セキュリティ事故から学ぶBtoB ECサイトのセキュリティ対策

シェア ツイート
公開日:

最近では、ニュースでよくセキュリティ事故についての話題をよく耳にします。BtoC企業の個人情報流出の話題ばかりが注目される傾向にありますが、BtoB企業のセキュリティ事故も少なくありません。セキュリティ事故が企業にもたらすダメージは大きく、企業は充分に対策をとる必要があります。そこで今回は、セキュリティ事故を起こさないためにどのような対策をとるべきか、実際の事故の事例を紹介しながら解説します。

最近では、ニュースでよくセキュリティ事故についての話題をよく耳にします。BtoC企業の個人情報流出の話題ばかりが注目される傾向にありますが、BtoB企業のセキュリティ事故も少なくありません。セキュリティ事故が企業にもたらすダメージは大きく、企業は充分に対策をとる必要があります。
そこで今回は、セキュリティ事故を起こさないためにどのような対策をとるべきか、実際の事故の事例を紹介しながら解説します。


なぜセキュリティ対策が重要か?


そもそも、なぜセキュリティ対策が必要なのでしょうか。まずはセキュリティ事故の実情と事故による影響について確認していきましょう。

具体的にどれだけ事故が起きているか

東京商工リサーチの調査によると、2022年に上場企業とその子会社が公表した個人情報の情報漏洩・紛失事故の件数は165件にのぼり、前年に比べて1.2倍増えているとのことです。同調査では、情報漏洩の原因の半数以上は「ウイルス感染・不正アクセス」であり、次いで「誤表示・誤送信」が26%、「紛失・誤廃棄」が15%を占めているとの結果も報告されています。また、業種も幅広く、製造業が最も多いものの、サービス業や情報通信業、金融保険業、小売業など、さまざまな業種で情報漏洩の事故が報告されています。これらの調査からも、情報漏洩によるセキュリティ事故が決して他人事ではないということがわかるでしょう。

参考:東京商工リサーチ
〜 2022年「上場企業の個人情報漏えい・紛失事故」調査 〜

被害の大きさ

セキュリティ事故によって企業が受ける損害は計り知れません。場合によっては、被害者・企業に賠償・補填が必要になることもあります。そうでなくても企業の信頼は低下し、イメージダウンは免れないでしょう。その結果として、既存の顧客が離れてしまう可能性も充分に考えられます。加えて、セキュリティ事故の原因がシステムの脆弱性などによるものだった場合は、システムの改修も必要になります。特にBtoB ECサイトの場合は、取引先との信頼問題につながりかねません。何らかの攻撃を受けた結果、取引先の情報まで漏洩してしまう可能性もあります。このように、セキュリティ事故の与える影響は極めて大きく、たとえ小さな事故であっても、企業は大ダメージを受けてしまうのです。そうならないためにも、セキュリティ対策は最優先で実施すべき事項だと言えるでしょう。

セキュリティ事故はどういうときに起こる?

では、具体的にどのような点を注意すればセキュリティ事故を未然に防げるのでしょうか。

どんなセキュリティ事故がある?

セキュリティ対策を実施するにあたり、まずはどのような事故が起きているのかを知っておく必要があります。セキュリティ事故とひとえに言っても、その種類はさまざまです。IPA(情報処理推進機構)は、2006年から毎年「情報セキュリティ10大脅威」と題して、実際に起きたセキュリティ事故の事案をもとに、情報セキュリティの脅威となるものを10個選定して公表しています。
2021年の調査結果をまとめた「情報セキュリティ10大脅威2022」では、もっとも大きな脅威とされる1位が「ランサムウェアによる被害」、2位が「標的型攻撃による機密情報の窃取」、3位が「サプライチェーンの弱点を悪用した攻撃」となっています。

1位のランサムウェアの被害はニュースでも大きく取り扱われており、耳にしたことのある方も多いのではないでしょうか。ランサムウェアとは、企業のネットワークに侵入し、内部のデータを勝手に暗号化した上で暗号化を戻すために身代金を要求するものです。また、ただ暗号化するだけでなく、身代金が支払われなければ情報を公開すると脅すというケースも報告されています。最近では、国内の企業や病院などのランサムウェア被害が報道され、話題になりました。

2位の標的型攻撃とは、企業や官公庁といった特定の組織を標的にした攻撃のことを指します。機密情報を窃取するため、メールにウイルスを仕込んで送付したり、改ざんしたWebサイトを用意してそのサイトに誘導することで標的のPCをウイルス感染させるという手口がよく見られます。

3位は、企業が持つサプライチェーンの脆弱な部分を狙って攻撃することで、セキュリティの強固な企業の機密情報を段階的に入手するというものです。どれだけ自社のシステムのセキュリティが強固であっても、取引先の企業からサプライチェーンを通じて機密情報が漏洩してしまうこともあり、対策が難しい攻撃として知られています。

注意が必要な場面

続いて、セキュリティ事故はどのような場面で起きうるのかについて解説していきます。
・メール送信、ファイル共有
セキュリティ事故が非常に起こりやすいのが、メールの送受信です。メールの誤送信や、BCCに追加すべき相手をCCに追加したことによる情報漏洩などの問題が起こりうるため、メール送信時は送信先に充分注意を払う必要があります。受信したメールについても、安易にリンクをクリックしたり添付ファイルを開いたりせず、送信者が信頼できる人なのかを確認することが重要です。
また最近では、Googleドライブなどを用いてクライアントとファイル共有をするといったことも増えてきました。こういったファイル共有ツールを利用する際も同様に注意が必要です。ファイルの共有相手を間違えれば、情報漏洩を起こしてしまうリスクがあることを理解したうえで利用するようにしましょう。

・書類の持ち出し
注意が必要なのはデジタルのデータだけではありません。書類の持ち出し後にその書類を紛失してしまうという事故もいまだに多く発生しています。持ち出し時のルールを厳格に定めておくのはもちろんのこと、社員一人一人が高いセキュリティの意識を持っておく必要があります。

・在宅勤務で個人用PCから仕事をする
また、最近では在宅勤務が増えたゆえの問題も発生しています。家で仕事をする際に会社のPCを使わず個人のPCを使ってしまい、そこから情報が漏洩してしまうというケースもあります。在宅勤務を認める場合は、必ずデータの取扱いに関するルールをしっかりと定めておきましょう。

実際に起きたセキュリティ事故(インシデント)の事例

ここからは、実際に起きたセキュリティ事故(インシデント)の事例を紹介します。

ケース1:アパレルECサイトへの不正アクセス

2022年5月、小規模なアパレル会社が運営するECサイトへの不正アクセスがあり、顧客のクレジットカード情報16,093件が流出したと公表しました。不正アクセスはクレジットカード決済システムの脆弱性を突いたものと見られ、被害を受けた企業は本件の対策として第三者による原因の調査やECサイトの改修などの対応に迫られたとのことです。

ケース2:アパレルECサイトへのフォームジャッキング

2件目は決済システムの脆弱性を突いたフォームジャッキングによるアパレルECサイトへの攻撃です。被害が公表されたのは2022年8月で、被害を受けたアパレル会社よれば、この攻撃で顧客122名のクレジットカード情報が流出したとのことです。フォームジャッキングとは、入力フォームが用意されているページに悪質なコードを仕掛けることで、クレジットカードなどの顧客情報を窃取する手口の攻撃のことを指します。対応を迫られた同企業はECサイトの閉鎖まで追い込まれました。

ケース3:家具ECサイトへのSQLインジェクション

2022年2月、家具販売のECサイトがSQLインジェクションを受け、顧客のメールアドレス最大10,772件と取引先のメールアドレス最大12,633件もの個人情報が流出したと公表しました。SQLインジェクションとは、アプリケーションの脆弱性により本来意図していない命令が作成されることでデータベースのデータを不正操作される攻撃を指します。同企業はWebサイトとWebサービスの安全性の再検証と開発管理体制の強化による再発防止策を実施しているとのことです。

ECサイトへのサイバー攻撃についてまとめた記事はこちら
記事を読む

BtoBのECサイトのセキュリティ対策としてすべきこと

最後に、ここまで紹介してきたようなセキュリティ事故を防ぐためにどのような対策をすべきか紹介します。BtoBのECサイトのセキュリティ対策においては、以下の4点が重要です。

ポイント1:セキュリティ事故を起こさないためのルールを策定する

まずは、セキュリティ事故を起こさないためのルールの制定です。セキュリティ対策の第一歩として、会社の情報を取り扱う際のルールを策定し、全社員に周知しておく必要があります。書類持ち出し時のルールや、在宅勤務時のPC利用のルールなど、シーン別にルールを定めておくだけでも、セキュリティ事故が起こる可能性は低くなるでしょう。また、ルール策定後はそのルールがしっかりと運用されているのか定期的にチェックすることも重要です。

ポイント2:社員のセキュリティ意識を高めるための教育を実施する

社員のセキュリティ意識の低さがセキュリティ事故を起こしてしまうこともあります。社員に向けてセキュリティ事故のおそろしさを伝え、ルールを守ることの重要性を理解してもらうこともセキュリティ対策の一つです。実際に起きたセキュリティ事故の事例を紹介するなどして、社員一人ひとりに対して高いセキュリティ意識を持ってもらうようにしましょう。なお、セキュリティ意識向上の取り組みは一度やって終わりではなく、定期的に実施することが重要です。研修などで一度セキュリティ対策の重要性を伝えたとしても、時間が経てば忘れてしまうものです。社員に高いセキュリティ意識を常に保ってもらうためにも、定期的な取り組みが求められます。

ポイント3:セキュリティ事故発生時の対応フローを事前に決め、周知する

どれだけセキュリティ対策をしていても、セキュリティ事故を100%未然に防ぐことができないのも事実です。そこで重要になってくるのが、セキュリティ事故発生時の対応を定めておくことです。事故が発生してしまった際に被害を少なくしつつ、できるだけ迅速に対応するため、事故発生時には誰が誰にどのような情報を報告するのかを事前に定めておきましょう。また、そのフローを全社員が認知していなければ、運用できているとは言えません。新人教育に組み込んだり、社内のシステムやメールなどを利用したりして全社員に対応フローを認知してもらうための工夫も必要です。

ポイント4:システム選定時には認証を取得しているベンダーを選ぶ

ここまで、具体的なセキュリティ対策を紹介してきましたが、そもそも事故が起こりにくいようなシステムを選ぶことも重要です。情報の管理やセキュリティ意識が甘いベンダーもあります。システムを選ぶ際は、「ISO27001」や「Pマーク」という認証を取得しているベンダーを選ぶようにしましょう。「ISO27001」とは、情報セキュリティに関する国際的な規格で、その組織がいかに情報セキュリティマネジメントを徹底できているのかを示すものです。「Pマーク」はプライベートマークの略称で、事業者が個人情報を適切に取り扱っているかを評価する制度のことです。いずれも認証を取得するためには、セキュリティに関するさまざまなチェック項目をクリアしている必要があり、認証を取得しているベンダーはその審査に合格していることを意味します。また、審査では書類の確認だけでなく、実際に現場で適切な運用がなされているのかのチェックなども行われます。信頼のおけるベンダーを探す際は、この2つの認証を取得しているかが基準の一つになります。

ecbeingのセキュリティ対策について

ecbeingが提供しているBtoB向けのECサイト構築パッケージでは、ネットワーク・インフラ面において多面的なセキュリティ対策を実施しています。社内でも、全操作を記録するといったセキュリティ対策を講じており、大手企業での採用実績もある信頼のできるパッケージです。

当社の製品について詳しく知りたい方は、以下のページをご確認ください。

まとめ

セキュリティ事故は決して他人事ではありません。どの会社でも起こりうることであり、その被害は計り知れないほどです。セキュリティ対策は、会社として優先的に対応すべき問題であると言えるでしょう。事故を起こさないためにも、セキュリティ対策の仕組みづくりと社員への教育を並行して進めましょう。





  

お問い合わせ・資料請求

お電話でのお問い合わせ

03-3486-2631
営業時間:9:00〜19:00