）

　中小企業の経営者が抱える経営課題について、専門家の方にわかりやすく解説していただいています。

　なお、このセミナーのバックナンバーは「Ｗｅｂセミナー」で公開しています。

ECサイトのセキュアな運用と事故への備え 村上　正弥（むらかみ　まさや） Office M2Style　代表

これまでにECサイト運営でのセキュリティトラブルの例やセキュリティ対策についてお話してきました。今回はECサイトを運営していくために運用面で留意する点についていくつか例を挙げて説明します。

• ・運用に関わるセキュリティポリシーの確立
• 組織的にセキュアな運用に取り組む上でまず必要になるのが「何をどうする」といった基準となるポリシーです。セキュリティに対する基本方針やセキュアなシステム運用を実現するための施策とその適用範囲といった事項が確立され、運用に関わる人に周知されている必要があります。
  
  
• ・システム運用の責任体制の確立
• 決められた基準が日々の運用において確実に実行されるようにするためには、
• ・施策が求める内容を適確に運用へ反映させる
• ・必要な運用環境の整備
• ・運用要員のセキュリティについての理解とスキルの確保
• を誰が指導、管理するのかといった責任体制の確立が必要になります。
  
  
• ・日々の運用に関する適切な管理の実施
• 上記で決めたセキュリティ要求事項が実施されるような工夫を盛り込んだ運用管理の仕組みを確立することも必要となります。
• ・定期的に実施すべき作業や処理を定期スケジュール化する
• 例：　システム更新の確認は毎日行い、更新作業は月曜日に行う
• ・作業の漏れをなくすため、実施チェックリストの作成
• 例：　作業を行う前に決められた場所にバックアップを取得する
• ・作業や処理の実行方法や管理の方法について定期的なチェックの実施
• 例：　チェックリストの中で漏れているもの、無駄なものがあれば修正する
  
  
• ・退職者への対応
• 運用に関わっていた人が退職することも考えておかなければなりません。ECサイトの管理業務を行っていた人が退職後に情報にアクセスし、不正に窃取する事故も発生しています。退職者が出た場合に実施する作業をリスト化しておくことをおすすめします。
  
  
• ・事故は発生するものと考える
• 各種セキュリティ対策を施し、運用のための基準や取り決めを行った上で考えることは、「すべての攻撃・事故を排除することは保証できず、いつか被害を受けるもの」ということです。
  事故が発生した場合に被害の拡大を防ぐとともにシステムの被害からの回復と業務の再開がなるべく早く行えるようにしておく必要があります。
  
  
• ・事故への備え
• 事故が発生してしまった場合に「何から対応すればいいかわからない」という状態では、対応が後手にまわり、復旧までの時間が長くなってしまいます。
  また、手順については事故の種類、受けた攻撃のタイプなどにより異なってきます。
  そこで、サイト上の業務・システムの構成や運用の組み立てから事故処理の計画単位を適切に決めた上でそれぞれに必要な処理や事故処理要領をまとめておく必要があります。さらに、この計画単位ごとに必要なバックアップの取得や必要な情報の確保など日ごろの備えについても明確にしておく必要があります。
  
  
• ・セキュリティ事故への備えについて定期的なチェックの実施
• 日々の運用では、上記の備えとして必要な処理が運用に組み込まれ、適切に実施されていることを確認することが大切です。
  例えば...
• ・何か運用に変更があった場合には運用マニュアルや事故対応要領に反映する
• ・バックアップの実施状況についてのチェックの実施
  
  

こうした日々の運用で適切な処理・作業を行っておくことで、セキュリティリスクを低減し、いざという時の復旧を迅速に行うことができるようになります。
これまでにお話した内容はECサイトを運営していく上でのいくつかのポイントです。ITに関する技術は日々進歩していきますので、1度決めた対策や運用手順がいつまでも使えるわけではありません。定期的な見直しと情報収集が何よりも大切です。

■＜講師プロフィール＞

村上　正弥（むらかみ　まさや）
Office M2Style　代表

ITコーディネータ(経済産業省推奨資格)

情報セキュリティスペシャリスト
ソフトウェア開発技術者
IPAセキュリティプレゼンター

所属企業にてセキュリティポリシーの策定支援、セキュリティ研修講師等を行い、さらに範囲を広げた活動をするため2017年6月 個人事業としてOffice M2Styleを開業、所属企業に属しながら研修講師やHPの構築・運用も支援している。