ECサイトのセキュリティ対策が必要なのは脆弱性攻撃だけではない！【2024年最新版】

近年、大手企業を中心に不正アクセスなどサイバー攻撃によるwebサイトの改ざん、乗っ取り、個人情報の流出といった事件が後を絶ちません。

とりわけ個人情報の流出は社会的な影響も大きく、仮にそのようなトラブルが起これば、顧客離れはもちろんのこと、企業価値の低下、信頼の失墜は免れないでしょう。
特にECサイトでは死活問題にもつながりかねません。

このような「事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故」のことを「セキュリティインシデント」と言います。

サイバー攻撃は絶えず新たな方法が登場し、多様化しています。
また、セキュリティインシデントは外部からの攻撃だけによって発生するものではありません。

それではセキュリティインシデントに対して、ECサイトの運営側である企業や店舗はどのような対策を取ればよいのでしょうか？

この記事では、最近のセキュリティ事故の事例を紹介するとともに、ECサイトの現状や今後有効なセキュリティ対策を講じていくためのポイントについて解説していきます。
【関連ページ】
ECサイト制作にかかる費用・相場感や、あなたの目的別にホームページ制作会社をお探しいただけます。
ECサイト制作の費用・相場
ECサイト制作に強いホームページ制作会社一覧

ECサイトでは「名前」や「住所」「電話番号」などの個人情報の取り扱いが不可欠です。
このため、最も多いセキュリティインシデントも個人情報の流出です。

ECサイトは基本的に、個人情報をデータベース化して管理しているだけに、ファイルを持ち出されれば大量の個人情報が流出してしまいます。

特に、決済のために扱っているクレジットカード情報（カード番号、カード名義、有効期限、セキュリティコード）が流出すると、クレジットカードの不正使用など、被害を拡大させる可能性があります。

個人情報が流出、漏えいしてしまった場合は、いつどこで、誰にどのように使われるかまったく分かりません。
悪用されてしまう可能性も大いにあります。
また、webサイトの改ざん・乗っ取りでは、不正なコード（命令）を埋め込むことでユーザーを不正なサイトに誘導して個人情報を入力させたり、ユーザーのパソコンにウイルスを送り込んだりする被害が考えられます。

いずれにしても、企業価値やブランドイメージ、社会的信用などさまざまな面でダメージを受ける可能性が高いと言えるでしょう。

一度失ってしまった信用を取り戻すことは並大抵のことではなく、相当な時間や労力、忍耐が必要となり、場合によっては企業の存続に関わる重大な事態にもなりかねません。

セキュリティインシデントが発生すると、被害の可能性があるユーザーへの告知や問い合わせ対応、被害状況や原因究明をするための第三者機関などによる調査・検証、システムの修復ための費用などが最低限発生します。
システム修復のための費用は被害の程度にもよりますが、セキュリティ機能を強化した上で、データもすべて作り直すとなると、新規にシステムを構築するのと同等かそれ以上の費用がかかってしまいます。

また、過去には個人情報漏えいの事件で、被害者がサイト運営者である企業に対して多額の損害賠償請求をした例もあります。

さらに、対策を講じるまでECサイトでの営業は停止せざるを得ませんから、その期間分の逸失利益が発生します。ブランドイメージや社会的信用の低下、風評被害などが発生すれば、さらに売り上げが減少する可能性もあります。

セキュリティインシデントによる被害は、大きく次の３種類に分けることができます。

特にECサイトは価格情報の改ざんに対して警戒をする必要があります。
気付かないところで商品があり得ないほどの低価格で改ざんをされたまま取引されてしまったことで、大きな損害を被ってしまった企業もあります。

PCやインターネット用のセキュリティ関連製品の開発と販売を行っている、トレンドマイクロ株式会社の「企業におけるECサイトのセキュリティ実態調査 2016」によると、「自社が展開しているECサイトに対して、過去1年以内にサイバー攻撃を受けたことがあるか」との質問に49.1%（304名 / 619名）が「受けたことがある」と回答しました。

さらに過去１年以内にサイバー攻撃を「受けたことがある」と回答した304名の７割を超える227名が、サイバー攻撃の結果が実害につながったと回答しました。

しかし、そのような状況にも関わらず、インターネットを通じて外部に公開するサーバーのOSや運用で広く活用されているミドルウェアの脆弱性を狙った攻撃に対して有効な対策となるシステムを導入している企業は決して多いとは言えないのが実情です。
回答を見ると17.1%（106名）が「未導入」で、「導入しているか分からない」（20.5％）を合わせると４割近くが未導入や不明確という状況です。

ECサイトがサイバー攻撃に狙われやすい要因は、大きく２つが考えられます。

１つはクレジットカード情報など「価値の高い個人情報」の宝庫であることです。リスト売買やクレジットカードの不正使用など、金銭目的でサイバー攻撃を行う者にとって魅力的な対象であることは間違いありません。

もう１つは、オープンソースのソフトウェアを使って作られているECサイトが多いことです。
オープンソースは脆弱性情報が公表されるため、攻撃側に狙われやすいと言われています。

もちろん、人気が高くユーザーの多いソフトウェアは頻繁にアップデートしていますので、きちんとこれに対応していれば基本的には問題ありません。

しかし、機能を追加するプラグインを使うなどのカスタマイズをしていると、アップデートしたバージョンではその部分が正常に動作しない恐れがあります。
カスタマイズした部分まで修正するとなると、作業量が増え費用もかかるため、機能優先で古いバージョンを使い続けてしまうことが少なくありません。

また、制作会社などに定期的なメンテナンスを依頼しないで、自社で運用している場合にはアップデートを見過ごしている場合もあります。
このような理由で新たに発表された脆弱性に対応していないサイトは、無防備でサイバー攻撃者の格好のターゲットになってしまいます。

セキュリティインシデントは、不正アクセスなど外部からのサイバー攻撃によるものと考えがちです。
しかし、内部でのセキュリティ対策に対する意識の低さや管理ミス、誤操作などにより起きているものも少なくないのです。

ECサイトに絞ったものではありませんが、NPO法人の日本ネットワークセキュリティ協会がまとめた「2016年 情報セキュリティインシデントに関する調査報告書」によると、「情報漏えい」の原因として最も多かったのは「管理ミス」で34.0％、 以下「誤操作（15.6％）」「不正アクセス（14.5％）」「紛失・置き忘れ（13.0％）」と続き、内部の人為的なミスや過失によるものが全体の60％以上を占めています。

サイトの管理画面は情報を扱う上でも特に重要なページとなるので、厳重に管理しなければなりません。
IDやパスワードは英数字・記号を混ぜた複雑で推測されにくいものにした上で、定期的に変更するようにしましょう。
事前に登録した機器からしかアクセスできないIPアドレス認証と組み合わせると、より有効です。

ECシステムを構成するOSやミドルウェア、アプリケーションなどは不具合やセキュリティに関するアップデートを随時行っているので、必ず最新バージョンを使うようにしましょう。
古いバージョンを使い続けることは、「セキュリティリスクを高めるだけ＝会社に損害を及ぼす可能性大」であることを肝に銘じてください。

「3-3 セキュリティインシデントが発生する内的要因」でも解説したように、セキュリティ被害の多くは、意識の低さや管理ミス、誤操作など人為的な内部的要因によるものです。
「紛失・置き忘れ」や「誤操作」「管理ミス」などを防ぐためには、社内での管理ルールを明確にし、社員や店舗スタッフへの教育を徹底させることが不可欠です。

今やセキュリティ対策ソフトは、ウイルス対策だけではなく、「脆弱性対策」を強化しているものが増えてきました。
機能や価格に応じてさまざまな種類があるので、対策したい項目の優先度や目的、予算などに合わせて選ぶようにしましょう。

より強固なセキュリティ対策を考えるならば、webサイトやネットワークそのものをもっとセキュアな（危険がない）状態に設定・運用・防衛していくことです。

その場合は、セキュリティ対策を専門にしている会社などに依頼することをおすすめします。
セキュリティ対策が専門の会社では、脆弱性などの細かなセキュリティ診断を行い、それらに基づいた具体的なアドバイスもしてくれます。

また、セキュリティソフトを開発・提供している制作会社でも同じようなサポートサービスを行っているところもあります。

2017年3月8日にクレジット取引セキュリティ対策協議会から、クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画 2017」が発表されました。

その内容は、ECサイトの運営企業やクレジットカード決済可能なコールセンターがある通販事業を運営する企業は、「2018年3月までに『クレジットカード情報の非保持化』、もしくは『PCIDSSに準拠する』のいずれかの対策を講じること」で、クレジットカード情報の適切な管理を義務付けるというものです。

「PCIDSSへの準拠」は、専門知識を持つコンサルタントなどの指導を受けて大幅にシステムを改修する必要があり、多大なコストがかかります。
したがって、多くのEC事業者にとって現実的な対応は「クレジットカード情報の非保持化」になると考えられます。

「クレジットカード情報の非保持化」とは、EC事業者の保有する機器やネットワークにおいてカード情報が「保存」「処理」「通過」のいずれもがなされないことを指します。

「クレジットカードの情報を保存したり処理したりしないでどうやって決済するのだろう」と思うかもしれませんが、心配することはありません。
決済代行会社などが対応した複数のシステムを用意していますので、そのなかから自社の状況にあったものを選べばいいのです。

対応しない場合には、カード決済ができなくなる可能性があるので早急に対応するようにしてください。

この記事では、ECサイトでセキュリティ対策が必要な理由を確認した上で、最近のセキュリティ事故の事例を紹介し、さらにECサイトのセキュリティ対応の現状や今後有効な対策を講じていくためのポイントについて解説しました。

たった１回の個人情報の流出、情報漏えいが、企業のブランドイメージの下落、社会的信用の失墜など、企業存続にも関わる重大な局面を招きかねないことがお分かりいただけたと思います。

記事でも紹介したように、セキュリティインシデントの多くは、実は内部の意識の不徹底や管理体制の不備によって発生しています。
これは、ほんの少しだけ“セキュリティへの意識を高めるだけ”で防げるものでもあるのです。

その上で、専門会社の力を借りるなどして、外部からのサイバー攻撃にも十分に対応できるセキュアなECサイトを作るようにしていくべきでしょう。

「中小企業のセキュリティ対策の実情に詳しくて実績のある専門会社を探している」「セキュリティ対策をイチから丁寧に一緒に進めてくれる専門会社を紹介して欲しい」という場合は、ぜひ日本最大級の発注業者比較サイト「アイミツ」をご利用ください。

「アイミツ」にはセキュリティ診断やセキュリティ対策のコンサルティングの実績がある会社が多数登録されていますので、全国のセキュリティ対策を行っている専門会社のなかから、あなたに合った業者を選定し、担当のコンシェルジュがご紹介いたします。