自サイトのセキュリティは大丈夫？ IPAがオンラインショップ向けにチェックリスト

情報処理推進機構セキュリティセンターは、オンラインショッピングサイトの運営者向けに、セキュリティ上留意すべき項目をまとめた文書を公開した。

[ITmedia]

　情報処理推進機構セキュリティセンター（IPA/ISEC）は3月4日、オンラインショッピングサイトを開設、運営する際にセキュリティ上留意すべき項目をまとめた「消費者向け電子商取引サイトの運用における注意点」を公開した。

　Webアプリケーションをベースにしたオンラインショップは便利なものだが、安易に設計／構築すると、さまざまな脆弱性を含んだWebサイトができあがってしまう。これが悪用されれば、Webサイト自身が改ざん／情報漏えいといった被害に遭うほか、利用者の個人情報が盗み取られる可能性もある。

　このたび公開された文書は、そうした脆弱性のうち代表的なものを解説したうえで、問題を回避するための方法を紹介するものだ。クロスサイトスクリプティングやコマンドインジェクション、フィッシングへの悪用といった脆弱性について、図解入りで解説したうえで、対策法がまとめられている。

　また末尾には、ユーザーがショッピングサイトを訪れたときの行動ステップごとに、脆弱性の有無を確認するための「チェックリスト」が付けられている。ショッピングサイトの運営者が自社サイトで適切にセキュリティ対策がなされているかどうかを確認するために利用できる。