ECサイトのセキュリティ対策が必要なのは脆弱性攻撃だけではない!

ECサイトのセキュリティを高める

更新日:2017年11月13日 | 公開日:2017年11月13日

近年、大手企業を中心に不正アクセスなどサイバー攻撃によるwebサイトの改ざん、乗っ取り、個人情報の流出といった事件が後を絶ちません。

とりわけ個人情報の流出は社会的な影響も大きく、仮にそのようなトラブルが起これば、顧客離れはもちろんのこと、企業価値の低下、信頼の失墜は免れないでしょう。
特にECサイトでは死活問題にもつながりかねません。

このような「事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故」のことを「セキュリティインシデント」と言います。

サイバー攻撃は絶えず新たな方法が登場し、多様化しています。
また、セキュリティインシデントは外部からの攻撃だけによって発生するものではありません。


それではセキュリティインシデントに対して、ECサイトの運営側である企業や店舗はどのような対策を取ればよいのでしょうか?

この記事では、最近のセキュリティ事故の事例を紹介するとともに、ECサイトの現状や今後有効なセキュリティ対策を講じていくためのポイントについて解説していきます。

1. なぜECサイトのセキュリティ対策が必要なのか?

ECサイトのセキュリティ対策を万全にする

1-1 個人情報の保護・管理のため

ECサイトでは「名前」や「住所」「電話番号」などの個人情報の取り扱いが不可欠です。
このため、最も多いセキュリティインシデントも個人情報の流出です。

ECサイトは基本的に、個人情報をデータベース化して管理しているだけに、ファイルを持ち出されれば大量の個人情報が流出してしまいます。

特に、決済のために扱っているクレジットカード情報(カード番号、カード名義、有効期限、セキュリティコード)が流出すると、クレジットカードの不正使用など、被害を拡大させる可能性があります。

1-2 企業価値の維持とリスクヘッジのため

(1)社会的信用の失墜

個人情報が流出、漏えいしてしまった場合は、いつどこで、誰にどのように使われるかまったく分かりません。
悪用されてしまう可能性も大いにあります。
また、webサイトの改ざん・乗っ取りでは、不正なコード(命令)を埋め込むことでユーザーを不正なサイトに誘導して個人情報を入力させたり、ユーザーのパソコンにウイルスを送り込んだりする被害が考えられます。

いずれにしても、企業価値やブランドイメージ、社会的信用などさまざまな面でダメージを受ける可能性が高いと言えるでしょう。

一度失ってしまった信用を取り戻すことは並大抵のことではなく、相当な時間や労力、忍耐が必要となり、場合によっては企業の存続に関わる重大な事態にもなりかねません。

(2)金銭的損害の発生

セキュリティインシデントが発生すると、被害の可能性があるユーザーへの告知や問い合わせ対応、被害状況や原因究明をするための第三者機関などによる調査・検証、システムの修復ための費用などが最低限発生します。
システム修復のための費用は被害の程度にもよりますが、セキュリティ機能を強化した上で、データもすべて作り直すとなると、新規にシステムを構築するのと同等かそれ以上の費用がかかってしまいます。

また、過去には個人情報漏えいの事件で、被害者がサイト運営者である企業に対して多額の損害賠償請求をした例もあります。

さらに、対策を講じるまでECサイトでの営業は停止せざるを得ませんから、その期間分の逸失利益が発生します。ブランドイメージや社会的信用の低下、風評被害などが発生すれば、さらに売り上げが減少する可能性もあります。

2. webサイトのセキュリティ被害事例

webサイトのセキュリティ被害実例を知る

2-1 セキュリティ被害の種類

セキュリティインシデントによる被害は、大きく次の3種類に分けることができます。

セキュリティ被害の種類
  • データの破壊、改ざん、流出
    具体的な影響としては、個人情報(社員、ユーザー)の流出、経営情報の漏えい、製品情報の改ざんなどが考えられます。
  • コンピューター資源の盗用
    具体的な影響としては、ウイルスの転送、なりすまし、架空の費用請求などが考えられます。
  • サービスの妨害
    具体的な影響としては、サイトが閲覧できない、サービス機能の停止などが考えられます。

特にECサイトは価格情報の改ざんに対して警戒をする必要があります。
気付かないところで商品があり得ないほどの低価格で改ざんをされたまま取引されてしまったことで、大きな損害を被ってしまった企業もあります。

2-2 セキュリティ被害の事例

次に実際にどのようなセキュリティ被害が発生しているのかを見てみましょう。なお、年月は公表された時期を記載しています。

セキュリティ被害の事例
  • 2015年7月「タミヤショップオンライン」
    プラモデルなどの模型販売を展開するタミヤのオンラインショップで、登録者最大10万2,891件のほか、同社ショールームの見学を予約した顧客最大3,824件などの個人情報が漏えいした可能性を公表。
    漏えいした可能性のある個人情報は「氏名」「住所」「郵便番号」「電話番号」「メールアドレス」などで、クレジットカード・決済情報は含まれていない。
  • 2016年1月:「日産自動車」
    日産自動車と全国のグループ販社の公式webサイトが、サイバー攻撃を受け負荷が重くなったためサービスを停止し、サイトにアクセスできない状態になる。
    国際的ハッカー集団「アノニマス」を自称するアカウントから攻撃声明が出された。
  • 2016年3月:「グリコネットショップ」
    菓子や飲料を取り扱うオンラインショップ「グリコネットショップ」が不正アクセスを受け、顧客情報が外部へ流出したと公表。
    漏えいした可能性のある個人情報は最大8万3,000件の「氏名」「住所」「電話番号」「メールアドレス」などで、このうち約4万4,000件については「クレジットカード情報(番号、有効期限、カード名義)」も含まれる。
  • 2016年6月:「NET ViVi Coordinate Collection」
    講談社が発行する女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」のサーバーに対し、外部からの不正アクセスがあり、個人情報が外部へ流出したと公表。
    流出した個人情報は会員約1万1,000人分の「氏名」「住所」「メールアドレス」「電話番号」などで、クレジットカード情報は含まれていない。
  • 2016年12月:「IPSA オンラインショップ」
    資生堂の子会社で化粧品の開発、販売を手がける「イプサ」のサーバーが不正アクセスを受け、同社のオンラインショップへ登録している顧客の個人情報約42万件(うちクレジットカード情報を含むもの約5万6,000件)が外部へ流出した可能性があると公表。
  • 2017年9月:「H&F BELX NET」
    お茶などの販売を手がけるH&F BELXの公式オンラインショップが不正アクセスを受け、最大約1,200件のクレジットカード情報(カード番号、カード名義、住所、有効期限、セキュリティコード)が、外部へ流出した可能性があると公表。
  • 2017年8月:「Genesis-EC」
    ジェネシス・イーシーが提供するECサイト構築パッケージ「Genesis-EC」のサーバーが不正アクセスを受け、同システムを導入している複数サイトにおいて、最大9,458件のクレジットカード情報(クレジットカード番号、有効期限、セキュリティコード)が外部へ流出した可能性を公表。
  • 2017年10月:通信販売サイト「フルッタフルッタオンラインショップ」
    アサイーをはじめ、食品を取り扱う通信販売サイト「フルッタフルッタオンラインショップ」のサーバーが不正アクセスを受け、最大627人のクレジットカード情報(氏名、住所、クレジットカード番号、有効期限、セキュリティコード)が流出した可能性を公表。

3. ECサイトにおけるセキュリティインシデントの主な要因とは?

セキュリティインシデントの要因を調査する

3-1 企業におけるECサイトのセキュリティ実態

PCやインターネット用のセキュリティ関連製品の開発と販売を行っている、トレンドマイクロ株式会社の「企業におけるECサイトのセキュリティ実態調査 2016」によると、「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことがあるか」との質問に49.1%(304名 / 619名)が「受けたことがある」と回答しました。

さらに過去1年以内にサイバー攻撃を「受けたことがある」と回答した304名の7割を超える227名が、サイバー攻撃の結果が実害につながったと回答しました。

しかし、そのような状況にも関わらず、インターネットを通じて外部に公開するサーバーのOSや運用で広く活用されているミドルウェアの脆弱性を狙った攻撃に対して有効な対策となるシステムを導入している企業は決して多いとは言えないのが実情です。
回答を見ると17.1%(106名)が「未導入」で、「導入しているか分からない」(20.5%)を合わせると4割近くが未導入や不明確という状況です。

3-2 セキュリティインシデントが発生する外的要因

ECサイトがサイバー攻撃に狙われやすい要因は、大きく2つが考えられます。

1つはクレジットカード情報など「価値の高い個人情報」の宝庫であることです。リスト売買やクレジットカードの不正使用など、金銭目的でサイバー攻撃を行う者にとって魅力的な対象であることは間違いありません。

もう1つは、オープンソースのソフトウェアを使って作られているECサイトが多いことです。
オープンソースは脆弱性情報が公表されるため、攻撃側に狙われやすいと言われています。

もちろん、人気が高くユーザーの多いソフトウェアは頻繁にアップデートしていますので、きちんとこれに対応していれば基本的には問題ありません。

しかし、機能を追加するプラグインを使うなどのカスタマイズをしていると、アップデートしたバージョンではその部分が正常に動作しない恐れがあります。
カスタマイズした部分まで修正するとなると、作業量が増え費用もかかるため、機能優先で古いバージョンを使い続けてしまうことが少なくありません。

また、制作会社などに定期的なメンテナンスを依頼しないで、自社で運用している場合にはアップデートを見過ごしている場合もあります。
このような理由で新たに発表された脆弱性に対応していないサイトは、無防備でサイバー攻撃者の格好のターゲットになってしまいます。

3-3 セキュリティインシデントが発生する内的要因

セキュリティインシデントは、不正アクセスなど外部からのサイバー攻撃によるものと考えがちです。
しかし、内部でのセキュリティ対策に対する意識の低さや管理ミス、誤操作などにより起きているものも少なくないのです。

ECサイトに絞ったものではありませんが、NPO法人の日本ネットワークセキュリティ協会がまとめた「2016年 情報セキュリティインシデントに関する調査報告書」によると、「情報漏えい」の原因として最も多かったのは「管理ミス」で34.0%、 以下「誤操作(15.6%)」「不正アクセス(14.5%)」「紛失・置き忘れ(13.0%)」と続き、内部の人為的なミスや過失によるものが全体の60%以上を占めています。

4. ECサイトで徹底したいセキュリティ対策

ECサイトのセキュリティ対策を行う

4-1 管理ページやパスワードなどを厳重に管理する

サイトの管理画面は情報を扱う上でも特に重要なページとなるので、厳重に管理しなければなりません。
IDやパスワードは英数字・記号を混ぜた複雑で推測されにくいものにした上で、定期的に変更するようにしましょう。
事前に登録した機器からしかアクセスできないIPアドレス認証と組み合わせると、より有効です。

4-2 必ず最新バージョンにアップデートする

ECシステムを構成するOSやミドルウェア、アプリケーションなどは不具合やセキュリティに関するアップデートを随時行っているので、必ず最新バージョンを使うようにしましょう。
古いバージョンを使い続けることは、「セキュリティリスクを高めるだけ=会社に損害を及ぼす可能性大」であることを肝に銘じてください。

4-3 社内のルール化と社員への教育を徹底する

「3-3 セキュリティインシデントが発生する内的要因」でも解説したように、セキュリティ被害の多くは、意識の低さや管理ミス、誤操作など人為的な内部的要因によるものです。
「紛失・置き忘れ」や「誤操作」「管理ミス」などを防ぐためには、社内での管理ルールを明確にし、社員や店舗スタッフへの教育を徹底させることが不可欠です。

4-4 セキュリティソフトを使う

今やセキュリティ対策ソフトは、ウイルス対策だけではなく、「脆弱性対策」を強化しているものが増えてきました。
機能や価格に応じてさまざまな種類があるので、対策したい項目の優先度や目的、予算などに合わせて選ぶようにしましょう。

4-5 専門会社に依頼する

より強固なセキュリティ対策を考えるならば、webサイトやネットワークそのものをもっとセキュアな(危険がない)状態に設定・運用・防衛していくことです。

その場合は、セキュリティ対策を専門にしている会社などに依頼することをおすすめします。
セキュリティ対策が専門の会社では、脆弱性などの細かなセキュリティ診断を行い、それらに基づいた具体的なアドバイスもしてくれます。

また、セキュリティソフトを開発・提供している制作会社でも同じようなサポートサービスを行っているところもあります。

4-6 クレジットカード決済環境の整備

2017年3月8日にクレジット取引セキュリティ対策協議会から、クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画 2017」が発表されました。

その内容は、ECサイトの運営企業やクレジットカード決済可能なコールセンターがある通販事業を運営する企業は、「2018年3月までに『クレジットカード情報の非保持化』、もしくは『PCIDSSに準拠する』のいずれかの対策を講じること」で、クレジットカード情報の適切な管理を義務付けるというものです。

「PCIDSSへの準拠」は、専門知識を持つコンサルタントなどの指導を受けて大幅にシステムを改修する必要があり、多大なコストがかかります。
したがって、多くのEC事業者にとって現実的な対応は「クレジットカード情報の非保持化」になると考えられます。

「クレジットカード情報の非保持化」とは、EC事業者の保有する機器やネットワークにおいてカード情報が「保存」「処理」「通過」のいずれもがなされないことを指します。

「クレジットカードの情報を保存したり処理したりしないでどうやって決済するのだろう」と思うかもしれませんが、心配することはありません。
決済代行会社などが対応した複数のシステムを用意していますので、そのなかから自社の状況にあったものを選べばいいのです。

対応しない場合には、カード決済ができなくなる可能性があるので早急に対応するようにしてください。

5. まとめ

専門会社の力を借りてセキュアなECサイトを作る

この記事では、ECサイトでセキュリティ対策が必要な理由を確認した上で、最近のセキュリティ事故の事例を紹介し、さらにECサイトのセキュリティ対応の現状や今後有効な対策を講じていくためのポイントについて解説しました。

たった1回の個人情報の流出、情報漏えいが、企業のブランドイメージの下落、社会的信用の失墜など、企業存続にも関わる重大な局面を招きかねないことがお分かりいただけたと思います。

記事でも紹介したように、セキュリティインシデントの多くは、実は内部の意識の不徹底や管理体制の不備によって発生しています。
これは、ほんの少しだけ“セキュリティへの意識を高めるだけ”で防げるものでもあるのです。

その上で、専門会社の力を借りるなどして、外部からのサイバー攻撃にも十分に対応できるセキュアなECサイトを作るようにしていくべきでしょう。

「中小企業のセキュリティ対策の実情に詳しくて実績のある専門会社を探している」「セキュリティ対策をイチから丁寧に一緒に進めてくれる専門会社を紹介して欲しい」という場合は、ぜひ日本最大級の発注業者比較サイト「アイミツ」をご利用ください。

「アイミツ」にはセキュリティ診断やセキュリティ対策のコンサルティングの実績がある会社が多数登録されていますので、全国のセキュリティ対策を行っている専門会社のなかから、あなたに合った業者を選定し、担当のコンシェルジュがご紹介いたします。

いま知りたいこと
コンシェルジュが解決します!

コンシェルジュサービスは
3万社以上が利用している無料の相談サービスです。

コンシェルジュ