<< 薬事法NG広告クイズ 「一世紀にわたり愛され続ける○○○(商品名)100年の歴史が美肌へと導きます。」 | TOP | 「電子商取引及び情報財取引等に関する準則改訂案」へのパブリックコメント募集(経済産業省) >>

2011年03月30日

情報セキュリティの2011年版10大脅威とは?(IPA)

先日発表された(独)情報処理推進機構の2011年版情報セキュリティ「10大脅威」(※)
から、最近の特徴とネットショップへの具体的な影響についてご紹介します。

情報セキュリティ 10大脅威.bmp

情報漏えいの脅威:
組織で保持している情報(機密情報、個人情報等)を紛失や盗難等で漏えいする脅威
外部から攻撃される脅威:
外部ネットワークや電子媒体を経由した情報システムを脅かす攻撃
情報システムの設計・実装や運用に起因する脅威:
開発したアプリケーションのセキュリティ対策や対応の不備に起因する脅威

●セキュリティ事故によるネットショップ事業への影響は
脅威によって引き起こされる、代表的なセキュリティ事故である「情報流出」「システム停
止」「ウェブサイト改ざん」について、ネットショップ事業への影響を考えてみましょう。

情報流出の脅威とリスク
ネットショップにおいては、クレジットカード情報をはじめとするお客様の個人情報の流
出により、ショップの信用失墜は勿論のこと、被害者へ謝罪金等の補償で、対策に係る費
用、信頼回復に係る費用に加え今後の経営戦略にまで大きな影響を及ぼします。

原因は、組織内部の情報管理の不備や不注意、あるいは故意に起因する「情報漏えい」や、
外部の攻撃者が組織内の情報資産を窃取する「情報窃取」によるものです。
第1位の「人」が起こしてしまう情報漏えいをはじめとし、10大脅威のほとんどが、情
報流出のセキュリティ事故リスクに関与しています。

システム停止の脅威とリスク
外部からの攻撃によるシステム停止です。
ショッピングサイトでは、直接的な影響として、ウェブサイトの停止により業活動が停止
してしまいます。更に、二次的な被害として、サービス停止による顧客や世間からの信用
低下につながります。
また、業務システム停止の場合は、発注管理システム等が停止してしまったりすると、納
期遅延を引き起こす等のトラブルの可能性があります。

ウェブサイト改ざんの脅威とリスク
ウェブサイトを経由した攻撃によるウェブサイトの改ざんが、10大脅威の第2位に順位付
けられ、猛威を奮っています。
ウェブサイトを改ざんされると、ウェブサイトを訪れた利用者をフィッシングサイトに誘
導したり、PCをウイルスに感染させたりすることで、利用者の個人情報やクレジットカー
ド情報等が窃取されます。
ショッピングサイトが改ざんされた場合、そのショッピングサイトのイメージが低下し、
顧客離れが懸念されます。利用者の心情として、自身が被害に遭うかもしれないという不
安を感じると、そのショップサイトの利用を躊躇うでしょう。また、被害にあった利用者
が、逆恨みによる理由からショッピングサイトを誹謗中傷する情報を、掲示板サイトへ書
込むことも考えられます。

上記3つのセキュリティ事故につながる脅威について、10大脅威の1位2位以外に、特に
ネットショップ事業に関連性の高いものを挙げてみます。

【3位】定番ソフトウェアの脆弱性を狙った攻撃
ウェブサイト経由、メール経由等様々な手段で、定番ソフトウェアの脆弱性を狙います。
10大脅威の2位「止まらない!ウェブサイトを経由した攻撃」や8位「攻撃に気づけない
標的型攻撃」にも定番ソフトウェアの脆弱性が悪用されています。

【5位】複数の攻撃を組み合わせた「新しいタイプの攻撃」
ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニア
リングにより特定企業や個人を狙った攻撃です。
「情報窃取」「システム停止」といったセキュリティ事故を引き起こします。
今まで不可能と考えられていたシステムの領域に対しての攻撃が現実のものとなってきて
おり、現状のセキュリティ対策の見直しが迫られています。

【6位】セキュリティ対策不備がもたらすトラブル
システム開発、システム運用等が、外部委託されている場合には、トラブル回避のために
特に以下に注意しましょう。
・情報システムの開発を発注する場合、セキュリティ対策や可能性などの非機能要件につ
いて配慮する。
・使用製品、開発システムの脆弱性対策が実施できることを確認する。
・システム運用を外部委託する場合、運用保守契約等で、委託先の対応範囲を明確化する。

【7位】携帯電話向けウェブサイトのセキュリティ
携帯電話向けウェブサイトの利用者認証やセッション管理において、IPアドレスによる制
限に不備がある場合や制限に不備がある場合、「なりすまし」により、個人情報が漏えいし
たり、情報が書き換えられたりする可能性があります。

この報告書では各脅威への詳しい対策も紹介されています。
最新傾向と併せて、御社でのセキュリティ対策の参考にお勧めします。

(※)2011年版 10大脅威 進化する攻撃...その対策で十分ですか?
(2011.3.24 独立行政法人情報処理推進機構 セキュリティセンター)
http://www.ipa.go.jp/security/vuln/documents/10threats2011.pdf

次回のCS情報局の更新は、4月1日(金)です。

-------------------------------------------------
◆顧客サービス力、チェックしてみませんか!

顧客対応覆面調査
http://www.fides-cd.co.jp/category/ser01-01/
-------------------------------------------------

-------------------------------------------------
fidesロゴ2.jpg  ネットショップの信頼性をカタチにします
  ECコミュニケーションデザイン フィデス
         http://www.fides-cd.co.jp

        *このサイトのご利用に際して
-------------------------------------------------



【関連する記事】
posted by Fides at 16:31| Comment(0) | TrackBack(0) | コピー&運営法律チェック | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバック