03-5148-9633
ECお役立ち情報
ECノウハウ

【徹底比較】ECサイトに潜むリスクとセキュリティ対策を分かりやすく説明

サイト運用

「当社ECサイトのセキュリティは万全です!」と自信を持って言えますか?

もしも、個人情報の漏洩が起きた場合、「賠償による経済的ダメージ」や「長期的なブランド棄損」につながり、危機的状況に陥るおそれがあります。

本記事では、ECサイトに潜むリスクとセキュリティ対策について詳しく解説します。


W2は、「ECサイト/ネットショップ/通販」を始めるために必要な機能が搭載されているシステムを提供しています。 数百ショップの導入実績に基づき、ECサイト新規構築・リニューアルの際に事業者が必ず確認しているポイントや黒字転換期を算出できるシミュレーション、集客/CRM /デザインなどのノウハウを無料でダウンロードできる資料にしました。ぜひ、ご活用ください!

\成功しているEC事業者が確認している資料/ 30秒で業界No.1資料を無料ダウンロード

※本資料は上記バナーからのみダウンロードできます。

目次
  1. 01|セキュリティ強化、対策をしないECサイトは危険
  2. 02|ECサイトが抱えるリスク
    1. 2-1.【事例付き】情報漏洩に対する賠償金の支払い
    2. 2-2.社会的信用の失墜
  3. 03|【原因/改善策】そもそも個人情報漏洩はどのようにして起こるのか
    1. 3-1.内部での人為的ミス
    2. 3-2.意図的な犯行
  4. 04|ECサイトが行うべきセキュリティ対策
    1. 4-1.プログラムの脆弱性を把握して対策をする
    2. 4-2.サイトのアクセス権限を厳重に管理
    3. 4-3.ASPのショッピングカートを利用
    4. 4-4.顧客の個人情報を適切な場所に保管する
    5. 4-5.セキュリティ対策サービスを吟味して導入
    6. 4-6.他の管理者を教育する
  5. 05|フィッシング詐欺対策も
  6. 06|まとめ:起きてからでは遅い!ECサイトのセキュリティ対策は万全に

セキュリティ強化、対策をしないECサイトは危険

有名企業のWebサイトから個人情報が流出したというニュースを耳にした経験がある人も多いでしょう。

このような事件は、ECサイト運営者にとって対岸の火事ではありません。ECサイトには、不正アクセスの標的にされやすい傾向があるためです。多くのECサイトには、顧客の個人情報が保管されています。

個人情報には住所や氏名のような個人を特定できる情報のほか、銀行口座クレジットカード番号といった支払情報も含まれます。

悪意のあるハッカーは、このような情報を入手するためにECサイトを狙うのです。

この点をよく理解したうえで、セキュリティを強化していくことが重要です。

セキュリティの強化は、売り上げアップに直接つながるようなものではありません。

また、専門的で難しいものというイメージもあるでしょう。

そのため、わざわざ費用と時間を割いてまで対策するというのは、なかなか気が進まないというのが正直なところです。

しかし、自社のECサイトが標的にされたとき、不正アクセスを許してしまうと大切な顧客を危険にさらす結果にもなりかねません。万が一に備えるには、日頃の対策が肝心です。

W2のアライアンスパートナーのかっこ株式会社が配信している「ネット通販(EC)における不正注文の原因や手口|事業者ができる不正注文対策・不正検知とは?」の記事もあわせて確認することで、より深い知見が身につきます。

ECサイトが抱えるリスク

セキュリティが甘いとどうなってしまうのかを知っておくことは、ECサイト運営者にとって大切です。サイトのセキュリティが破られ、不正アクセスを受けてしまった場合の具体的な被害内容について説明します。

以下の記事では不正アクセスについて詳しく解説しています。ぜひ合わせてご覧ください。

ECサイトにおける不正アクセスとは?手口や原因と共に4つの対策方法を解説

2-1.【事例付き】情報漏洩に対する賠償金の支払い

ひとくちに不正アクセスといっても、被害の大きさはケースごとにさまざまです。

セキュリティが破られたことを早期に発見して水際で情報漏洩を防げることもあれば、大量の個人情報を盗み出されてしまうこともあります。

場合によっては、盗まれたクレジットカード番号を悪用され、顧客が被害を受けてしまうことも考えられます。

そのため、個人情報の漏洩には賠償責任を伴うこともあるのです。

過去の事例によると、ECサイト事業者が個人情報流出の被害にあった顧客に支払わなければならない損害賠償額は、1人あたり5000〜1万5000円程度が相場になっています。

多くの顧客を抱えていれば、その総額はかなりのものになるでしょう。

ある大手証券会社のケースでは、約5万人の顧客に1万円相当の商品券を配布した結果、賠償総額が5億円以上にもなりました。

たった1度の事件のために、ECサイトや企業そのものの存続ができなくなるほどの被害を受ける恐れがあるということです。

2-2.社会的信用の失墜

ひとたび情報漏洩を起こしてしまった企業には、信用問題がつきまといます。

なんとか損害賠償を終え、ECサイトの運営を存続できたとしても、顧客は離れてしまうかもしれません。

インターネットでショッピングを楽しむ際に、セキュリティの甘い企業に自分の個人情報を預けても構わないとは誰も思わないためです。

これまで通りに集客を続けるには、セキュリティの強化と真摯な対応が求められるでしょう。

対応が甘ければ、顧客から糾弾される恐れもあります。

さらに、取引先との関係が悪化する事態も考えられます。

情報管理が甘い企業との取引を続けていると、今後もトラブルが発生するリスクがあると思われてしまうためです。

その結果、商品の仕入れなどが滞り、ECサイトを閉鎖せざるを得なくなるケースもあるでしょう。

一度失ってしまった社会的信用を取り戻すというのは、決して簡単なことではありません。

【原因/改善策】そもそも個人情報漏洩はどのようにして起こるのか

ECサイトの個人情報は、なぜ流出してしまうのでしょうか。

ここでは、実際にあったケースも交えながら、情報漏洩の過程について説明します。

3-1.内部での人為的ミス

ECサイトの情報漏洩というと、外部からのサイバー攻撃によるものをイメージする人が多いのではないでしょうか。

しかし、実際には人為的ミスによるものが意外に多いという実情があります。

サイト運営に携わるスタッフなど、社内の担当者の手違いによって情報が漏れてしまうことがあるのです。

例えば、顧客情報が記録された書類を誤った相手にメールで送ってしまったり、ノートパソコンに入れたまま持ち歩いてどこかに置き忘れてしまったりといったことが考えられます。

このようなトラブルを未然に防ぐことが、企業としてセキュリティを強化していくための第一歩です。

まったく悪意がなくても情報は漏れることがあるのだと考えて、操作ミスや管理上の不手際を防ぐための仕組みを導入しましょう。

典型的な凡ミスを減らすだけでも、セキュリティを高める効果が期待できます。

3-2.意図的な犯行

情報漏洩には、もちろん悪意をもった人物が意図的に行う犯行によるものもあります。

サイバー攻撃は、なかでも典型的な例でしょう。

インターネット経由でECサイトに不正にアクセスし、そのデータベースに記録された顧客情報などを盗み出すのです。

多くのケースでは、サイトに用いられているアプリやシステムの脆弱性(セキュリティ上の欠陥)を悪用することで、正規の手順とは異なるアクセスを許してしまっています。

つまり、ECサイトにセキュリティの甘い部分があると、そこにつけ込まれて攻撃を受けてしまうのです。

また、残念なことではありますが、内部の犯行もないとはいえません。

過去には社内データベースにアクセス可能な従業員が、転売目的で顧客情報を持ち出すという悪質な事例もありました。

このようなことは、セキュリティやサイバー攻撃の知識がなくても、USBメモリひとつでできてしまいます。

セキュリティ対策は、外部・内部の両面から行う必要があるということがわかるでしょう。

ECサイトが行うべきセキュリティ対策

ECサイトのセキュリティが甘いと損害賠償や信用問題につながりかねないことと、実際にどのようにして情報が流出するのかについて説明してきました。

ここからは、ECサイト運営者としてどのような対策ができるのかについて紹介していきます。

以下のお役立ち資料ではセキュリティ対策について詳しく解説しています。
ぜひ合わせてご覧ください。

4-1.プログラムの脆弱性を把握して対策をする

ECサイトに用いられるアプリやシステムは、多数のプログラムの集合体です。

そして、世界中の開発者や研究者が、それぞれのプログラムに潜む脆弱性の発見と修正に努めています。

悪意のある人物よりも先にセキュリティ上の「穴」を見つけて、悪用されないうちにふさいでしまうことが肝心なためです。

しかし、新たな脆弱性が見つかるということは、それだけ攻撃手段が増えるということでもあります。

これまで問題がないと思われていた部分でも、いつ修正が必要になるかわかりません。

そのため、サイト運営者は常に最新の情報をキャッチして、セキュリティを保つための対策を施さなければなりません。

具体的な対策は、アプリやシステムを最新版にアップデートすることです。ソフトウェアベンダーやOSベンダーが配布する更新プログラムの情報を定期的にチェックして、可能な限り最新のものを適用していきましょう。

ただし、アップデート作業中はサイトを一時停止する必要があります。

24時間営業のECサイトでは、あまり頻繁に停止することは望ましくないかもしれません。

そのため、新たに発見された脆弱性が自社サイトに関係するものかどうかを見極められるようにしておくとよいでしょう。

すぐに対応しなくても危険がないと判断される場合には、後日まとめてアップデートすればシステム停止の回数を減らすことができます。

4-2.サイトのアクセス権限を厳重に管理

ECサイトの管理画面が、誰にでも見えてしまっては大変です。

そのため、管理業務の担当者だけがアクセスできるよう、ユーザー名とパスワードでアクセス権を管理できるようになっています。

特に、パスワードは第三者に知られてしまうと大きな被害につながるため、管理を徹底すべきものです。

万が一パスワードが漏れてしまった場合にも被害を最小限に抑えられるような対策をしておくと、さらによいでしょう。

具体的には、アクセス元のパソコンを制限するという対策があります。

例えば、出先からアクセスすることがないのであれば、インターネット経由で管理画面にログインできるようにしておく必要はありません。

オフィス内のパソコンからしか管理画面を表示できないように、制限をかけてしまうとよいでしょう。

これにはいくつかの方法がありますが、IPアドレスで制限をかけるのが比較的簡単で効果的です。

また、管理画面のユーザーが複数人いる場合には、業務内容の違いによって権限を変えるのも有効な対策です。

各自が必要な情報にのみアクセス権を設定すれば、必要最小限の人物しか重要情報にアクセスできなくなるため、セキュリティが向上します。

4-3.ASPのショッピングカートを利用

ショッピングカートはECサイトに欠かせないものであると同時に、セキュリティ面の注意が特に必要な部分でもあります。

銀行口座やクレジットカード番号などの支払情報を扱わなければならないためです。

この部分を自社で開発するのは、セキュリティ上のリスクが高い選択だといえるでしょう。

アップデートもほかの部分に悪影響が出ないよう慎重に行わなければならないため、運用面でも調査などに余計な手間がかかってしまいます。

ECサイトのセキュリティを保ちやすくするためには、ASP型のショッピングカートを検討してみるのもひとつの方法です。

一定の利用料はかかりますが、新たな脆弱性が見つかった場合のアップデート作業は専門知識をもったサービス事業者が実施してくれます。

そのため、少なくともショッピングカートの脆弱性については、ECサイト運営者が意識しなくてもよい状態になります。

「常時SSL」「トークン決済」などに対応した、セキュリティ意識の高いサービスを選ぶとよいでしょう。

W2のアライアンスパートナーのかっこ株式会社が配信している「ECサイト開設・運営の失敗例7つと4つの注意点」の記事もあわせて確認することで、ECサイト構築する際の注意点についてより深い知見が身につきます。

4-4.顧客の個人情報を適切な場所に保管する

顧客の個人情報は、インターネットから直接閲覧できない場所に保管しておく必要があります。

サーバーの公開フォルダなど、URLを知っていれば誰にでもアクセスできるような場所には置くべきではありません。

個人情報へのアクセスにつながるパスワードなどの管理情報や、サーバーの設定ファイルといったものについても同様の注意が必要です。

公開するものを日頃から必要最小限にとどめ、不要になったものはすぐに削除することを習慣にしておくとよいでしょう。

もし、誤って公開してしまった情報がある場合には、インターネット検索サイトに「キャッシュ」されていないか確認しましょう。

一度公開された情報は、オリジナルが削除されてもキャッシュとして残ってしまうことがあるのです。

残っていた場合には、検索サイトの運営元に事情を説明して削除してもらう措置が必要です。

4-5.セキュリティ対策サービスを吟味して導入

最新のコンピューターウイルスや未知の攻撃手法に対処するためには、セキュリティのための製品やサービスを活用することも必要です。

ECサイトのサーバーには、ファイアウォールアンチウイルスソフトを導入しましょう。

ファイアウォールは、インターネットからの不正アクセスによるシステムへの侵入を防ぐために有効です。

Webサイト経由での侵入を阻止してくれるWebアプリケーションファイアウォール(WAF)についても、あわせて導入を検討するとよいでしょう。

アンチウイルスソフトは、コンピューターウイルスなどの不審なプログラムが万が一入り込んでしまった場合でも、それらを早期発見し被害を防ぐために有効です。

サーバーだけでなく、管理業務に使うパソコンにもそれぞれに適したものを導入しておきましょう。

4-6.他の管理者を教育する

先述したように、情報漏洩は社内のスタッフが引き起こすこともあります。本人には悪意がなくても、操作ミスなどによる情報流出も考えられます。

そのような事態を防ぐには、社内のルール作りが大切です。

重要な情報を安全に管理するための手順をマニュアル化し、ECサイト運営に関わる全員に周知・徹底しましょう。

マニュアルでは、個人情報が記録されたファイルやパソコンの扱い方を制限したり、情報漏洩につながりかねない行動を禁止したりします。

個人所有のUSBメモリを利用できないようにするなど、情報の流出を防ぐ仕組みを作っておくことも有効です。

フィッシング詐欺対策も

フィッシングとは、インターネットの利用者を偽物のサイトに誘導して、ユーザー名やパスワード、クレジットカード情報などを入力させ盗み取ろうとする詐欺行為のことです。

自社ECサイトの偽物が作られてしまった場合に備えて、フィッシングの手口から顧客を守るための対策をしておくとよいでしょう。

対策方法については、産業技術総合研究所の「情報セキュリティ研究センター(RCIS)」が公開しているチェックリストが参考になります。

「正規のサーバー証明書を購入してSSLを運用する」や「サービス提供者が保有するドメイン名を使う」といった具体的な方法が示されているので、一度は確認しておきましょう。

以下の記事ではECサイト運営に絶対不可欠のリスク対策と回避するための対処法について詳しく解説しています。
ぜひ合わせてご覧ください。
ECサイト運営に絶対不可欠のリスク対策と回避するための対処法

まとめ:起きてからでは遅い!ECサイトのセキュリティ対策は万全に

改めて、ECサイトに潜むリスクとセキュリティ対策についてまとめます。

1.ECサイトは、不正アクセスやサーバー攻撃の対象になりやすい
2.社内関係者による人為的ミスが原因であることも
3.もし事故が起きた場合、損害賠償や信用問題につながるおそれ
4.アクセス権限の管理や個人情報の適切な保管などの対策が必要

セキュリティの対策自体は、ECサイトの売上アップに直接寄与するものではありません。

ですが、対策を怠って事件が起きてしまうと、企業の存続そのものが危ぶまれる事態になってしまうおそれがあります。

万が一のことが起きないよう、日頃から対策を進めていきましょう。

とはいえ、事業者単体でできる対策には、どうしても限りがあります。カート自体のセキュリティの高さも重要となるので、ぜひカートの性能や機能についても見直しをしてみてはいかがでしょうか。

なお、「ECサイト構築しくじり事例100選」では、実際にEC事業者から聞いたECサイト構築の失敗事例100個とチェックポイントをまとめました。
資料は無料でダウンロードできるので、ぜひご一読ください。

また、セキュリティについてより詳しく知りたい方は、W2のアライアンスパートナーであるかっこ株式会社が提供しているオウンドメディア「フセラボ」をご確認ください!

\Web不正検知やセキュリティに関わる最新情報、ノウハウを配信/

売れる
ECサイト構築なら

「W2」は各業界に特化したECカートシステムを提供。
各業界の大手企業からスタートアップまで幅広く導入いただいており、
売上アップとコスト削減を同時に実現することで、お客様のEC事業拡大をサポートします。

  • サイト数の数字

    導入実績のある
    サイト数

  • 機能数の数字

    売上を上げるための
    機能数

  • 売上成長率の数字

    導入ショップ平均の
    売上成長率

  • 工数削減の数字

    業務効率化による
    工数削減

USEFUL INFORMATION

その他お役立ち情報

SEMINAR
セミナー
W2ではパートナー企業やクライアント企業をゲストにコマースを加速させるセミナーを開催しています。
2024.02.02 セミナー 【アーカイブ配信】EC事業の天井を打ち壊せ!年商1,000万から「億越え」の世界に到達するためのTIPS大公開!! 2024.01.22 セミナー 【アーカイブ配信】ここでしか聞けないECサイト構築しくじり事例を20個一挙解説 ~ 20のしくじり事例から導かれるEC成功の秘訣とは?~ 2024.01.16 セミナー ECを始めるなら? オープンソース型EC VS ASP型EC  抑えておくべき5つの検討ポイント 2024.01.15 セミナー 【アーカイブ配信】1年で売り上げ10倍!? 食品ECの新規顧客獲得施策3選! 2023.12.29 セミナー EC専業19年目のW2が2024年のECトレンドTOP3を徹底予測! 今後の最重要キーワードとは!? 2023.12.29 セミナー ECサイトを新規立ち上げたい企業が陥りがちな「3つの落とし穴」とは? 新規立ち上げを成功させるポイントも一緒に解説! 2023.12.22 セミナー 【アーカイブ配信】大手通販事業者の導入実績多数! 定期通販特化型ECプラットフォーム『W2 Repeat』紹介 2023.12.13 セミナー EC事業の天井を打ち壊せ!年商1,000万から「億越え」の世界に到達するためのTIPS大公開!! 2023.12.11 セミナー 30分でわかる! 1年で売り上げ10倍!? 食品ECの新規顧客獲得施策3選! 2023.12.08 セミナー ECの「最新鉄板施策」をまとめました! ~AIマーケティング・RPA・組織作りのTIPS大公開~
USEFUL DATA
お役立ち資料
W2ではEC構築、運用で役立つ資料を配布しています。
資料請求
W2のサービス資料をダウンロードできます。
ECサイトの新規構築~リニューアルをご検討の方はぜひご一読ください。
ご相談・お問い合わせ
お客様のEC事業における課題解決をサポートします。
お気軽にご相談ください。
お役立ち資料