ECサイトに必要不可欠なセキュリティ対策!その概要と基本を解説。

 2019.09.12  株式会社システムインテグレータ

ECサイトではクレジットカード情報や利用者の個人情報など、サイバー犯罪者にとって有益な情報が無数に取引されています。このことから自然とサイバー攻撃の対象になりやすく、悪意を持った第三者がECサイトへの不正アクセスを試みたり、データベースから直接的に重要情報を搾取したりと、日常的に攻撃を受けているECサイトは少なくありません。サービスを提供するためにWebサイトを公開している以上、必ずといってよいほど何かしらのサイバー攻撃を受けていると言っても過言ではありません。

本稿では、そんなECサイトを運営する上で必要な基本的なセキュリティ対策についてご紹介します。最近では越境EC(海外市場を相手にしたEC事業)が盛んに行われ、2020年に東京オリンピック・パラリンピックが開催されることから、海外の利用者の日本国内のECサイトの利用も増えています。国内利用者以上にセキュリティに敏感なので、この機会に自社ECサイトのセキュリティ対策について再考してみてはいかがでしょうか?

security-for-ecommerce

ECサイトにおけるサイバー攻撃の被害とは?

ECサイトを運営してきた今まで、サイバー攻撃を受けずに済んだ担当者や企業は、攻撃される意味やどういった被害が発生するのかを具体的にイメージできないという方が多いでしょう。まずは、サイバー攻撃の被害について整理していきましょう。

被害1. 個人情報漏えい発生時、賠償による経済的ダメージ

サイバー攻撃によって個人情報漏えいが起こると、ECサイト運営元は情報が漏えいした利用者に対して賠償を行います。場合によっては損害賠償責任が課せられ、過去の事例から相場として5,000~15,000円程度の賠償を、情報が漏えいしたすべての利用者に対して支払うことになると考えられています。

2009年、大手証券会社が個人情報漏えいの賠償として、50,000人の顧客に10,000円の商品券を配布した結果、賠償総額は5億円以上になっています。ただし、経済的損失は賠償だけではありません。

情報漏えいに関する対策本部の設置やカスタマー対応窓口の設立なども必要となり、20015年に日本年金機構で発生した個人情報漏えいでは、総額10億円以上の経済的損失が発生しています。

被害2. サイバー攻撃を受けたことで社会的信用が失墜

昨今のECサイト利用者はセキュリティに関して以前よりも高い関心を持っており、シビアです。1度でもサイバー攻撃を受けて被害が発生すれば、ECサイトおよびブランドイメージの社会的信用は失墜するでしょう。それは利用者だけでなく、商品仕入れ先などのステークホルダーも同じです。

ブランドイメージが低下することで、実店舗や関連会社への悪影響も発生します。実店舗での訪問者数や購入者数が低下すれば、いよいよ危機的状況は深刻なものになるでしょう。

また、起きた事故に対して適切な対応がなされないと、さらに信用を失う可能性がありませう。例えば個人情報の漏洩が発覚したタイミングと発表や対策がなされたタイミングに開きがあると、「セキュリティに関する体制が甘い」、「隠蔽体質なのでは」などとネガティブな印象を与えることに成りかねません。

「まだ事故が起きていないからセキュリティ対策に費用をかけない」、「起きてから考える」というスタンスでは、事業を継続する上で重大なリスクを抱えていると言えます。

 

被害3. 利用者数減少によるECサイト運営の危機的状況

サイバー攻撃を受けたECサイトは当然ながら利用者数が減少します。誰も個人情報漏えいなどのリスクがあるECサイトは利用したくありませんから、当然のことです。ECサイトの売上は利用者数に比例して決まるため、利用者数が減少するということは売上が下がり、利益も下がり、事業が立ち行かなくなるかもしれません。

特に小規模なECサイトではたった1度の個人情報漏えい等が致命的なダメージなり、ECサイト運営が危機的状況に立たされる可能性があります。

ECサイトに施したいセキュリティ対策

サイバー攻撃を受けることで発生する被害は大きく、かつECサイトはさまざまな脅威にさらされています。それでは、ECサイト運営者が実施したい最低限のセキュリティ対策についてご紹介します。

対策1. ECサイトの管理ページへのアクセス権限を厳重に管理する

ECサイトの管理ページは運営に関する様々な情報を扱う、特に重要なページです。管理ページへ不正アクセスされれば簡単に個人情報を抜き取られてしまいますし、各ページに不正プログラムを組み込まれると被害はさらに甚大なものになります。管理ページへの不正アクセスを防ぐためには、管理ページへアクセスできるIPアドレスを制限する、個人情報を取り扱える権限を持つユーザを限定する、パスワードを適切に管理する、といったことが必要です。

管理ページにアクセス出来るIPアドレスを会社のIPアドレスに制限することで、そもそも外部のネットワークからのアクセスを防ぐことが出来るので、社内のネットワークが適切に管理されている前提になりますが、不正アクセスのリスクを大きく下げることが出来ます。

また、ユーザ毎に利用できる機能を制限し、権限を持ったユーザでないと個人情報を出力出来ないようにすることで、更に情報漏えいのリスクを下げられます。

また、これは一般的な話ではありますが、パスワードを他のサービスのものと使い回しをせず、英数字記号、大文字小文字を混ぜて長いものにするなど、簡単には特定されないように注意することも欠かせません。

 

対策2. 既知の脆弱性を適切に評価し、対策する

攻撃手段は常に増え、進化しているので、サービスの立ち上げ時にセキュリティ対策をしたからと言って、未来永劫攻撃を防ぎ続けられることが保証されるわけではありません。ECサイトを構成するOSやミドルウェアなどに脆弱性が発見された場合、その脆弱性に対する対策が含まれたアップデートが公開されることが一般的です。アップデートが出次第すぐに適用するのがセキュリティの観点においては理想的かもしれませんが、ECサイトは通常24時間365日稼働するものになるので、サービスの停止が必要なアップデート作業は気軽に行うわけにはいきません。いつでもサービスを止められて、セキュリティ対策にいくらでもコストをかけられるということは基本的にはありません。ですから、まず発見された脆弱性が自社の運営するECサイトにそもそも影響があるのかどうかを評価する必要があると言えるでしょう。その上でその脆弱性が、対策しないと重大な事故につながる可能性があると評価された場合はどうするか、全く影響がないわけではないが事故につながる可能性はかなり低いと評価された場合はどうするか、など方針を都度決めながら対策を進めることが重要です。

繰り返しになりますが、攻撃手段が進化する以上、常に完璧なセキュリティ対策がなされているということは有り得ません。発見された脆弱性を適切に評価し、判断していくこと、その仕組が求められています。

 

対策3. 用途に応じたセキュリティ対策サービスを導入する

セキュリティ対策はECサイトのWebアプリケーション側の対策だけでは完結しません。これまでご紹介した通り、ネットワークやOSやミドルウェアなど様々な観点で、多様化する脅威に対してセキュリティ対策を考慮する必要があります。

一般的な構成としては、セキュリティサービス製品としてアンチウイルスソフトを導入し、ファイアウォールを設置している、といったケースが多いように感じますが、今やこれだけでは不十分と言えます。この他にIPS/IDS(Intrusion Protection System/Intrusion Detection System)やWAFを導入することが、増えてきています。

個人の考えになりますが、この変化は、実際に攻撃を受けて必要性を感じたから、ではなく、個人情報の漏洩が事業の継続を困難にしかねない、起きてからでは遅いという認識が広まったからだと考えています。攻撃手法の進化に対応するために、セキュリティサービス製品も進化しているので、適切なサービスを選定し導入することが重要です。

 

対策4. セキュリティに関するルール策定や教育を実施する

情報漏えい等の事件は、サイバー攻撃に起因するものばかりではありません。内部犯行者や人的ミス要因による情報漏えいの方が圧倒的に多いことをご存知でしょうか?

NPO日本ネットワークセキュリティ協会が発表した『2018年 情報セキュリティイシデントに関する調査報告書【速報版】』によると2018年の個人情報漏えい件数全体の71.8%が内部要因だとされています。中でも最も多いのが「損失・置忘れ」と「誤操作」です。

従って、セキュリティに関するルール策定や教育を実施することは、セキュリティシステムを導入すること以上に大切になります。

いかがでしょうか?基本的な解説になりましたが、ECサイトにはたくさんのセキュリティ対策が必要です。この機会に、自社ECサイトにセキュリティ環境を見直し、適切なセキュリティ対策を実施するための計画案を検討してみましょう。

新規CTA

RELATED POST関連記事


RECENT POST「コラム」の最新記事


この記事が気に入ったらいいねしよう!
ECサイト構築パッケージ選定 7つのポイント
ブログ購読のお申込み

RANKING人気資料ランキング

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧

ec-research
ec-rpa
comparison