経営者がセキュリティ確保のために実行すべき項目とは?(その1)
①方針策定と予算・人材・体制の準備
セキュリティ対策を行う前提として、組織全体としての対応方針と必要な予算・人材・体制の整備を経営者として責任を持って実施します。
特に予算については、ECサイト構築時の対策費用に加えて保守コストも計算することが重要です。外部委託先へ依頼する際のコストも加算する必要があります。
②セキュリティ対策の検討と見直しの指示
講じるべきセキュリティ対策要件を把握すること、またセキュリティ対策を任せられる外部委託先を選定することが重要です。ガイドラインでは、セキュアコーディングや脆弱性診断を外部委託先に必ず実施させること、また構築後のセキュリティ運用や保守についても契約可能な事業者を選定するよう求めています。
またECサイト構築後も、定期的にセキュリティ対策の現状と課題を見直すよう担当チームや外部委託先に指示することも経営者の責任の範疇に含まれます。当ガイドラインには振り返りに使えるチェックシートが添付されているため、適宜活用しましょう。
なおセキュリティ対策の不備が発覚したものの、対策実施に時間がかかるケースもしばしばあります。そうした場合は、WAF(Web Application Firewall)の実装やサイバー保険への加入など、応急措置を講じる旨の説明が記載されています。