ECサイトでやるべきセキュリティ対策は？対策をしないリスクと5つの対策を解説

ECサイトのセキュリティ対策が重要な4つの理由

ECサイトのセキュリティ対策が重要な理由は、以下の4点です。

個人情報があるため狙われやすい

ハッカーにとって、個人情報は利用価値の高い情報になるため、ECサイトは狙われやすいです。ECサイトを利用する顧客は、氏名や住所・クレジットカードの情報を登録するため、データベースに顧客の重要な個人情報が格納されています。

自作のECサイトはオープンソースで構築されたものが多く、ハッカーは比較的容易にセキュリティホールを見つけることができます。

情報を盗むまでに手間がかからないことから、ECサイトは標的にされやすいです。

社会的信用が失墜し顧客離れが進む

自社で運営しているECサイトの情報が流出すると、社会的信用が失墜します。テレビ報道や新聞で取り上げられ、多くの人にマイナスイメージを植えつけてしまいます。

社会的信用が失墜すると、サイトを利用していた顧客が離れていくでしょう。一度失った信頼を取り戻すことは難しいです。取引先にも迷惑がかかり、上場している企業は株価が暴落することも考えられます。

損害賠償の対象になる

ECサイトから個人情報が流出すると、被害者から損害賠償を請求されることがあります。

被害の範囲が大きいほど賠償額は高額となり、ECサイトの運営ができなくなる可能性も考えられます。情報流出によって多額の賠償金が発生すると、最悪の場合廃業に至るリスクがあることを覚えておきましょう。

経済産業省がECサイトの脆弱性対策と本人認証を義務化したため

2023年1月に経済産業省が、全ECサイトに脆弱性対策と本人認証の導入を、義務化する方針を固めました。クレジットカードの不正利用が年々増え続けているためです。

2024年3月末までに、100％の導入を目指すことを検討会の報告案に盛り込んでいます。各ECサイトが脆弱性対策と本人認証の導入をしているかどうかは、カード会社が管理します。

導入していない場合は、カード会社と契約解除になる可能性があるでしょう。詳しくは、日本ネット経済新聞の「経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化」をご覧ください。

セキュリティ対策をしない場合に起こるリスク

ECサイトを運営する際には、以下のセキュリティリスクについて知る必要があります。

セキュリティ対策をしないと、自社だけではなくユーザーにも多大な不利益を与えるリスクが上がるため、おさえましょう。

クレジットカードの不正利用

ECサイトに登録されている顧客のクレジットカード情報を、第三者が不正に入手するリスクがあります。クレジットカードを利用して同一サイトにて注文する場合や、他のサイトで注文される可能性があります。

本人のなりすましは詐欺行為であり、ECサイト運営側は最大限セキュリティ対策を講じる必要があるでしょう。 「詐欺行為ができてしまうサイト」というレッテルを貼られると、ブランドに傷が付き、社会的信用を失ってしまいます。

クレジットカード不正利用の事例

鹿児島県志布志市が運営する「志布志市ふるさと納税特設サイト」で、カードの不正利用が2023年6月22日に発表されました。

不正アクセスを受けて、クレジットカード情報が910件漏洩した可能性があり、279件が不正利用されていたようです。

詳しい内容は、NHKの鹿児島 NEWS WEBの「志布志市ふるさと納税に不正アクセス ９１０件の情報漏えいか」から確認できます。

個人情報の漏洩

不正にログインされて個人情報が漏洩する、セキュリティリスクです。ECサイトにはクレジットカード情報の他にも、住所や年齢・家族構成などが含まれている場合があります。これらの情報は一度に盗み出されやすいため、悪意あるハッカーには格好のターゲットです。

ECサイトの運営に限らず、会社の存続も危ぶまれる事態になる可能性があるため、漏洩リスクの対策は最重要事項です。

個人情報の漏洩の事例

ソフトウエア製品やIT機器を販売するECサイト「ソースネクスト」で、クレジットカード情報が漏洩した事例があります。

11万2132件のクレジットカード情報が漏洩した可能性があると、2023年2月14日に公表されました。クレジットカード情報には名義人とカード番号、有効期間、セキュリティーコードが含まれていたようです。

詳しくは、日経クロステック「ソースネクストでカード情報約11万件漏洩の恐れ、ECサイトに不正アクセス」をご覧ください。

Webサイトの乗っ取り

Webサイトを乗っ取られ、サイトの中身を書き換えられてしまうリスクがあります。サイトの至るところに、隠しリンクを設置されたり、サイトを別物にされたりなど改ざんされてしまうでしょう。

ECサイトを訪れたユーザーの個人情報の漏洩につながる可能性があるため、注意しなくてはなりません。

Webサイトの乗っ取りの事例

森永製菓のECサイト「森永ダイレクトストア」で第三者がサーバーに侵入して、一部データをロックした事例があります。

氏名や住所、電話番号、生年月日、性別、メールアドレス、購入履歴が流出した可能性が浮上しました。メールアドレスが流出した可能性があるのは3,887人（ユーザーの約0.2％）であったようです。

詳細は、森永製菓の公式ホームページ「不正アクセス発生による個人情報流出の可能性のお知らせとお詫び」から確認できます。

外部からのDDoS攻撃

外部からDDoS攻撃を受けて、アクセスが集中しサーバーをパンクさせられる可能性があります。サーバーがパンクすると、サーバーがダウンしてしまいます。

ユーザーがECサイトで一切買い物ができない状態になるため、ブランドの規模や深刻度によっては社会問題になりかねません。ブランドイメージのマイナスになるでしょう。

外部からのDDoS攻撃の事例

ネット証券のカブドットコム証券では、2017年6月29日にDDoS攻撃を受け、取引サイトなどがアクセスしづらい状況になったと発表しました。

セキュリティインシデントへの対応を担う「CSIRT」を設置していたため、アクセスしづらい状況が36分間にどどまり、大きな被害にはならなかったようです。

詳しくは、日経クロステックの「カブドットコム証券にDDoS攻撃、検知から約38分後にブロック」をご覧ください。

ECサイトで実施すべき5つのセキュリティ対策

ECサイトで実施すべきセキュリティ対策は、以下のとおりです。

個人情報の漏洩対策

ECサイトに登録されている個人情報を漏洩させないためには、外部と内部の両面から対策が必要です。

外部対策｜サーバーのソフトを最新にする

外部対策とは、第三者からの不正アクセスといった、企業の外側からの脅威に対しておこなう対策を指します。ECサイトを稼働させているサーバーのOSは常に最新の状態を保つようにしましょう。

サーバーにセキュリティホールが見つかった場合、OS提供企業が最新のパッケージをリリースします。セキュリティソフトの定義ファイルを最新に維持することも、外部に向けたセキュリティ対策です。

運営プランに定期的なサーバーメンテナンスのスケジュールを組み込むことで、サーバーは常に最新の状態を維持できるでしょう。

内部対策｜閲覧権限を管理する

内部対策とは、従業員による誤操作・個人情報が入った端末や資料の置き忘れなどに対しておこなう対策を指します。

内部から個人情報が漏洩するケースが後を絶ちません。重要な情報にアクセスできるのは限られた社員のみにし、閲覧権限の正しい管理が求められます。アクセスログを残すようにして、万が一情報が流出したときに、迅速に原因追及できるよう対策を取りましょう。

クレジットカードの不正利用対策

顧客のクレジットカードが他人に不正利用されないよう、ECサイトには二段階認証の対策を施しましょう。 IDとパスワードだけでログインできる状態の場合、手当たり次第にログインを繰り返すプログラムによって、不正ログインされる可能性があります。

ECサイトのセキュリティ対策として利用されている二段階認証は、スマホで受信したワンタイムパスワードを用いてログインする方法です。

二段階認証を構築しておけば、クレジットカード情報が盗まれても同一サイトでの不正利用を防げるでしょう。

ECサイトの脆弱性対策

ECサイトに脆弱性が見つかったときの対策方法は、ルール化しておくといいでしょう。

脆弱性対策は、サーバーのバージョンアップや修正パッチの適用など、ECサイトを一時的に停止しなければならないケースが大半です。対応するタイミングや停止する時間の指標がルール化されていると、いざというときに対応が可能です。

脆弱性対策として、外部機関の検証サービスがあります。不正利用される可能性があるプログラムが含まれている場合は、情報漏洩する前に対策を取ることが可能です。

外部機関の脆弱性対策を実施しておけば、利用者の方へ安全性をアピールすることにもつながります。

不正アクセスの検知対策

不正アクセスの検知ができるサービスを利用すれば、情報が盗まれる前に対策がとれるでしょう。

例えば、不正アクセスがあったときに、一時的にサービスを停止するプログラムを組み込む方法や、管理者にメールで連絡が届く方法などがあります。自社の担当者だけではカバーできないセキュリティ対策は、外部サービスを活用すると安心です。

社内のセキュリティ教育対策

ECサイトの担当者やECサイトに関係する社員に、セキュリティ教育を実施しましょう。個人情報を扱うときには、間違った操作をしないように教育し、社内での取り扱いルールを設定します。

個人情報の流出で多いケースが、重要な情報が入ったパソコンやメディアの置き忘れです。社員に対してセキュリティ教育を定期的に実施すると、ECサイトの情報を扱う責任感とセキュリティ意識を高められるでしょう。

ECサイトのセキュリティ対策に不安の方はコンサル会社に相談

ECサイトのセキュリティ対策を自身でやるのに不安のある方は、コンサル会社に相談してみましょう。

ECサイトのコンサルから、サイト運営までワンストップサービスをおこなっている会社もあります。

以下の記事では、ECサイトに強いコンサルティング会社を紹介しています。失敗しない会社選びのポイントも解説しているため、ぜひ参考にしてください。

ECサイト向けで実績豊富なコンサルティング会社31選

まとめ

ECサイトを運営する会社は、大切なお客様の情報を預かっています。お客様に何度もリピートして利用していただくためには、ECサイトの安全性と信頼性が維持されなければなりません。

セキュリティ事故は起こってからでは遅いです。ECサイトを運営するうえで、正しくセキュリティ対策を取るようにしましょう。

「比較ビズ」では、ECサイトのセキュリティ対策について専門の業者からアドバイスを求めることができます。複数の会社に無料で相談できるのもポイントです。インターネットセキュリティ会社の選定に迷ったら、ぜひ利用してみてください。

監修者のコメント

株式会社ロードマップ

代表取締役 石川 真実

株式会社ロードマップ代表取締役。1980年岩手県奥州市出身。SEOを中心としたWEB制作から集客を行う攻めの部分と、WEBサイトのセキュリティ診断など守りのサービスをワンストップで提供。特に相談が多い誹謗中傷・風評被害対策をメインにサービス提供しており4000億売上がある企業のレピュテーションリスク予防を実施し結果を出し契約継続中。

詳しく見る

記事にあるように、外部要因と内部要因、システムやデバイスといった機器的な面と人員の面、あらゆる両面から常に脆弱性を排除し、何事もない運営を継続しなければなりません。そして、そのカギは「人」だと思います。

運用ルールの徹底と監視システムの導入、アクセス権限の設定と管理に、人員教育、セキュリティ担当者の選任などによる組織内の「人」の強化は重要です。社内全員が高いセキュリティ知識を持てば大きな資産になると思います。

当然、組織内の「人」の強化だけでは不十分です。昨今のＳＭＳ認証代行やスマートフォン決済サービスを利用した不正振替事犯が多く見られましたが、安心して利用している外部サービスやシステムも欠陥があり、また被害が広がってから改善されることも多いです。それに対応するには、事前に気づいて指摘できる人材が特に重要と思います。

ただ、そのようなハッキングスキルを組織内で育成するのは難しいので、外部に頼る必要があります。たとえば、バグ報奨金プログラムに参加するのは有効と考えます。ダークウェーブともつながり日々未知の脆弱性について研究している優秀なハッカーと関係を作り、一般に広まっていない知見が獲得できると思いますし、継続的に報奨金を支払うことにより、さらに優秀なハッカーの育成にもつながると思います。

また、周りに勧める際の理由にもなり、バグ報奨金プログラムに参加していることにより、顧客にセキュリティ面の安心感を与えて、購入の選択にもつながると思います。

執筆者

比較ビズ編集部では、BtoB向けに様々な業種の発注に役立つ情報を発信。「発注先の選び方を知りたい」「外注する際の費用相場を知りたい」といった疑問を編集部のメンバーが分かりやすく解説しています。