見積もり
ECサイトのセキュリティ対策12選セキュリティ事故の原因も解説【2024年最新版】
ECサイトを運営しているが、社内にセキュリティに詳しい人材がいないことから、対策ができていない担当者には、下記のような悩みがあるでしょう。
「ECサイトを運営しているが、どんなセキュリティ対策が必要?」
「ECサイトのセキュリティ対策を行わないと、どのようなリスクがあるの?」
「ECサイトのセキュリティ対策のしかたを知りたい」
不正アクセスやサイバー攻撃などを受けると、サイトの停止や改ざんだけではなく、損害賠償の請求が発生する可能性もあります。しかし、これまでECサイトにおけるセキュリティ対策を行っていないと、どのように行えばよいかイメージできないでしょう。まずはECサイトでセキュリティ事故が発生する原因を把握し、対策を検討しましょう。
本記事では、ECサイトのセキュリティ事故の原因や対策を解説します。本記事を読むとECサイトに必要なセキュリティ対策がわかります。
※ECサイトのセキュリティ対策を理解したが、自社のみで対策をすることが不安なら、Web幹事にご相談ください。予算や目的をヒアリングし、最適な会社を選定します。相談料も紹介料も一切かかりません。
ECサイトのセキュリティ事故が起こる原因
ECサイトのセキュリティ対策をするなら、原因を把握するのが重要です。原因を把握できると、自社サイトの課題に適した対策を行えます。
外部からの攻撃
ECサイトのセキュリティ事故は、悪意ある第三者からの攻撃を受けることで情報漏洩が発生する可能性があります。ECサイト内のアプリやシステムの脆弱性を狙われ、攻撃を仕掛けられた結果、ウイルス感染やECサイトへの不正アクセスなどにつながるのです。外部からの攻撃を受けると、クレジットカード情報の漏洩・不正利用、個人情報漏洩などが発生してしまう可能性があります。
外部からの攻撃でセキュリティ事故になる場合、ECサイトの脆弱性対策をしていなかったり、セキュリティ対策が十分でないアプリ・システムを利用したりしているECサイトで起こりやすい傾向にあります。
関連記事:サイバー攻撃とは?攻撃者の目的・近年の動向・攻撃の種類・手口・対策を解説!
内部不正
内部不正とは、企業の従業員やその関係者によって、意図的に情報が持ち出されてしまうこと。内部不正はサイバー攻撃の知識がなくても、社内から簡単にデータを抜き出せてしまいます。例えば、従業員が自社の情報を競合他社に流出させたり、転売目的で顧客情報を流出させたりすることが挙げられます。
従業員が組織に不満を抱えている企業、社内のセキュリティポリシーが曖昧になっている企業などで起こりやすい傾向にあります。個人情報などの重要なデータが持ち出しやすい環境におかれてしまっていることで内部不正によるセキュリティ事故が発生するのです。
人的ミス
ECサイトのセキュリティ事故は、意図的なものだけでなく、従業員の人的ミスでも起こります。人的ミスには、従業員の誤操作によるデータの破損・漏洩、変更などがあげられます。例えば、顧客情報を誤った相手に送信したり、誤操作によって削除してしまうことがあるでしょう。人為的ミスは、担当者の知識・スキル不足、連絡・連携不足、疲労・不注意による見落としなどが原因で発生します。
ECサイトのセキュリティ対策12選
1961年に「割賦販売法」が制定され、割賦販売などの取引を公正にし、事業の健全な発展が図られました。その後、2018年6月1日に「改正割賦販売法」が施行され、クレジットカードを取り扱う加盟店でも「クレジットカード番号等の適切な管理」「クレジットカード番号の不正利用の防止」が義務付けられました。ECサイトでも適切なセキュリティ対策を行う必要性が高まっています。
セキュリティポリシーの策定・周知
セキュリティポリシーとは、企業や組織が情報資産を守るための方針のことです。セキュリティポリシーを策定することで、企業として「どのように情報資産を守るのか」「必要な対策」などの方針を明確にできます。従業員が「やっていいこと」「やってはいけないこと」を理解できるため、セキュリティリスクを軽減する行動を取りやすくなります。ポリシーの中でセキュリティ事故発生時の罰則を決めておくと、業務の意識が高まり、セキュリティ事故を起こす気にさせない効果も期待できるでしょう。
また、セキュリティポリシーを策定したら、従業員への周知を行い浸透させることも重要です。従業員が理解していなければ、未然にセキュリティ事故を防げません。社内ポータルサイトに掲載したり、事務所の掲示板に貼り付けたりするなど、人目につきやすい場所で発信しましょう。
セキュリティポリシーを作成するには、IPA(独立行政法人情報処理推進機構)の中小企業の情報セキュリティ対策ガイドラインや経済産業省のサイバーセキュリティ経営ガイドラインを参考にするのも1つの方法です。セキュリティポリシーは、社外に公開することも重要です。社外に公開することで「適切な情報管理を行う」ことをアピールできます。ユーザーからの信頼を獲得でき、継続的な取引につながる可能性があります。
管理画面にアクセス権限を設定
ECサイトの管理画面には、顧客情報が保管されていたり、サイトを構成する重要なデータがあるため、誰でもアクセスできてしまう環境だと、機密性が高い情報が流出する可能性があります。管理画面のアクセス権限を設定し、限られた人しかログインできないようにすると、不正アクセスによる情報漏洩の防止につながります。
また、ログインできるユーザーを限定しておくと、万が一情報漏洩した際に原因究明を早急にでき、企業の損害を最小限に抑える効果も期待できます。
アプリやシステムを最新バージョンに更新
悪意のある第三者は、ECサイトの脆弱性を狙って攻撃してくるため、ECサイトのアプリやシステムは常に最新バージョンに更新しておくようにしましょう。アプリやシステムが最新バージョンでないと、不正にECサイトにアクセスされたり、顧客の情報を盗まれたりしてしまいます。アプリやシステムの最新バージョンは、前バージョンまでに発見された脆弱性が解消されていることも多いため、最新バージョンにして、脆弱性をなくすのが効果的です。
ECサイトの運営者は、定期的にソフトウェアやOSベンダーのホームページやリリース情報を確認し、配布されている更新プログラムを適用しましょう。ただし、大規模なバージョンアップを行う時はECサイトの機能を一時的に停止させる必要があるケースもあります。週末の深夜など、利用者が少なそうな時間帯で行うのが良いでしょう。
ログイン情報・顧客情報を適切な場所で管理
管理画面のログイン情報・顧客情報は、容易にアクセスできない場所で管理しましょう。例えば、外部からアクセスできない社内ネットワークのフォルダ内で保管し、社内でもドライブにアクセス制限を行うといった対策が効果的です。
また、ユーザーのパスワード情報やサーバーの設定ファイルなどにも注意が必要です。万が一ユーザーのパスワード情報やサーバーの設定ファイルをインターネット上に公開してしまった場合、ブラウザにキャッシュされてしまい、該当時間にアクセスしたユーザーに情報が表示されるリスクがあります。Webサーバー側でキャッシュの設定を無効・削除するといった対策が必要となります。
インシデント発生時の対応フローの策定・管理者の育成
セキュリティ対策を行う際は、インシデント(事件・事故)発生時の対応フローを作成するのも効果的です。万が一セキュリティ事故が発生してしまった際に備えて、インシデント発生時の連絡先や対応手順などの対応フローを決めておくと、原因究明や被害を軽減する対応を迅速に行えるようになります。結果的に、ユーザーや企業の損害を最小限に抑えられるでしょう。
また、セキュリティ対策を行うなら、セキュリティ対策の研修を受けるといった管理者の育成も欠かせません。管理者がセキュリティに詳しいと、適切な対策の検討を行え、従業員からの問い合わせにも的確な回答ができるようになります。
関連記事:セキュリティインシデントとは?定義・種類から対策・体制づくりまでを解説!
ショッピングカートにASPカートを利用
銀行口座やクレジットカードなどの支払い情報を扱うことになるため、ECサイトではセキュリティに強いASPカートを利用しましょう。自社でショッピングカート機能を構築すると、自社で運用・保守を行ったり、セキュリティ対策を行ったりする必要があります。システムをアップデートする際は、会員登録機能やレコメンド機能など、他の機能への影響を考えなければなりません。専門知識がなければ、セキュリティを保てないでしょう。
一方でASPのショッピングカート機能には、常時SSL化(サイト全体を暗号化)や、トークン決済(クレジットカード番号を別の文字列に置き換えて決済する方法)などのセキュリティ機能が備わっています。自社でシステムの保守を行う必要がなく、専門知識がなくても、高いセキュリティレベルを担保できるでしょう。
画像引用:MakeShop
例えば、ASPのショッピングカートには「MakeShop」が挙げられます。不正注文対策や24時間監視などのセキュリティ対策を行っています。
ちなみに、どうしてもASPカートを使わずに自社でECサイトを作るなら、クレジットカード決済に「PayPal」を導入するのも1つの方法です。PayPalは海外で普及しており、越境ECで使われていることが多いです。商品を購入する際に、ECサイトでクレジットカード情報を送信せずに購入できます。顧客のセキュリティに対する心理的ハードルを下げられます。
決済代行会社に委託する
ECサイトの運営で自社内にセキュリティの知見を持つ者が1人もいない場合、決済代行会社に委託する方法もあります。決済代行会社とは、決済手段を導入したいECサイト事業者と、決済機関の間に立って審査や契約手続き、決済処置、入金などを代行してくれる会社のことです。
決済代行会社を利用すると、クレジットカードやコンビニ決済など多様な決済方法を一括で導入できます。決済方法の導入に向けた審査や契約を代行してもらえるため、決済手段を導入したい担当者の負担を軽減可能です。
WordPressならプラグインを導入する
WordPressでECサイトを構築している場合、プラグインを導入するのも効果的です。プラグインとはWordPressで利用できる拡張機能のこと。WordPressにプラグインを導入することで、ECサイトのセキュリティレベルを高められます。
具体的には、管理画面とログインページ保護に特化した「SiteGuard WP Plugin」があります。管理画面のログインページURLを変更したり、ログイン情報の入力に画像認証を追加したりすることが可能です。また、WordPressでセキュリティ対策を行う際は、以下に注意しましょう。
| 対策概要 | 目的 |
| アップデートを常に行う |
機能の追加に加えて、 ハッカー攻撃に対する脆弱性の改善が行われる |
| 不要プラグインの削除 |
プラグインを停止にしてもWordPress内にデータが保存されているため、 不要になったものは削除する |
| 管理画面のアクセスは国内のみ | 海外からの不正アクセスを防止できる |
| 2段階認証を設ける |
1段階認証よりもセキュリティ強度が高く、 ハッキングを防げる |
| 独自SSLにする |
インターネット上で情報を暗号化して送受信できる。 自社の独自ドメインでセキュアなECサイトを構築できる |
WordPressは有料CMSと違ってオープンソースなため、プログラムのソースコードが一般に公開されています。そのため、誰でもプログラムの中身を分析し、弱点を発見できてしまいます。改ざん検知システムの導入といった適切なセキュリティ対策を行って、インシデント発生を防ぎましょう。
AWSを導入する
画像引用:AWS
ECサイトの構築でサーバーを用意するなら、Amazon社提供クラウドサービス「AWS」がおすすめです。サーバーを導入する際は無料枠が用意されており、無料枠を超えた分はサービスを利用した分の料金しか請求されません。低コストでECサイトを構築する基盤の準備ができるでしょう。
また、AWSでは高いセキュリティを確保するため、セキュリティ機能の実装や厳格なコンプライアンス要件に対応し、第三者機関による検証も行っています。AWSは世界トップクラスのセキュリティ専門家が常にモニタリングしており、専門家がセキュリティサービスの構築から管理に携わっています。主なセキュリティ対策は以下の通りです。
| 対策概要 | 目的 |
| 防止 |
ユーザーのアクセス権限の管理や ID・データ保護対策などを実行してリスクを未然に防ぐ |
| 検知 |
コンピュータの動作記録・アクセス履歴などを定期的に記録する仕組みと モニタリングサービスにてセキュリティ状況を可視化して 不審な行動やアクセスを早期に検出する |
| 対応 | インシデント対応と復旧を自動化することで迅速な対応を行う |
| 修復 |
セキュリティタスクを自動化し AWS環境に生じた不備をリアルタイムで迅速に修復・保護 |
AWSを利用すると、自社の負担を軽減してセキュリティレベルを高められます。
不正アクセス検知サービス・ソフトの導入
人手のみの常駐的なサイトの監視は現実的に難しく、確認できる範囲にも限界があります。不正アクセス検知サービス・ソフトを導入すると、24時間不正アクセスやサイバー攻撃に対する防御ができます。目視よりも精度が高く、セキュリティ対策につながるでしょう。ECサイトで不正な挙動があった場合、自動で検知して知らせてくれるため、担当者が常に監視する必要がなくなります。
具体的には、企業内LANとインターネットの間に設置し外部から内部への不正な侵入を遮断・内部から外部への不正なアクセスを禁止する「ハードウェアファイアウォール」があります。また、パソコンやサーバー1台ずつにインストールして利用し、異常な通信からパソコンを守る「ソフトウェアファイアーウォール」もあります。他には、コンピュータウイルスの検出・除去を行える「ウイルス対策ソフト」もECサイトのセキュリティ対策に効果的です。
ユーザーの個人情報入力時の時間制限を設ける
なりすましを防止するため、ユーザーの個人情報入力時の時間制限を設けるのも効果的です。例えば、〇分以内に入力し終えないと、最初から入力し直すといった方法が挙げられます。なりすまし不正の中でも、ブルートフォース攻撃(総当たり攻撃)は、パスワードが一致するまで総当たりでログインを試みる方法です。入力時の時間制限を設けることで、第三者からの攻撃を防げる確率を高められるでしょう。
ユーザーの入力時に時間制限を設けると、ユーザーの利便性を損なう可能性があります。導入前に、自社の社員で入力項目を入力して、実際にかかる時間から分数を設定しましょう。
サイバー保険への加入
サイバー保険とは、サーバーリスクが起因の事故が発生した際に損害の補償をする保険のこと。セキュリティ対策を行っていても、完全にはリスクをなくせません。サイバー保険に加入すると、セキュリティ事故が発生しても自社の金銭的損害を最小限に抑えられます。ただし、セキュリティ事故を根本から防ぐことはできません。セキュリティ対策を行った上で、サイバー保険に加入しましょう。例えば、損害保険ジャパン株式会社が提供するサイバー保険は、第三者への賠償責任に関する補償・事故時や事故後の対策に必要な費用の補償などに対応しています。
※ECサイトのセキュリティ対策を理解したが、自社のみで対策をすることが不安なら、Web幹事にご相談ください。予算や目的をヒアリングし、最適な会社を選定します。相談料も紹介料も一切かかりません。
ECサイトにおけるセキュリティ事故の事例
ECサイトのセキュリティ対策を行うなら、実際の事例を参考にするのも効果的です。実際のセキュリティ事故がわかれば、自社のECサイトでも活用しやすくなります。
不正アクセス被害による会員メールアドレスの流出
2022年9月、文具通販を行う会社が運営するオンラインショップでは、システム管理委託先企業のサーバーが悪意ある第三者によるサイバー攻撃を受けたことで、サイト会員のメールアドレス最大十数万件が流出しました。
攻撃者がシステムの脆弱性を利用して、不正にシステムを操作していたことが原因です。セキュリティ事故の公表時点では、サーバーの脆弱性は修正されました。実際に流出した情報はメールアドレスのみで、氏名や住所、カード情報などは流出しませんでした。
サーバーの脆弱性を狙う攻撃者はいるので、常に最新バージョンに更新することで、脆弱性を狙われる可能性を低下させられるでしょう。
脆弱性を利用されたカード情報の流出
2022年7月、カタログギフト販売などを手がける会社が運営するECサイトは、サイバー攻撃を受けたことでカード情報最大数万件、サイト会員最大十数万名の登録情報の流出懸念を発表しました。被害の原因を調査した結果、サイトに内在していた脆弱性によるものであり、攻撃者が脆弱性を利用し、決済アプリケーションを改ざんしていたそうです。
決済情報が流出すると不正利用される可能性があり、被害が深刻化しやすくなります。本来であれば、定期的な脆弱性の調査と更新を行う必要がありました。脆弱性への対策は、ECサイト運営において欠かせません。
ECサイト運営に潜むセキュリティリスク
セキュリティ事故が発生すると、損害賠償や社会的信用の失態など、さまざまなリスクが潜んでいます。事前にセキュリティリスクを把握しておくと、被害を最小限に抑えられる対策を検討しやすくなるでしょう。
個人情報の流出で損害賠償を請求される
ECサイトにおいて個人情報を流出させてしまうと、被害者から損害賠償を請求されます。過去には5万件の個人情報流出によって、1人あたり35,000円の賠償額が発生した事例があります。損害賠償額は被害の大きさによって変動するので、情報漏洩の規模が大きいほど高額になります。
また、ECサイトのセキュリティ事故では損害賠償の他にも、原因を解消するためのサイト改修費用やセキュリティ事故の調査費用なども必要になります。総額にするとかなりの費用になるため、最悪の場合ECサイトの存続ができなくなるケースもあるでしょう。
社会的信用の失墜による顧客離れ
ECサイトでセキュリティ事故が発生すると、企業やサイトへの信用が低下し、顧客が離れる可能性が高いでしょう。また、取引先との関係も悪化する可能性があり、取引の停止になることも考えられます。その結果、売上の低下や株価の下落などが発生するかもしれません。
セキュリティ対策をしても万が一情報漏洩などが生じた際の対処法
セキュリティ対策を行っても、情報漏洩が生じる可能性をゼロにできません。万が一情報漏洩が起きた際の対処法を把握しておくと、スムーズに対処可能です。
すぐにサイトを停止して関係省庁と世間に公表
ECサイトでセキュリティ事故が発生した際は、サイトを停止しましょう。被害が起きてからそのままにしておくと、さらなる被害につながりかねません。サイトを停止して被害を最小限にします。その後、関係省庁に報告した後、世間に対してセキュリティ事故が発生した経緯や被害見込みなどを公表します。公表が遅くなると、顧客からの反発が大きくなるため、できる限り早めに行う必要があるでしょう。
セキュリティ事故の原因究明や普及が完了したら、再発防止策を講じて関係省庁と世間に再度公表します。被害に遭われた方がもう一度安心してECサイトを利用できるようにしましょう。
ECサイトのセキュリティ【まとめ】
ECサイトには顧客情報やサイトを構成する情報など、機密性が高いものが多く保管されています。安全にECサイトを運営するなら、セキュリティ対策は欠かせません。ECサイトのセキュリティ事故は、外部からの攻撃・内部不正・人的ミスから発生します。それぞれの特徴を把握することで、適切な対策を行いやすくなります。
ECサイトのセキュリティ対策は数多くあるため、自社に合わせて取り組む必要があります。本記事で紹介した対策を参考にして、自社のECサイトで実践してみてください。
※ECサイトでセキュリティ事故が発生する原因・対策を理解しても、自社のみで行うことに不安がある方もいるでしょう。その際は、Web幹事にご相談ください。予算や目的をヒアリングし、最適な会社を選定します。相談料も紹介料も一切かかりません。
コンサルタントのご紹介
岩田
Web制作会社を設立し、
3年間で上場企業を含む50社以上制作に携わらせていただきました。
様々なお客様のWeb制作を実際に行ってきましたので、
初心者の方でも安心してご相談ください!
Q. ECサイトは危険ですか?
ECサイトは顧客の個人情報(住所・氏名・クレジット番号など)を保管しているため、不正アクセスの標的になりやすく、セキュリティ対策をしていないECサイトは危険だといえます。
Q. ECサイトのセキュリティ対策には何がある?
ECサイトのセキュリティ対策として「セキュリティポリシーの策定・周知」「管理画面にアクセス権限を設定する」等が挙げられます。詳しくは記事をご覧ください。
