ECサイトを運営する上でセキュリティ対策は不可欠です。
近年、多くの企業が知的財産権を重視した経営を行っており、情報漏洩も重大な経営リスクとなることから、社内情報の流出防止を強化しています。
企業内の情報が流出した場合、関係者各位に多大なる迷惑がかかるだけでなく、自社の社会的信用にかかわる問題にもなりえます。
特に、ECサイトはサイバー攻撃などのターゲットになりやすく、カード情報が漏洩したというニュースが絶えません。
ECサイト運営者がセキュリティ対策を行うことの重要性が高まっています。
そこで本記事ではECサイトにセキュリティ対策が不可欠な理由を解説した上で、ECサイトについてセキュリティ対策で行うべきことや、過去に起きたセキュリティ対策の事故などについて解説していきます。
本記事の最後にはサイト管理者が初期段階で抱えやすい疑問についても紹介します。
目次
ECサイトにセキュリティ対策が不可欠な理由として以下の3つが挙げられます。
それぞれについて詳しく解説していきます。
情報漏洩のトラブルが起きた場合、ECサイトの運営者にも責任が問われ、賠償責任に発展するケースも少なくありません。
また、情報漏洩が起きると、顧客離れが生じるだけでなく、社会的信頼を再び取り戻すことが難しくなります。
特に、認知度が高く、多くの人が利用しているサイトであればあるほどトラブルが大きくなります。
顧客のみならず、社会全体で問題視されるケースも多く、問題が収束するまでに膨大な時間や労力を費やすことになるでしょう。
ECサイトはターゲットになりやすいサイトの一つです。
その理由として、ECサイトでは以下2つの情報を取り扱っていることが関係しています。
ECサイトの利用者の多くがクレジットカードで決済しているため、ECサイトには顧客のクレジットカードの情報が蓄積されています。
クレジットカードを不正利用しようと考える第三者によるサイバー攻撃などの標的になるのです。
加えて、注文した商品が自宅に届くECサイトでは氏名や住所の入力は必須であり、ECサイトには多くの個人情報が登録されています。
顧客名簿の換金性が高いことからも、ECサイトの個人情報を狙ったサイバー攻撃は年々増加傾向にあるのです。
ECサイトにはサイトの直接的な運営者以外にも多くの人が携わっています。
規模が大きいサイトであればあるほど関係者は多くなり、Web制作や出品、梱包などそれぞれの業務を分担して行っています。
サイト運営に関係する人が多ければ多いほど、IDやパスワードといった情報が漏洩する可能性が高まります。
ECサイトにおけるセキュリティトラブルは第三者によるサイバー攻撃よりも、内部スタッフや外部の関係者が原因となって生じるケースも多く見られます。
関係者の数が増えるほどセキュリティ対策を行うことの重要性の周知や危機管理対策の徹底が難しくなりますが、これらは不可欠な取り組みとなります。
前述のようにECサイトはターゲットになりやすく、かつ情報が漏洩した際には大きな損失が生じたり、責任が追及されたりします。
こうした事態を回避するためにはECサイトにおけるセキュリティ対策が不可欠です。
ECサイトのセキュリティで行うべき対策として以下の7つが挙げられます。
それぞれについて詳しく解説していきます。
情報セキュリティポリシーとは企業が自社の情報資産を守るための方針のことです。
情報セキュリティポリシーがない場合、自社で管理している情報をどう守るのかや、どのような情報セキュリティ対策が必要であるかなど決めることはできません。
情報セキュリティポリシーを策定する際は情報セキュリティに関するガイドラインが便利です。
例えば、経済産業省と独立行政法人情報処理推進機構が公表している「サイバーセキュリティ経営ガイドライン」では、企業のサイバー攻撃対策の理念などについて説明されています。
また、独立行政法人情報処理推進機構の「中小企業の情報セキュリティ対策ガイドライン」では対策方法についても詳しく説明されています。
これらのガイドラインを参考にすることで情報セキュリティポリシーを策定しやすくなるはずです。
ECサイトの管理ページは管理担当者のみがアクセスできるように権限を設けておきましょう。
従業員や関係者全員が管理ページにアクセスできれば業務において便利であるものの、セキュリティ面で大きな懸念が生じます。
そのため、管理ページにアクセスできる人を限定しておくことをおすすめします。
IDとパスワードによるユーザー認証を使うことでアクセス可能なユーザーの設定を行えます。
また、ユーザーごとに閲覧レベルを設定できるものもあるため、それぞれの業務内容に応じて閲覧ページを決定できます。
管理ページにアクセス権限を設けた場合もIDとパスワードの流出には気を付けなければなりません。
パスワードを付箋にメモしてデスクまわりに貼り付けておいたり、他の従業員がいる場所でパスワードを大きな声で口にしたりするのは控えてください。
管理ページへのアクセス権限を設けた場合でも一人一人のセキュリティに関する高いリテラシーは不可欠です。
ESサイトのセキュリティを強化する上でソフトウェアを最新バージョンにアップロードしておくことは重要です。
ソフトウェアがリリースされた直後であれば最新のセキュリティ性能があるものの、時間の経過とともに最新の攻撃を防止できなくなります。
サイバー攻撃はIT技術の変化に応じて変わるため、ソフトウェアを更新していかなければなりません。
ソフトウェアの開発を行っているメーカーは時間の経過による脆弱性の発見や新しく生じた脅威に対応するために、ソフトウェアのセキュリティアップデートを実施しています。
ECサイトのセキュリティを保つためにはASPのショッピングカートの活用がおすすめです。
ASPのショッピングカートを活用することで、脆弱性が新しく見つかった場合のアップデートを専門知識を有するサービス事業者が行ってくれます。
ショッピングカートにおけるセキュリティ対策について、ECサイトの運営者が不安に感じたり、対策を検討する必要がなくなります。
サービスは常時SSLやトークン決済などに対応したものなど複数あるため、自社のニーズに合ったものを選択してください。
ただし、ASPのショッピングカートを利用するには利用料がかかります。
ECサイトのセキュリティを高めるためにはサイトのセキュリティを強化するだけでなく、従業員のセキュリティに対する意識を高める必要があります。
情報漏洩はサイバー攻撃によってのみ起こるわけではなく、内部犯行者や人的ミス要因によって生じることも多くあります。
NPO日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」では、2018年の個人情報漏洩のうち71.8%が内部に原因があることが明らかにされています。
特に、損失・置き忘れと誤操作によって情報漏洩が生じています。
これらは従業員のミスやセキュリティに対するリテラシーの低さも関係するといえるでしょう。
セキュリティ対策を行い、情報漏洩を防ぐにはセキュリティについてのルールを策定し、従業員に周知することが不可欠です。
また、従業員に対してセキュリティに関する教育の機会を提供することも重要です。
従業員のセキュリティに対する意識を高めることで、セキュリティ対策は強化されます。
セキュリティ対策サービスにはさまざまな種類があります。
セキュリティを強化するためには用途に合ったセキュリティサービスを利用する必要があります。
ECサイトのセキュリティ対策はWebアプリケーション側の対応だけでは不十分でしょう。
ネットワークやOS、ミドルウェアなどといったさまざまな観点から複数の脅威を想定し、対策を実施しなければなりません。
セキュリティ対策における一般的な構成はアンチウイルスソフトを導入し、ファイアウォールを設置します。しかし、これだけでは十分ではないケースも多々見受けられます。
最近では前述の構成に加えて、IPS/IDSやWAFを導入するケースが増えています。
攻撃手段が多様化し、かつ被害が増えている昨今、セキュリティ対策はできる限り強固に行っておくことをおすすめします。
セキュリティソフトは既知の攻撃には対応することができるものの、未知の攻撃には効果がありません。
近年、サイバー攻撃は進化し、次々と新しいものが生まれているためユーザー側の高い情報リテラシーも必須です。
ECサイトの運営側はサイバー攻撃についての情報を日々収集し、ユーザーに向けて近頃の攻撃手法や注意喚起などを頻繁に行う必要があります。
ECサイトの運営側は自社の運営にかかわるメンバーのみならず、顧客に対してもセキュリティについて教育することが求められます。
前述のようにセキュリティの事故は近年において少なくありません。
例えば、過去に起きたECサイトにおけるセキュリティ事故として以下の3つが挙げられます。
それぞれについて詳しく解説していきます。
ヘアアクセサリーを主に扱っているBtoCサイトA社は2021年8月に第三者による不正アクセスが発覚したことを発表しています。
この不正アクセスにより、一般顧客4,538名分のクレジットカードに関する各種情報が流出した可能性があります。
その結果、企業には決済が成立した顧客にメールや書面などで個別に連絡を取り謝罪するなどの対応が求められました。
2020年11月27日から12月9日、服飾資材を扱うBtoB向けECサイトのB社は外部からの不正アクセスによってクレジットカード情報が流出した可能性を発表しました。
法人顧客195名分のクレジットカード情報が流出した可能性がある他、その一部が不正利用された可能性もあります。
加えて、このときに顧客の住所やメールアドレスといった個人情報も流出しました。
ファイルアップロード機能の脆弱性が問題となって生じた問題であるため、B社は顧客に対してメールで報告と謝罪を行っています。
2021年11月、人気アニメキャラクターグッズを扱うBtoCサイトC社でセキュリティに関するトラブルが生じました。
一般顧客17,828名分のクレジットカード情報に加えて、ログイン情報が流出した可能性があることが公式サイトで発表されました。
ECサイトの管理を始めたばかりの人にとってセキュリティに関する疑問が生じることも多く見られます。
ECサイト管理者が初期段階で抱えやすい疑問として以下の2つが挙げられます。
それぞれについて詳しく解説していきます。
ECサイト(ASPカート)作成サービスを活用することで、セキュリティ対策の知識がない人もネットショップを安心して運営できます。
ASPカートには多くの種類がありますが、代表的なものとしてはBASEやメルカート、STORES、Leaなどが挙げられます。
ECサイト作成サービスは運営元がメンテナンスやセキュリティ対策を行ってくれるため、ショップの運営者が自分で行う必要はありません。
オープンソースにおけるECカートシステムは、自社に開発スタッフが在籍しており、適切に運用・保守を行えるのであれば安心できるでしょう。
一方、社内に知識を有した人がいない場合は利用を控えておくと無難です。
オープンソースのECカートシステムはカスタマイズを柔軟に行える一方、自社でセキュリティ対策を施さなければならないなど運用の負担は大きい傾向にあります。
近年、ECサイトを個人が作成するハードルは下がり、誰もが比較的簡単にECサイトを運営できるようになりました。
その一方で情報漏洩などのトラブルは少なくなく、顧客情報が漏洩した事例も多くあります。
自社で管理する情報を守りながらECサイトを運営するためにはセキュリティ対策が必須です。
セキュリティ対策を怠ると自社だけの問題ではなく、関係者の多くにも迷惑がかかるので注意してください。
セキュリティ対策が万全のECサイトを手軽に作成したい方にはLeaがおすすめです。
LeaはLINEのECプラットフォームサービスで、このサービスを利用すればLINE上にECサイトを手軽に作成できます。
