ECサイト構築の際に必要なセキュリティ対策は外部対策だけでない！

ECサイトを運営する上で避けて通れないのが、セキュリティリスクです。
「〇〇社のECサイトが不正アクセスを受け、数万件の個人情報が漏えい」といったニュースや報道をよく目にすることがあるでしょう。
ひと度ECサイトでセキュリティ事故を起こしてしまうと、莫大な賠償金の費用負担や、企業名が公表されて社会的信用が失墜するなど、事業者に与える被害は計り知れません。

そこで今回は、ECサイトのセキュリティリスクにはどんなものがあるか、そしてその対処法についてご紹介します。

ECサイトにおけるセキュリティリスク

なぜECサイトやオンラインショップが不正アクセスやサイバー攻撃の標的になりやすいのでしょうか？

それは、ECサイトには顧客の個人情報やクレジットカード情報など、非常に価値の高い情報が多く存在するからに他なりません。

また、サイバー攻撃の標的となる可能性があるのは大企業ばかりではありません。

むしろセキュリティ対策の甘い小規模ECサイトは、サイバー攻撃を仕掛ける攻撃者にとっては格好の餌食であり、中小企業や個人経営だからといって安心することはできないのです。

ECサイトのセキュリティリスクにはどのようなものがあるのか見ていきましょう。

情報漏えい

セキュリティ事故の大半を占めるのが、自社が保有している個人情報やクレジットカード番号が外部に流出する「情報漏えい」です。

情報漏えいの要因には「外的要因」と「内的要因」の2種類があります。

「外的要因」は、SQLインジェクションと呼ばれるプログラム上の脆弱性を狙った手口や、IDやパスワードのクラッキングによる不正ログインなどがあります。

「内的要因」は、自社社員やシステムベンダーなどの内部の人間によって引き起こされるもので、人的な管理ミスや謝操作、あるいは故意に顧客情報を盗み出そうとする者によって流出します。

Webサイトの改ざん

ハッカーなどからのサイバー攻撃によって、Webサイトの内容を書き換えられてしまうのが「Webサイトの改ざん」です。

一般にセキュリティ対策が強固と思われている政府のWebサイトですら、ハッカーの手によって改ざんされる事件が過去に何度も起こっています。

クレジットカードの不正利用

ECサイトで特に被害の多い「クレジットカード不正利用」は、第三者がクレジットカードの持ち主になりすまして商品を盗む手口です。

他人によって不正利用されたとカード会社に認定されるとその代金はサイト運営者に請求されることになり、商品が売れても売上が入ってこないという、サイト運営者にとっては深刻な問題です。

外部対策の方法

これらのリスクに対処すべく実施するのがセキュリティ対策であり、大きく分けて「外部対策」と「内部対策」の2種類があります。

「外部対策」の方法としては、Webサイトの脆弱性対策、セキュリティ診断、IPS（不正侵入防止システム）やWAF（Webアプリケーションファイアウォール）の導入などが挙げられます。

ASPやパッケージでECサイトを構築する

自社で外部対策を実施するには、セキュリティに関する知識やノウハウが必要です。またIPSやWAFの導入にはそれなりの費用もかかります。

ライセンスフリーのオープンソースでECサイトを構築している企業も多いですが、セキュリティの観点から見ると不安が残ります。

なぜなら外部対策を全て自前で実施しなければならず、セキュリティ対策のノウハウが未熟な技術者や業者が開発すると脆弱性対策が万全でないケースも多く、実際オープンソースのECサイトでのセキュリティ事故は多い傾向にあります。

その点、ASPやパッケージでECサイトを構築すれば、アップデートやバージョンアップによってセキュリティホールの対策が取られるので、セキュリティを重視するならイニシャルコストがかかってもASPやパッケージを選んだほうが安全です。

クレジットカード決済代行サービスを利用する

ECサイトの決済手段で必須とも言えるクレジットカード決済ですが、カード決済の仕組みを自社で運用するのは、PCIDSSの厳格な基準に準拠しなければならないなど、多大なコストが掛かります。

また、顧客のクレジットカード情報を自社で保有すること自体が、常に情報漏えいリスクを抱えているようなものです。

よってクレジットカード決済代行会社など外部の企業のサービスを利用するのが、コスト面でもリスクヘッジ面でも有利です。

重要なのは内部対策

どんなに万全に外部対策を行ったとしても、情報漏えいの発生を完全に防ぐことはできません。

なぜなら外部対策だけでは、内部の人間による不正などの内的要因による情報漏えいを防ぐことはできないからです。

外部対策を行うのはECサイト運営者として当然ですが、それに加えて内部対策を実施するのがセキュリティ対策では重要なことです。

内的要因による情報漏えいが7割

NPO法人の日本ネットワークセキュリティ協会による「2016年 情報セキュリティインシデントに関する調査報告書」では、情報漏えいの原因は「管理ミス（34.0％）」 「誤操作（15.6％）」「不正アクセス（14.5％）」「紛失・置き忘れ（13.0％）」「不正な情報持ち出し（6.8%）」※1となっており、内的要因によるものが実に7割近くを占めています。 

どんな内部対策が必要か？

内的要因によるセキュリティ事故を防ぐには、社内のセキュリティ運用ルールの整備や、社員のセキュリティ意識を高める教育の実施が必要です。

セキュリティ対策委員会の設置や実行計画書の作成なども有効な手段です。

またシステムのログイン履歴や操作ログを取得する仕組みを導入することで、内部による犯行を抑止し、仮に問題が発生した際にも原因追求の手助けになります。

ecbeingで強固なセキュリティ対策を

ecbeingではすべての操作ログを取得しており、管理者ごとに機能を制限する仕組みを実装することで、内的要因によるセキュリティリスクを最小限に抑えています。

またお客様の環境を操作する際にはすべての操作を動画として録画、正当な理由のない操作や不注意による誤操作を抑止し、さらに万が一の場合に対処が可能な仕組みを導入しています。

ECサイトを構築する際には、価格や機能だけでなく、セキュリティに対する意識の高さやセキュリティ対策の強固さも重視して選定するようにしましょう。

※1出典：2016年 情報セキュリティインシデントに関する調査報告書

https://www.jnsa.org/result/incident/data/2016incident_survey_ver1.2.pdf