ECサイト構築・運用セキュリティガイドラインとログ分析

IPA(情報処理推進機構)から2023年に発行されたECサイト向けの「ECサイト構築・運用セキュリティガイドライン」でも、Webサーバアクセスログのセキュリティ分析の必要性について記されています。

ここでは、すでにECサイトを公開しており、最低限の脆弱性対策などができている企業を想定しながら、ガイドラインのセキュリティ要件に沿って、アクセスログ分析の面でどのような対策強化が可能か考えてみたいと思います。

セキュリティガイドライン対応にLoggolを活用

登場人物

質問者

今井さん

業種問わず複数のWebサイトを担当してるWebディレクター。Webセキュリティを考慮したサイト制作を心掛けているものの、昨今のサイバー攻撃による被害増加で取引企業からセキュリティに関する質問も増えてきているため、次の一手を考え中

解説者

高橋さん

今井さんと同じ会社で働いている先輩。たまに今井さんから相談を受ける

質問者
私がECサイトの制作をお手伝いしたお客様からセキュリティ対策に関連するお問い合わせが増えてきました。
Webサイトのセキュリティをさらに強化するため、参考になる情報を探しています。何か知っている情報があれば教えてください!
まずは、IPA(情報処理推進機構)が提供している『ECサイト構築・運用セキュリティガイドライン』を見てみるといいかも。
このガイドラインには、ECサイトを安全に運営するために経営者が実行すべき項目や、実務担当者が具体的に実践すべきセキュリティ対策の内容を中心に記載されているよ。
解説者
質問者
例えば、ガイドラインにはどのような内容が書かれているのでしょうか?
ECサイトの構築時及び運用時における講じるべきセキュリティ対策要件が記載されていて、要件ごとに、求められるセキュリティの水準に応じて3つの区分で示されているから、必須項目が対策済みなのであれば、次は必要項目について考え始めるのはどうかな?

『必須』:ECサイトのセキュリティを確保するために、早急かつ確実に実施が求められる対策
『必要』:事業の重要度やコストを考慮し、導入時期を検討して実施するべき対策
『推奨』:サイバーリスクの低減や被害防止を目的に、必要に応じて実施を検討すべき対策

解説者
質問者
なるほど。お客様のECサイトはすでに公開されているECサイトなので、運用時の必要項目を見てみます。

ECサイトの運用時におけるセキュリティ対策要件一覧

引用:ECサイト構築・運用セキュリティガイドライン | IPA 独立行政法人 情報処理推進機構
EC サイトの運用時における7つのセキュリティ対策要件で必要項目は「要件4 システムの定期的なバックアップの取得及びアクセスログの定期的な確認を行い不正アクセス等があればアクセスの制限等の対策を実施する」と「要件5 重要な情報はバックアップを取得する」の2つだね。
解説者
質問者
要件4にあるバックアップ取得やアクセスログの保存はすでに行っているのですが、ログの量が多すぎて、定期的に確認するのは自社では少し難しそうですね・・・ただ、必要な対策だと思うので、何かいい方法があれば助かるんですけど・・・。
ガイドラインの中でツールの紹介がされていて、IPAが提供するウェブサイトの攻撃兆候検出ツール「iLogScanner」を利用してWebサーバのアクセスログの定期的な確認も可能だよ。
現時点で国内ではWebサーバのアクセスログの分析に特化した製品は2つあって、IPAが提供する「iLogScanner」と、ビットフォレストが提供するWeb攻撃ログ分析ツール「Loggol」があるよ。
解説者
質問者
さっそく見てみますね。

Point

✓4 システムの定期的なバックアップの取得及びアクセスログの定期的な確認を行い不正アクセス等があればアクセスの制限等の対策を実施する

Webサーバのアクセスログ分析なら
「Loggol」におまかせ

まずは無料トライアル