ECサイトのセキュリティ対策の重要性と対策強化で徹底すべきこと

  • 2017.10.24
  • アドバイス

Eコマース

ECサイトの運営者にとって、セキュリティ対策は最も重要な作業のひとつです。万が一、ECサイトがサイバー攻撃を受けて情報が流出すると、そのサイトは攻撃された被害者となるだけでなく、顧客にとっては情報を流出させた加害者になってしまいます。顧客情報などが流出した場合、金銭的な被害だけでなく、会社としての信用も失ってしまうでしょう。

今回は、ECサイトにおけるセキュリティ対策の重要性や、必要なセキュリティ対策についてご紹介します。

【目次】
1. ECサイトにおけるセキュリティ対策の重要性
2. ECサイトで多いサイバー攻撃の被害
3. 内部管理の徹底で情報流出を防ぐ
4. 知っておきたいECサイトのセキュリティ対策
5. 深刻な被害を受ける前に万全のセキュリティ対策を

ECサイトにおけるセキュリティ対策の重要性

ECサイトは、数あるWebサイトの中でも不正アクセスを受けやすいといわれています。なぜECサイトは狙われるのか、その理由と情報流出してしまった場合に想定される損害について知っておきましょう。

●ECサイトが不正アクセスに狙われやすい理由
Webサイトで狙われる個人情報には、住所や氏名、メールアドレス、職業、勤務先、生年月日などがありますが、なかでもECサイトは顧客の個人情報だけでなく、クレジットカードの番号やセキュリティコードなどの決済データを保持しています。そのため、クレジットカードのデータを悪用したり、個人情報と併せてクレジットカード情報を販売したりする目的で、ECサイトは不正アクセスなどの攻撃を受けやすいとされています。
また、オープンソースのソフトウェアを使っていると、システムの脆弱性(セキュリティホール)がわかりやすいため、攻撃しやすいというのも理由に挙げられるでしょう。

●情報流出で会社が受ける可能性のある損害
<被害状況を調査するための費用>
被害を受けた、またその可能性がある顧客への告知、被害状況の調査、原因究明のための調査(第三者機関によるものも含む)の費用がかかります。

<被害を受けた顧客からの損害賠償請求>
個人情報が流出した場合、被害者はECサイトに損害賠償を請求します。一人あたりの金額は小さくても、顧客の数によっては膨大な額になります。
さらに、流出した個人情報が悪用されることで、被害が拡大するおそれもあります。

<システムの修復と復旧費用>
被害が発生したらシステムを停止して修復・復旧し、セキュリティ対策を強化します。システムの新規構築と同じくらいの費用がかかることもあります。
また、システムが停止している間はECサイトを運営できないため、売り上げがなくなります。

<企業イメージ・顧客からの信用がダウン>
一度、個人情報を流出させてしまうと、これまで築いた顧客からの信用を一気に失います。さらに、情報流出の被害がニュースになると、ECサイトや運営企業のブランドイメージや社会的信用も大きく損なわれます。誠実に対応したとしても、失った信用を取り戻すには、かなりの時間や労力が必要です。

ECサイトで多いサイバー攻撃の被害

ECサイトに対するサイバー攻撃は、いくつかの種類に分かれます。ここではECサイトに対する代表的な攻撃について説明します。

●顧客のログイン情報の漏えい
ログインIDやパスワードなどのログイン情報は、ログイン時の入力フォームから漏えいしやすく、偽物のログインフォームを作成する「フィッシング」という手口も有名です。管理者を装って管理者ページへの不正なログインを行うこともあります。

●顧客の個人情報(住所、メールアドレス、電話番号など)の漏えい
盗み取った顧客の個人情報は、裏で売買されます。データが業者間で転売されると、被害が大きくなる可能性があります。

●顧客のクレジットカード情報の漏えい
ショップのデータから、顧客のクレジットカード番号や名義人、セキュリティコード、有効期限などが漏えいします。クレジットカード情報が漏えいして悪用されることで、被害の拡大が懸念されます。

内部管理の徹底で情報流出を防ぐ

セキュリティ対策には、まず内部管理を徹底することが重要です。内部からの情報流出を防ぐために会社全体で対策を実行しましょう。

●社員がUSBメモリで情報を持ち出す場合
社内の情報は、社員が記憶媒体などを使って持ち出してしまうことがあります。個人情報はデータ量が小さいため、USBメモリやスマートフォンへの転送などで簡単に持ち出せてしまいます。
情報流出を防ぐには、システムの設定で外部メモリへのデータの書き出しを禁止する設定にしましょう。データ入出力のログを保存しておくことも重要です。
また、個人情報を扱うことができる社員を限定したり、社内でUSBメモリなど外付けデバイスの使用や、私物のメモリ類、スマートフォンの持ち込みを禁止したりすることも有効です。

●個人情報が保存されたノートPCを紛失した場合
社員が出張や持ち帰り仕事のために、ノートPCやメモリなどを会社から持ち出すことはよくあります。しかし、途中で置き忘れたり、紛失したりしてしまうと、情報漏えいの原因となります。
ノートPCやメモリを紛失したり、盗難の被害に遭ったりしても情報が漏えいしないように、PC本体やファイルにパスワードをかけ、暗号化ソフトを導入しておきましょう。データはサーバに保存して、端末では操作のみを行えるようにしておくとより安全です。

●社員の操作ミスで情報漏えいする場合
社員が使用しているエクセルやメールの操作ミスで個人情報が漏えいしてしまうこともあります。エクセルの操作中にデータを誤った方法でソートしてしまったり、ファイル送付前に機密情報やプライバシーに関する情報を取り除くことを忘れたり、違う相手に送付してしまったりといった複数のパターンがあります。
人為的ミスによる情報流出には、人の目によるチェックが必要です。アナログではありますが、2人以上の担当者による目視のダブルチェックを行うと効果的です。

そのほかにも、ファイルのアクセス権限の設定など人為的ミスによる情報流出、社外のアクセスポイントから社内ネットワークに接続することによる情報漏えいなどが起こることも考えられます。

知っておきたいECサイトのセキュリティ対策

ソフトウェアや管理者側からもセキュリティ対策を行うことが重要です。システム側でできるセキュリティ対策をご紹介します。

●個人情報の管理ページやパスワードを厳重に管理する
管理者アカウントからはすべての情報が見られるため、厳重に管理する必要があります。アカウントを分けられるシステムの場合は、管理者、システム担当、管理職、一般ユーザーなど細かくアカウントを分け、アクセスできる範囲を制限します。さらに、IPアドレス認証と組み合わせ、ほかのIPアドレスからアクセスできないようにしましょう。
IDやパスワードにはデフォルトのユーザー名やパスワードを使わず、推測されにくいものを設定します。英数字を混ぜ、大文字・小文字・記号を混在させた8文字以上のIDが推奨されています。

●セキュリティは最新バージョンにアップデートする
ECサイトでオープンソースのシステムを使用すると、常に脆弱性のリスクがあります。古いバージョンのセキュリティ対策ではリスクを高めることになるので、不具合やセキュリティに関するプログラムは必ず最新版にアップデートしましょう。
システムやOS、セキュリティに関係ないプラグインやアドオンソフトでも、脆弱性対策のアップデートが行われるので、できるだけシステム全体を常に最新版に更新しておくことが大切です。

●セキュリティソフトで脆弱性対策を行う
セキュリティ対策専用のソフトを導入すると、ウイルス対策と同時に脆弱性対策も行ってくれるため、システムの破損や乗っ取り、不正なアクセスなどからECサイトを守ってくれます。機能や予算によりさまざまな製品があるので、自社のシステムに合ったものを選びましょう。

●クレジットカード情報の適切な管理
2017年3月、クレジット取引セキュリティ対策協議会で「実行計画2017」が発表されました。ECサイトや通販事業を運営する企業、つまりクレジットカードを使って決済を行う企業に、2018年3月までにクレジットカード情報を適切に管理する対策を行うことを義務付けるというものです。ECサイトの運営企業や通販事業を運営する企業は、「クレジットカード情報の非保持化」もしくは「PCIDSS準拠」のいずれかの対策を講じることが求められます。

「クレジットカード情報の非保持化」とは、決済代行会社のサービスによる「トークン決済」を利用することで、クレジットカード情報がECサイトを通過したり、ECサイト自体でクレジットカード情報を処理・保存したりしないようにすることです。一方、PCIDSSは、クレジットカードの会員データを安全に取り扱うことを目的としたセキュリティ基準です。PCIDSSへの準拠には大規模なシステムの修正が必要なため、多くの企業は「クレジットカード情報の非保持化」を行うと考えられています。

深刻な被害を受ける前に万全のセキュリティ対策を

サイバー攻撃に狙われるのは顧客や取引金額が多い大企業だけではありません。中小企業のECサイトにも不正アクセスされる危険性は十分にあります。むしろ大企業よりもセキュリティ対策が甘い中小企業のほうが狙われやすいと言えるでしょう。
ECサイトの運営会社は、「常に狙われている」という意識を持ち、しっかりとセキュリティ対策を行いましょう。