成功ノウハウ

【徹底比較】ECサイトに潜むリスクとセキュリティ対策を分かりやすく説明

【徹底比較】ECサイトに潜むリスクとセキュリティ対策を分かりやすく説明

ECサイトの運営を安心して続けるには、しっかりとしたセキュリティ対策が不可欠です。

対策が甘いと思わぬ事件や事故に巻き込まれ、販売を続けられなくなってしまうこともあるためです。

場合によっては、企業の存続にも関わるような危機にさらされることも考えられます。

そのような事態に陥らないようにするために、ECサイト運営者が行うべき対策について紹介します。

1.セキュリティ強化、対策をしないECサイトは危険

有名企業のWebサイトから個人情報が流出したというニュースを耳にした経験がある人も多いでしょう。

このような事件は、ECサイト運営者にとって対岸の火事ではありません。ECサイトには、不正アクセスの標的にされやすい傾向があるためです。

多くのECサイトには、顧客の個人情報が保管されています。

個人情報には住所や氏名のような個人を特定できる情報のほか、銀行口座やクレジットカード番号といった支払情報も含まれます。

悪意のあるハッカーは、このような情報を入手するためにECサイトを狙うのです。

この点をよく理解したうえで、セキュリティを強化していくことが重要です。

セキュリティの強化は、売り上げアップに直接つながるようなものではありません。

また、専門的で難しいものというイメージもあるでしょう。

そのため、わざわざ費用と時間を割いてまで対策するというのは、なかなか気が進まないというのが正直なところです。

しかし、自社のECサイトが標的にされたとき、不正アクセスを許してしまうと大切な顧客を危険にさらす結果にもなりかねません。

万が一に備えるには、日頃の対策が肝心です。

2.ECサイトが抱えるリスク

セキュリティが甘いとどうなってしまうのかを知っておくことは、ECサイト運営者にとって大切です。

サイトのセキュリティが破られ、不正アクセスを受けてしまった場合の具体的な被害内容について説明します。

2-1.【事例付き】情報漏洩に対する賠償金の支払い

ひとくちに不正アクセスといっても、被害の大きさはケースごとにさまざまです。

セキュリティが破られたことを早期に発見して水際で情報漏洩を防げることもあれば、大量の個人情報を盗み出されてしまうこともあります。

場合によっては、盗まれたクレジットカード番号を悪用され、顧客が被害を受けてしまうことも考えられます。

そのため、個人情報の漏洩には賠償責任を伴うこともあるのです。

過去の事例によると、ECサイト事業者が個人情報流出の被害にあった顧客に支払わなければならない損害賠償額は、1人あたり5000〜1万5000円程度が相場になっています。

多くの顧客を抱えていれば、その総額はかなりのものになるでしょう。

ある大手証券会社のケースでは、約5万人の顧客に1万円相当の商品券を配布した結果、賠償総額が5億円以上にもなりました。

たった1度の事件のために、ECサイトや企業そのものの存続ができなくなるほどの被害を受ける恐れがあるということです。

2-2.社会的信用の失墜

ひとたび情報漏洩を起こしてしまった企業には、信用問題がつきまといます。

なんとか損害賠償を終え、ECサイトの運営を存続できたとしても、顧客は離れてしまうかもしれません。

インターネットでショッピングを楽しむ際に、セキュリティの甘い企業に自分の個人情報を預けても構わないとは誰も思わないためです。

これまで通りに集客を続けるには、セキュリティの強化と真摯な対応が求められるでしょう。

対応が甘ければ、顧客から糾弾される恐れもあります。

さらに、取引先との関係が悪化する事態も考えられます。

情報管理が甘い企業との取引を続けていると、今後もトラブルが発生するリスクがあると思われてしまうためです。

その結果、商品の仕入れなどが滞り、ECサイトを閉鎖せざるを得なくなるケースもあるでしょう。

一度失ってしまった社会的信用を取り戻すというのは、決して簡単なことではありません。

3.【原因/改善策】そもそも個人情報漏洩はどのようにして起こるのか

ECサイトの個人情報は、なぜ流出してしまうのでしょうか。

ここでは、実際にあったケースも交えながら、情報漏洩の過程について説明します。

3-1.内部での人為的ミス

ECサイトの情報漏洩というと、外部からのサイバー攻撃によるものをイメージする人が多いのではないでしょうか。

しかし、実際には人為的ミスによるものが意外に多いという実情があります。

サイト運営に携わるスタッフなど、社内の担当者の手違いによって情報が漏れてしまうことがあるのです。

例えば、顧客情報が記録された書類を誤った相手にメールで送ってしまったり、ノートパソコンに入れたまま持ち歩いてどこかに置き忘れてしまったりといったことが考えられます。

このようなトラブルを未然に防ぐことが、企業としてセキュリティを強化していくための第一歩です。

まったく悪意がなくても情報は漏れることがあるのだと考えて、操作ミスや管理上の不手際を防ぐための仕組みを導入しましょう。

典型的な凡ミスを減らすだけでも、セキュリティを高める効果が期待できます。

3-2.意図的な犯行

情報漏洩には、もちろん悪意をもった人物が意図的に行う犯行によるものもあります。

サイバー攻撃は、なかでも典型的な例でしょう。

インターネット経由でECサイトに不正にアクセスし、そのデータベースに記録された顧客情報などを盗み出すのです。

多くのケースでは、サイトに用いられているアプリやシステムの脆弱性(セキュリティ上の欠陥)を悪用することで、正規の手順とは異なるアクセスを許してしまっています。

つまり、ECサイトにセキュリティの甘い部分があると、そこにつけ込まれて攻撃を受けてしまうのです。

また、残念なことではありますが、内部の犯行もないとはいえません。

過去には社内データベースにアクセス可能な従業員が、転売目的で顧客情報を持ち出すという悪質な事例もありました。

このようなことは、セキュリティやサイバー攻撃の知識がなくても、USBメモリひとつでできてしまいます。

セキュリティ対策は、外部・内部の両面から行う必要があるということがわかるでしょう。

4.ECサイトが行うべきセキュリティ対策

ECサイトのセキュリティが甘いと損害賠償や信用問題につながりかねないことと、実際にどのようにして情報が流出するのかについて説明してきました。

ここからは、ECサイト運営者としてどのような対策ができるのかについて紹介していきます。

4-1.プログラムの脆弱性を把握して対策をする

ECサイトに用いられるアプリやシステムは、多数のプログラムの集合体です。

そして、世界中の開発者や研究者が、それぞれのプログラムに潜む脆弱性の発見と修正に努めています。

悪意のある人物よりも先にセキュリティ上の「穴」を見つけて、悪用されないうちにふさいでしまうことが肝心なためです。

しかし、新たな脆弱性が見つかるということは、それだけ攻撃手段が増えるということでもあります。

これまで問題がないと思われていた部分でも、いつ修正が必要になるかわかりません。

そのため、サイト運営者は常に最新の情報をキャッチして、セキュリティを保つための対策を施さなければなりません。

具体的な対策は、アプリやシステムを最新版にアップデートすることです。ソフトウェアベンダーやOSベンダーが配布する更新プログラムの情報を定期的にチェックして、可能な限り最新のものを適用していきましょう。

ただし、アップデート作業中はサイトを一時停止する必要があります。

24時間営業のECサイトでは、あまり頻繁に停止することは望ましくないかもしれません。

そのため、新たに発見された脆弱性が自社サイトに関係するものかどうかを見極められるようにしておくとよいでしょう。

すぐに対応しなくても危険がないと判断される場合には、後日まとめてアップデートすればシステム停止の回数を減らすことができます。

4-2.サイトのアクセス権限を厳重に管理

ECサイトの管理画面が、誰にでも見えてしまっては大変です。

そのため、管理業務の担当者だけがアクセスできるよう、ユーザー名とパスワードでアクセス権を管理できるようになっています。

特に、パスワードは第三者に知られてしまうと大きな被害につながるため、管理を徹底すべきものです。

万が一パスワードが漏れてしまった場合にも被害を最小限に抑えられるような対策をしておくと、さらによいでしょう。

具体的には、アクセス元のパソコンを制限するという対策があります。

例えば、出先からアクセスすることがないのであれば、インターネット経由で管理画面にログインできるようにしておく必要はありません。

オフィス内のパソコンからしか管理画面を表示できないように、制限をかけてしまうとよいでしょう。

これにはいくつかの方法がありますが、IPアドレスで制限をかけるのが比較的簡単で効果的です。

また、管理画面のユーザーが複数人いる場合には、業務内容の違いによって権限を変えるのも有効な対策です。

各自が必要な情報にのみアクセス権を設定すれば、必要最小限の人物しか重要情報にアクセスできなくなるため、セキュリティが向上します。

4-3.ASPのショッピングカートを利用

ショッピングカートはECサイトに欠かせないものであると同時に、セキュリティ面の注意が特に必要な部分でもあります。

銀行口座やクレジットカード番号などの支払情報を扱わなければならないためです。

この部分を自社で開発するのは、セキュリティ上のリスクが高い選択だといえるでしょう。

アップデートもほかの部分に悪影響が出ないよう慎重に行わなければならないため、運用面でも調査などに余計な手間がかかってしまいます。

ECサイトのセキュリティを保ちやすくするためには、ASP型のショッピングカートを検討してみるのもひとつの方法です。

一定の利用料はかかりますが、新たな脆弱性が見つかった場合のアップデート作業は専門知識をもったサービス事業者が実施してくれます。

そのため、少なくともショッピングカートの脆弱性については、ECサイト運営者が意識しなくてもよい状態になります。

「常時SSL」や「トークン決済」などに対応した、セキュリティ意識の高いサービスを選ぶとよいでしょう。

4-4.顧客の個人情報を適切な場所に保管する

顧客の個人情報は、インターネットから直接閲覧できない場所に保管しておく必要があります。

サーバーの公開フォルダなど、URLを知っていれば誰にでもアクセスできるような場所には置くべきではありません。

個人情報へのアクセスにつながるパスワードなどの管理情報や、サーバーの設定ファイルといったものについても同様の注意が必要です。

公開するものを日頃から必要最小限にとどめ、不要になったものはすぐに削除することを習慣にしておくとよいでしょう。

もし、誤って公開してしまった情報がある場合には、インターネット検索サイトに「キャッシュ」されていないか確認しましょう。

一度公開された情報は、オリジナルが削除されてもキャッシュとして残ってしまうことがあるのです。

残っていた場合には、検索サイトの運営元に事情を説明して削除してもらう措置が必要です。

4-5.セキュリティ対策サービスを吟味して導入

最新のコンピューターウイルスや未知の攻撃手法に対処するためには、セキュリティのための製品やサービスを活用することも必要です。

ECサイトのサーバーには、ファイアウォールやアンチウイルスソフトを導入しましょう。

ファイアウォールは、インターネットからの不正アクセスによるシステムへの侵入を防ぐために有効です。

Webサイト経由での侵入を阻止してくれるWebアプリケーションファイアウォール(WAF)についても、あわせて導入を検討するとよいでしょう。

アンチウイルスソフトは、コンピューターウイルスなどの不審なプログラムが万が一入り込んでしまった場合でも、それらを早期発見し被害を防ぐために有効です。

サーバーだけでなく、管理業務に使うパソコンにもそれぞれに適したものを導入しておきましょう。

4-6.他の管理者を教育する

先述したように、情報漏洩は社内のスタッフが引き起こすこともあります。本人には悪意がなくても、操作ミスなどによる情報流出も考えられます。

そのような事態を防ぐには、社内のルール作りが大切です。

重要な情報を安全に管理するための手順をマニュアル化し、ECサイト運営に関わる全員に周知・徹底しましょう。

マニュアルでは、個人情報が記録されたファイルやパソコンの扱い方を制限したり、情報漏洩につながりかねない行動を禁止したりします。

個人所有のUSBメモリを利用できないようにするなど、情報の流出を防ぐ仕組みを作っておくことも有効です。

5.フィッシング詐欺対策も

フィッシングとは、インターネットの利用者を偽物のサイトに誘導して、ユーザー名やパスワード、クレジットカード情報などを入力させ盗み取ろうとする詐欺行為のことです。

自社ECサイトの偽物が作られてしまった場合に備えて、フィッシングの手口から顧客を守るための対策をしておくとよいでしょう。

対策方法については、産業技術総合研究所の「情報セキュリティ研究センター(RCIS)」が公開しているチェックリストが参考になります。

「正規のサーバー証明書を購入してSSLを運用する」や「サービス提供者が保有するドメイン名を使う」といった具体的な方法が示されているので、一度は確認しておきましょう。

起こってからでは遅い!セキュリティ対策は万全に

ECサイトの運営には、個人情報流出などのセキュリティリスクが伴います。

場合によっては、企業の存続ができなくなるほどの大きな損害にもつながりかねません。

しかし、適切な対策を行っておけば、万が一の事態でも被害を最小限に抑えることが可能です。

安心して運営を続けるためにも、コストを惜しまず正しい知識で万全なセキュリティ対策を施すようにしましょう。

RELATED POST