ECサイト運営
ECサイトのセキュリティ対策|具体的な事故の例とあわせて解説
ECサイトの利用が広がるにつれて、セキュリティ事故の発生も年々上昇傾向にあります。EC事業者にとってセキュリティ対策は重要なテーマのひとつですが、具体的にどのような対策が有効なのか明確には把握していない方も多いのではないでしょうか。
今回は、ECサイトにおけるセキュリティ事故の例と、必要なセキュリティ対策のポイントを紹介しています。この記事を読めば、自社が実践しておくべきセキュリティ対策を把握できるでしょう。ぜひ参考にしてください。
目次
ECサイトにおけるセキュリティ事故の例
はじめに、ECサイトで実際に発生しているセキュリティ事故の例を見ていきましょう。発生件数がとくに多いセキュリティ事故のため、優先的に対策を講じるべきポイントといえます。
情報漏えい
ECサイトに多く見られるセキュリティ事故として、情報漏えいが挙げられます。とくに2016年以降、不正アクセスによる情報漏えい事故が急増しているのが特徴です。ハッキングやマルウェアの拡散など、個人情報を狙う手口は巧妙化しています。
また、2022年のセキュリティ事故件数は165件(前年比20.4%増)と、2012年以降で最多となりました。同年はセキュリティ事故の発生社数に関しても150社(前年比25.0%増)と、それまで最多だった2021年(120社)を上回っています。
出典:東京商工リサーチ
急増する情報漏えい事故への対策は、あらゆるEC事業者にとって急務と言えます。不正アクセスやハッキングのほか、メールの誤送信などヒューマンエラーが原因の情報漏えいに関しても細心の注意を払う必要があります。
クレジットカードの不正利用
クレジットカードの不正利用による被害も急増しています。2021年における全国のクレジットカード不正利用被害額は過去最高の330億円に達しました。その主因であるフィッシングの2021年の発生件数は52.7万件と、2020年比で約2.3倍となっています。
出典:経済産業省
ECサイトにおいては、クレジットカード情報を不正に入手するなどの手口により、他人名義のクレジットカードで商品を購入することが実質的にできてしまいます。3Dセキュアなどのセキュリティ強化策を講じたとしても、不正利用を100%防ぐ手立てはないのが実情です。顧客にとって安心して買い物ができる環境を整えるには、クレジットカードの不正利用に対する何らかの対策を講じる必要があるでしょう。
Webサイトの改ざん
Webサイトの改ざんとは、悪意のある第三者がWebサイトを変更し、コンテンツの書き換えやマルウェアの埋め込みなどを行うことを指します。改ざんされたWebサイトをユーザーが利用すると、入力した個人情報等を盗み出されてしまう恐れがあるのです。
「インシデント報告対応レポート」によれば、2022年7月1日〜9月30日の四半期に報告のあったWebサイト改ざん件数は695件と、前四半期の557件から25%増加しています。
具体的には、正規のWebサイトに不正にWebShellを設置し、ECサイトやメールサービスを装ったフィッシングサイトのコンテンツを設置したり、Webサイトに不審なサイトへの転送スクリプトを挿入したりする事例が複数報告されました。
ECサイトのセキュリティ対策5つ
ECサイトのセキュリティ対策を強化するには、どのような対策を講じるべきでしょうか。具体的な対策として、次の5点が挙げられます。
- セキュリティ上のリスクを把握する
- ECの構築方法にこだわる
- クレジットカード決済代行サービスを取り入れる
- 管理者のセキュリティ教育を実施する
- 脆弱性が見つかった場合の対応を決めておく
それぞれ詳しく見ていきましょう。
セキュリティ上のリスクを把握する
まずは、セキュリティ事故が発生した際に発生する可能性のある被害を理解しておくことが大切です。セキュリティ事故の種類ごとに、発生し得る被害を具体的に把握しましょう。
| セキュリティ事故の例 | 発生すると想定される被害 |
| 不正アクセス | ユーザー情報を盗み出し、ユーザーを装って不正にログインが行われる。個人情報が流出する可能性がある。 |
| クレジットカード不正利用 | 他人名義のクレジットカード情報を不正に使用し、商品を注文されてしまう。 |
| Webサイト改ざん | ECサイトを第三者が改ざんし、個人情報を盗み出すマルウェアを仕込んだり偽サイトへと誘導したりする。 |
EC事業者が受ける被害としては、クレジットカードの不正利用による注文の場合、顧客に代金を返還(チャージバック)する必要があります。この場合、事業者に対して代金が返還されないばかりか、商品も戻ってくることはありません。商品代金や発送料は損金として処理するしか手立てがないのが実情です。
ECの構築方法にこだわる
セキュリティ対策を強化するには、ASPやパッケージでECサイトを構築することをおすすめします。ベンダー側で随時アップデートやバージョンアップを図ることから、セキュリティホールへの対策を講じられます。完全にリスクを排除することはできないものの、自社でECサイトを構築するよりも比較的安心でしょう。
ライセンスフリーのオープンソースでECサイトを構築した場合、セキュリティ面で不安が残るのは否めません。維持コストがかかるとはいえ、ASPやパッケージでECサイトを構築することによって得られるセキュリティ上のメリットは決して小さくないのです。これからECサイトの構築を予定している事業者や、サイトのリニューアルを検討している事業者は、ASPやパッケージ製品の活用も視野に入れておきましょう。
クレジットカード決済代行サービスを取り入れる
クレジットカード決済代行サービスを取り入れ、決済関連のセキュリティレベルを高めるのもおすすめの対策です。カード決済の仕組みを自社で運用するには、PCI DSSの厳格な基準に準拠しなければならないなど、多大なコストがかかります。
クレジットカード決済代行会社など外部サービスを活用することで、コスト・リスク管理の両面において最適な対策を講じることができるでしょう。
【PCI DSSとは】
Payment Card Industry Data Security Standardの略。クレジットカード情報および取引情報の保護を目的として、クレジットカードの国際ブランド5社が共同で策定したグローバルセキュリティ基準。
管理者のセキュリティ教育を実施する
ECサイト管理者のセキュリティ教育を実施し、セキュリティ対策の徹底を図ることも重要です。日本ネットワークセキュリティ協会の調査によれば、情報漏えいの原因の内訳は下表の通りとなっています。
| 情報漏えいの原因 | 割合 |
| 紛失・置き忘れ | 26.2% |
| 誤操作 | 24.6% |
| 不正アクセス | 20.3% |
| 内部犯罪や内部不正行為 | 2.9% |
| 不正な情報持ち出し | 2.3% |
| バグ・セキュリティホール | 1.8% |
このように、管理者のミスや認識不足がセキュリティリスクにつながるケースは決して少なくありません。社内のセキュリティ運用ルールの整備や、社員のセキュリティ意識向上が、セキュリティ対策を講じる上で重要な要素といえるでしょう。
脆弱性が見つかった場合の対応を決めておく
ECサイトの運用システムにサイバー攻撃に対する脆弱性やバグが発見された際、どのように対応すべきかフローを決めておくことも大切です。リスクへの対応が遅れれば遅れるほど、実際にセキュリティ事故が発生する危険性は高まると捉えてください。具体的には、以下の対応フローを策定しておくことをおすすめします。
- セキュリティリスクに関する報告:報告先の部門・担当者を決めておく
- 影響範囲と対策の検討:リスクの度合いを速やかに分析し、必要な対応を検討する
- 対策の実施:対応策に沿って必要な対策を講じる
- 完了報告:セキュリティリスクの内容と講じた対応策を記録しておく
対応フローの周知徹底を図ることにより、セキュリティリスクに対する現場の意識を高める効果も期待できます。対応フローは必ず明文化し、いつでも確認できる場所に保管しておきましょう。
まとめ
ECサイトのセキュリティ事故は現在進行形で発生している問題であり、あらゆる事業者に早急な対策が求められています。セキュリティ上のリスクを把握した上で、適切な対策を講じていくことが大切です。
クレジットカードの不正利用を防ぎたい事業者様には、後払い決済サービスatone(アトネ)の導入をおすすめします。atone(アトネ)は利用時にクレジットカード情報を入力する必要がなく、SMS認証のみで利用可能です。ご利用代金は翌月の支払い期限までにコンビニでまとめてお支払いいただけます。クレジットカードの不正利用に不安を感じている消費者にも、安心して活用いただける決済方法といえるでしょう。
