全1953文字
情報処理推進機構(IPA▼)は2022年3月上旬、中小企業が運営する電子商取引(EC)サイト向けの脆弱性診断を無償で実施すると発表した▼(図1)。開発方法や構築環境など一定の条件を満たしたECサイトが対象となる(表1)。申し込み後、IPAに選定されれば診断を受けられる。
図1●中小企業が運営するECサイトの脆弱性を診断
IPAは、中小企業が運営するECサイト向けの脆弱性診断を無償で実施すると発表した。申し込み後IPAに選定されれば、通常なら100万円以上かかるとされる専門家による診断を受けられる。
[画像のクリックで拡大表示]
表1●無償脆弱性診断の対象となるECサイト
以下の条件をすべて満たす自社構築ECサイト(開発委託したECサイトも含む)を対象とする。ショッピングモールやショッピングカートASPを利用しているECサイトは対象外。
[画像のクリックで拡大表示]
IPAによると、提供する脆弱性診断は専門家によるもので通常100万円以上かかるという。この事業は経済産業省の補助を受けてIPAが実施する。経産省が高額な脆弱性診断を無償で実施する理由を解説する。
経産省は事業について「脆弱性診断そのものが目的ではない」(経産省サイバーセキュリティ課担当者)と言い切る。診断を通して脆弱性の実態を調査し、得た情報を基に中小企業が安全なECサイトを構築するためのガイドラインを策定するという。
脆弱性の実態調査が目的
100万円以上かかる診断を無償で実施する背景には、ECサイトに関する脆弱性情報を得難いことがある。ECサイトの脆弱性は、運営企業にとってセンシティブな情報だ。調査目的では情報を提供したがらない企業が多い。「脆弱性情報のような企業の『腹の内』を見せてもらうのは難しい」(経産省サイバーセキュリティ課担当者)と打ち明ける。
そこでサイバー攻撃が巧妙化する中でニーズが高まる脆弱性診断を無償提供することで、脆弱性情報を得る。IPAは診断で得た情報をガイドライン策定に生かす。無償での診断は、協力してくれる企業を募るための仕掛けというわけだ。予算は事業全体で1億円程度確保しており、数十社への診断実施を想定しているという。
