こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。

インターネットの利用が普及した現代において、ECサイトの運用は、企業にとって重要な集客・売上の手段のひとつです。
ただし、近年サイバー攻撃などによるECサイトの被害は増加傾向。顧客の個人情報やクレジットカード情報が漏洩した例も少なくはありません。
この被害を避けるため、企業はサイト運用にあたって、セキュリティ対策を万全にしておく必要があります。

では、具体的にはどのような対策を整備する必要があるのでしょうか。

今回は、ECサイトにおけるセキュリティリスクと対策について詳しく解説します。

ECサイトにおけるセキュリティリスク

不正アクセスや情報漏洩、改ざんなど、ECサイトには多くのセキュリティリスクが存在します。これらのリスクは、ただECの運用を阻害するだけでなく、次のような点でも企業に損失を与えます。

・情報漏洩に対する賠償責任
・社会的信用の失墜

詳しく見ていきましょう。

情報漏洩に対する賠償責任

ミスや悪意のある第三者による攻撃により、ECサイトからの情報漏洩が起こるケースは珍しくありません。
ECサイトには、氏名や住所といった顧客の個人情報や決済時に用いるクレジットカード情報など、重要な情報が保存されています。これが漏洩してしまうと、詐欺やカードの不正利用といった二次被害が発生する恐れもあります。
一度漏洩した情報を回収することはできません。よって、ECを利用していた顧客も大きな不安を抱えることになります。

このようなことから、ECサイトから重要情報が漏洩した場合には、サイトを運用している企業は情報漏洩に遭った顧客に対し、賠償責任を負う可能性があります。
顧客1人あたりの賠償額は10,000円前後となることが多いですが、対象の顧客数が多ければ、総額はかなり大きなものになるでしょう。

このような多額の賠償金が、結果的に企業の経営を悪化させてしまうことも考えられます。

社会的信用の失墜

情報漏洩や改ざんなど、企業のECサイトにおけるセキュリティ事故は、ニュースなどで世間に拡散されます。そうすれば、人は「セキュリティ事故を起こした企業」としてその企業を見るようになり、社会的信用は失墜します。
場合によっては、離反する顧客や取引先が出てくることもあるでしょう。

一度失った社会的信用を取り戻すことは、簡単ではありません。顧客や取引先が離れれば、企業経営も難しくなっていきます。

ECサイトの個人情報が漏洩する原因

ECサイトから個人情報が漏洩する原因は、大きく次の3種類に分類されます。

・人的ミス
・内部不正
・外部からの攻撃

各原因について詳しくご説明します。

人的ミス

ECサイトからの個人情報漏洩は、従業員がシステムの操作を誤ったことによって起こることがあります。例えば、システムの誤設定やデータの誤送信など。

このような人的ミスは、知識不足の従業員だけでなく、誰にでもどの企業にでも起こり得ます。これを防ぐには、ミスを見逃さない仕組みづくりが重要です。

内部不正

企業内部の人間による不正行為で、情報漏洩が発生することも考えられます。

自社の人間は、外部の人間に比べ、ECサイトの重要情報にアクセスしやすいです。この情報を持ち出し、他社に流したり転売したりと悪用する人間がいたとしても、不思議はありません。

このようなことを防ぐには、情報へのアクセス権限を細かに設定するとともに、セキュリティポリシーや情報を扱う際のルールを明確に定めることが必要になります。

外部からの攻撃

外部からの攻撃、いわゆるサイバー攻撃によるECサイトの情報漏洩は後を絶ちません。
この場合、悪意のある第三者がサイトに攻撃を仕掛け、情報を盗み、悪用します。

このような攻撃は、システムの脆弱性を狙って行われることが多いです。
そのため、脆弱性をフォローする対策やファイアウォールなど、外部攻撃に備える対策を徹底することが大切です。

情報漏洩の原因と対策については、下記の記事でより詳しく解説していますので、ぜひご覧ください。

参考:企業で情報漏洩が起こる原因とは?事例や対策を紹介

【重要】ECサイトのセキュリティ対策

情報漏洩をはじめとした、ECサイトにおけるセキュリティリスクを避けるためには、企業は日頃から万全の対策を講じておく必要があります。
中でも、基本のセキュリティ対策として必ず整備しておきたいのが、次の7つです。

1.管理者へのセキュリティ教育を徹底する
2.管理画面のアクセス権限を設定する
3.ログイン情報・個人情報を厳重に管理する
4.アプリやシステムを最新版にアップデートする
5.ASP型のショッピングカートを利用する
6.不正アクセスを検知するサービスを導入する
7.フィッシング詐欺対策を行う

ここからは、上記の7つの対策についてその詳しい内容をご紹介します。

対策1:管理者へのセキュリティ教育を徹底する

ECサイト管理者のミスや不注意は、情報漏洩に繋がる恐れがあります。例えば、ECの管理を行っているデバイスやデータを保存したUSBの紛失、置き忘れ、管理時の誤操作など。

このようなリスクを低減するため、EC管理者に対するセキュリティ教育は必須です。セキュリティポリシーやルールを遵守すること、また気をつけるべきことをしっかり周知し、管理者のセキュリティに対する意識を向上させましょう。

また、管理者だけでなく一般の社員に対しても、基本的なセキュリティ教育は実施しておくべきでしょう。

対策2:管理画面のアクセス権限を設定する

ECサイトの管理画面に誰もがアクセスできる状態では、情報漏洩のリスクは高くなってしまいます。
これを防ぐため、管理画面にはアクセス権限を設定しておきましょう。管理画面にアクセスできる人を最低限に抑えておくことで、情報漏洩のリスクを低下させることができます。

またこの権限設定は、万が一トラブルが発生した場合の速やかな原因究明にも役立ちます。

対策3:ログイン情報・個人情報を厳重に管理する

管理画面へのログイン情報(IDやパスワード)顧客の個人情報、クレジットカード情報などは、機密性の高い情報です。そのため、これらの情報は簡単にはアクセスできない環境で管理する必要があります。
外部を遮断した上でアクセス制限をかけた社内ネットワーク内フォルダなどで管理すれば、外部から直接情報を見ることはできなくなります。

またパスワードの管理情報や、サーバの設定ファイルなどの扱いにも注意し、不要なデータは速やかに削除するようにしてください。

対策4:アプリやシステムを最新版にアップデートする

アプリやシステムをアップデートし、常に最新の状態を保つことも、セキュリティ対策として有効です。
アプリやシステムは脆弱性を有することがありますが、攻撃者はこの脆弱性を狙って攻撃を仕掛けてきます。これを放置しておくことで、情報漏洩のリスクは高くなります。

アプリやシステムのアップデートプログラムには、脆弱性に対する対策が含まれています。速やかにアップデートを行うことで、攻撃者に狙われやすい脆弱性を補うことが可能です。

対策5:ASP型のショッピングカートを利用する

ECのショッピングカートでは、代金の支払いに伴う重要な情報を扱います。この情報をセキュアに守るためには、ASP型のショッピングカートを利用するのがおすすめです。

ASP型のショッピングカートには、高いセキュリティ機能が搭載されています。これを用いれば、自社で運用するよりも安全で手間なく、決済情報を扱うことができます。
ただし、セキュリティ機能やコストはサービスによって異なるため、導入時にはよく確認するようにしましょう。

対策6:不正アクセスを検知するサービスを導入する

アナログな方法で完璧に不正アクセスを監視し検知するのは不可能です。
しかし、専用の不正アクセス検知サービスを利用すれば、それが可能になります。このサービスでは、24時間システムを監視し、不審な動きがあれば検知、報告することが可能。サービスによっては不審なアクセスを遮断、ウイルス除去まで行うこともできます。

具体例としては、ファイアウォールやウイルス対策ソフトが挙げられます。

対策7:フィッシング詐欺対策を行う

偽物のサイトへ利用者を誘導し、情報を盗む詐欺行為を「フィッシング詐欺」と呼びます。
この詐欺では、本物と見間違うような偽ECサイトを作り、利用者を信用させて情報を抜き取ります。そのため、各企業には自社のECサイトを模倣した偽サイトを作られてしまうリスクがあります。

このような方法で自社の顧客が被害に遭えば、企業も損害を被ります。よって、EC運用にあたっては、フィッシングに対する備えも必要でしょう。

具体的な対策は、「利用者が正規サイトを判別できるようサーバ証明書導入する」「多要素認証を導入する」「ドメイン名をECサイトの運営者から容易に想像できるものにする」など。
複数の対策により、フィッシング被害抑止に取り組みましょう。

まとめ

ECサイトを運用する企業が増えた現代社会では、セキュリティリスクも高まりを見せています。顧客を守るため、また企業経営を守るためには、想定できるあらゆるリスクについて、事前に対策を整備しておくことが大切です。

ECのセキュリティ対策に不安がある企業は、後回しにせず速やかに整備を行い、また対策を行なっている企業でも定期的にその見直しを行なって、常に万全のセキュリティ対策を整えておきましょう。