ECサイトのセキュリティ対策17選!被害事例と対策の重要性も紹介
ECサイトを新たに立ち上げたいけれど、セキュリティ面が不安、という方も多いかと思います。本記事では、ECサイトを構築、運営する上でのセキュリティ対策について、セキュリティ事故が起こる原因とあわせてご紹介します。
なお、ECサイト制作会社の探し方・選び方がわからない!という方はEC幹事にお気軽にご相談ください。貴社の目的・予算に合った最適な会社を厳選してご紹介します。相談料・会社紹介料などは無料です。
ECサイトのセキュリティ対策とは
ECサイト構築・運用セキュリティガイドライン
近年は、ECサイトを狙ったサイバー攻撃が激増しています。その結果、個人情報やクレジットカードの情報が流出し、甚大な被害が出ています。
そのような昨今の状況を踏まえ、情報処理推進機構(IPA)は中小企業向けにECサイト構築・運用セキュリティガイドラインを策定しました。主な内容は以下の通りです。
画像引用:情報処理推進機構(IPA)
以降の章では、上記のガイドラインをベースに解説します。企業の実例も交えて紹介するので参考にしてもらえればと思います。
ECサイトでセキュリティ対策が重要な理由3つ
ECサイトにおいてセキュリティ対策が重要な理由を3つ紹介します。理由をしっかり理解できれば、同僚や上司に自信をもってセキュリティの重要性を説明できるでしょう。
巨額の損失を産むため
ECサイトのセキュリティが破られると、巨額の損失を産むリスクがあります。なぜなら、事故の原因が分かるまでサイトを停止しなければいけない上に、対策費用もかかるからです。
個人情報保護員会の調査によると、ECサイト停止期間中の損失が1,000万円を超えた企業は、調査対象の約4割を占めているという結果が出ています。
また、対策のために外部の調査会社へ委託した費用も100万円~500万円ほどかけている企業もあります。
このように、セキュリティ対策を疎かにすると、サイバー攻撃で莫大な損失を被るでしょう。
狙われる要素が多いため
ECサイトではクレジットカードや住所、氏名、電話番号、勤め先など攻撃者が欲しがる情報を多く扱っています。
また、オープンソースで構築しているECサイトが多いのも、狙われる要因の1つ。オープンソースとは、無償で一般公開されているプログラムのことです。自由に改変・再配布できる点で重宝されていますが、その分脆弱性が露呈するので、攻撃対象にされる傾向にあります。
自社の信用に直結するため
セキュリティ対策が不十分だと個人情報が流出したり、サービスが稼働しなくなったりします。
仮に被害が出なくても、セキュリティの甘さが世間に知れ渡れば、自社のサービスを積極的に使おうとは思わないでしょう。
強固なセキュリティを築かないと、自社の信頼は失われます。
ECサイトでセキュリティ事故が起こる原因3つ
セキュリティ事故が起こる原因が分からなければ対策を立てられません。ここでは、ECサイトでセキュリティ事故が起こる原因を3つ紹介します。
内部の不正・過失
セキュリティ事故といえば、外部からの攻撃を連想する人も多いかもしれませんが、実は自社内部に原因があるケースは少なくありません。
東京商工リサーチの調査によると、内部原因の1つであるメールの誤送信や紛失、誤廃棄は全体の41.1%という結果が出ています。
画像引用:株式会社東京商工リサーチ
内部で不正が起こる原因は次の3つです。
|
原因 |
概要 |
例 |
|
動機 |
不正を行うしかない状況に追い込まれること |
金銭的トラブル 上司のプレッシャー 一人で問題を抱え込む |
|
機会 |
不正を行いやすい環境 |
テレワークによる盗み見 |
|
正当化 |
不正を行うために 自分を納得させること |
個人のノルマ達成のため 部下、上司を守るため |
また前述の通り、不正でなくてもうっかりミスでセキュリティ事故を招くこともあります。
- 重要情報が書かれたメールの誤送信
- データベースの操作ミスによるデータの破壊
このように外部へのセキュリティ対策が整っていても、内部原因で事故が起こるケースは珍しくありません。
地震・火災などの災害
自然災害でセキュリティ事故が起こることもあります。
例えば自社にサーバーを置いていると、台風の浸水でデータが失われるかもしれません。また、災害のどさくさに紛れてパソコンやスマホなどのデバイスが盗難される可能性も考えられます。
特に近年は自然災害の規模が大きくなっており、過去には考えられなかった場所での被害も想定されます。
外部からのサイバー攻撃
サイバー攻撃も典型的なセキュリティ事故の原因です。近年はITの発展に伴い、攻撃方法も多様化しています。ここでは代表的な攻撃手法を8つ紹介します。
SQLインジェクション攻撃
画像引用:情報処理推進機構(IPA)
SQLインジェクション攻撃とは、ログイン画面や入力フォームに悪意あるコードを入力し、データベース内部に侵入するサイバー攻撃です。
成功すると、データベースに保管された機密情報(顧客のクレジットカード情報や社員情報)に不正アクセスできてしまいます。そうなれば、情報の書き換えや削除、流出など深刻な被害が想定されるでしょう。
後に詳しく説明しますが、SQLインジェクション攻撃で裁判沙汰になった事例もあります。
水飲み場攻撃
水飲み場攻撃とは、目標となる人がよく集まるサイトを改ざんして、悪意あるプログラムをダウンロードさせる攻撃です。攻撃者が水飲み場(偽サイト)にやってきた獲物を狙うことから名付けられました。
標的のみ攻撃できるようサイトが改ざんされているため、発覚までに時間を要する点が特徴です。
DoS攻撃
DoS攻撃とは、外部に公開されたサーバーに対し大量のパケット(データの単位)を送りつけて、サイトのリソースを消費させる攻撃手法です。サイトで買い物をしたくても、サイトが表示されないといった被害が想定されます。
またDDoS攻撃といわれる、複数の踏み台デバイスから同時にDoS攻撃を行う手法もあります。複数のデバイスから攻撃する分ダメージが大きく、攻撃元を特定されにくい点でも脅威です。
フィッシング
画像引用:総務省
フィッシングとは、身元を偽ってメールやSNSでコミュニケーションを取り、相手に悪意あるサイトへの誘導や個人情報の取得などを試みる手法です。
法人個人問わず広範囲の利用者がターゲットになるため注意が必要です。
ゼロデイ攻撃
ゼロデイ攻撃とは、プログラムに何らかの脆弱性が見つかった際に、開発元が修正を終える前に攻撃を仕掛ける手法。
システムの乗っ取りや不正侵入を許すような脆弱性の場合、ゼロデイ攻撃をされると対策が難しいケースが多いです。
ただし、開発元が脆弱性を発表した際には、修正完了までの暫定対策も開示している場合がほとんどです。開発元の最新情報は常にチェックしておきましょう。
総当たり攻撃
総当たり攻撃とは、パスワードを不正に入手するために、当てはまる全ての文字列を入れる手法
です。
例えば、銀行の暗証番号を知りたい場合「0000」~「9999」の全ての4ケタの数字を試すのが総当たり攻撃です。
ただし、近年はワンタイムパスワード(※)や入力回数制限などの対策で、総当たり攻撃によるセキュリティ突破は難しくなっています。
※一定時間ごとに発行されるパスワードで1度だけしか使えない
マルウェア感染
マルウェアとは、コンピューターに侵入して被害を与えるソフトウェアのことです。パスワードの不正取得やDDoS攻撃の踏み台探しなどの目的で悪用されます。
主なマルウェアは以下の通りです。
- ワーム:自己を複製して急速に感染を拡大
- トロイの木馬:安全なファイルを装って侵入後、悪意のあるプログラムを起動
- ボット:侵入したコンピューターを外部から遠隔操作
- ランサムウェア:重要なファイルを暗号化し、復旧を見返りに金銭を要求
感染経路はWebページやメール、ファイル共有ソフト、USBなど多岐に渡ります。
関連記事:マルウェアとは?種類や感染経路、兆候、被害例を解説
ソーシャルエンジニアアリング
ソーシャルエンジニアリングとは、電話やメールなどで他者から情報を引き出し、セキュリティを突破することです。例えば誘導尋問で暗証番号を聞き出す、パソコンの画面越しに個人情報を盗み見する、といった方法が挙げられます。
大きな特徴は、心理的弱点を突いていることです。多くのサイバー攻撃は技術面から攻撃を試みますが、ソーシャルエンジニアリングは人の心理的側面を利用してシステム侵入への足掛かりを作り
ます。
近年はセキュリティ技術の向上でサイバー攻撃が難しくなっているため、人の心理面を狙ったケースが増えています。
関連記事:ソーシャルエンジニアリングって何?種類や実例・対策を解説
ECサイトのセキュリティ被害事例
SQLインジェクション攻撃で2,000万円以上の損害
インテリア商材を扱う会社のECサイトがSQLインジェクション攻撃に遭い、クレジットカード情報が流出した事例です。
サイト開発を請け負ったシステム会社は、エスケープ処理(入力文字列を無効化する処理)などの対策を行わなかったため、今回の被害が発生したといわれています。
その結果、ECサイトの運営側は顧客への謝罪対応や売上げ減少などの被害に直面。セキュリティ対策が不十分だったとしてシステム会社を訴えました。裁判の結果、システム会社は2,000万円以上の損害賠償を支払うよう命じられました。
不正アクセス対策を怠り、顧客や取引先など広範囲の関係者に被害が発生した事例です。
パスワードリスト攻撃で40万件以上の顧客情報流出
カメラ販売会社のECサイトがパスワードリスト攻撃に遭い、40万件以上の顧客情報が漏洩した事例です。パスワードリスト攻撃とは、悪意ある第三者が外部で不正入手したパスワードを使って不正アクセスを試みるサイバー攻撃です。
今回の事件では、パスワードリスト攻撃で会員の氏名、住所、メールアドレスなどが第三者に閲覧された可能性があるとのこと。攻撃が判明した後、サイト運営側はログイン情報を初期化して利用者に注意喚起を促したそうです。
幸い金銭面での被害は報告されていませんが、1つ間違えるとクレジットカードの不正利用や銀行口座からの不正引き出しなど、深刻な被害が想定される事例です。
不正アクセスにより200万件以上の個人情報流出
フリマアプリサイトへの不正アクセスにより、200万件以上の個人情報が流出した事例です。外部から不正なリクエスト(データ送信や処理を要求すること)を受けてデータベースが応答し、情報が第三者に漏れた可能性があるとのことです。
運営側は不正アクセス元をブロックし、不正アクセスのヒントになりうるエラー情報のレスポンスも停止。WAFの導入や外部機関による脆弱性診断などの対策にも追われました。
本来、サイト構築時にすべき対策が後手に回り、情報流出を引き起こしてしまった事例です。
ECサイトで効果的なセキュリティ対策【構築時】
ECサイトを構築する際に効果的なセキュリティ対策を紹介します。
- サイトを最新版にアップデートする
- 脆弱性診断を受ける
- 不正アクセス対策を実施する
- ユーザー情報を適切な場所で管理する
- ユーザー情報入力時に制限時間を設ける
- データと通信を暗号化する
- セキュリティソフトをインストールする
- ASPを利用する
- WordPressのプラグインを活用する
- AWSを使う
- ECサイトのログを保管する
構築時だけでなく、既存のECサイトを安全に運用する上でも役に立ちます。
サイトを最新版にアップデートする
サイトで利用しているWebアプリやサーバーは最新版にアップデートしましょう。サイバー攻撃は常に進化しているため、昔は強固だと思われていたセキュリティでも陳腐化する恐れがあるから
です。
もしサイトのプログラムに脆弱性が発見された際には、開発元からプレスリリースがあるので、チェックしておきましょう。
またJVNで最新情報を調べるのも有効です。JVNとは、ソフトウェアの脆弱性情報がまとめられたサイトのことです。IPAとJPCERTコーディネーションセンターが共同運営しています。
画像:JVNを元に作成
セキュリティパッチ(脆弱性を修正したソフトウェア)の情報だけでなく、サイバー攻撃の回避策も提示しています。
脆弱性診断を受ける
脆弱性診断とは、サイトに欠陥や設定ミスが無いか調査する方法で、主な診断方法は以下の2つ
です。
- 診断ツールを使う
- 専門家に依頼する
診断ツールは無料で配布されているものも多いので、安価に実施できる点がメリットです。デメリットは欠陥を見逃す可能性があること。ツールは機械的に診断を進めるため、誤検出や見逃しのリスクが伴います。
より確実性を求めるなら、専門家に依頼するといいでしょう。診断の精度が高く、アフターサポートも充実しているサービスが多いです。ツールより費用は高くなりますが、今後想定されるセキュリティ被害を踏まえると、診断にお金をかけた方が安心です。
不正アクセス対策を実施する
不正アクセス対策とは文字通り、悪意ある第三者からの不正ログインやシステム侵入を防ぐ措置のことです。一口に対策といっても方法は多岐に渡るので、代表的なものを紹介します。
ファイアウォール
画像引用:総務省
ファイアウォールとは、外部から自社サイトにアクセスする際に、通過の可否を決めるシステムのこと。ネットワークと自社システムの境界に設置します。
不正アクセス対策としては典型的な方法ですが、完璧に防護できるわけではありません。例えば、メールに添付されているウイルスの検知はできません。
そのため、他の不正アクセス対策と併用することが多いです。
WAF
画像引用:Canon
WAF(Web Application Firewall)とは、Webアプリへの攻撃を防ぐファイアウォールです。
一般的なファイアウォールとの違いは、セキュリティの守備範囲が異なること。ファイアウォールは自社内部のシステムは守れますが、Webアプリのように外部に公開しているシステムまでは守り切れません。一方、WAFは外部のネットワークやアプリに配置するため、ファイアウォールよりも前段で攻撃を防御できます。
ビルに例えると、自社のフロアに不審者が辿り着く前にエントランスの守衛が侵入を防ぐイメージです。仮に自室の鍵が開いていてもWAFが警備してくれるため、サイトの脆弱性解消に時間がかかる場合でも、WAFが守ってくれます。
IPS・IDS
IPSは「不正侵入防止システム」と呼ばれ、不正侵入に対し通信を遮断することで自動的に防御するシステムです。インターネットとサーバーの間に設置しサイバー攻撃を防ぎます。
IDS「不正侵入検知システム」は不正侵入を検知・通知し、不正侵入のログを取ることが主な役割
です。
両者の違いは不正アクセスを検知した際の対応が異なること。IPSは攻撃を察知したら防御もしますが、IDSは原則検知と管理者への通知のみです。ビルに例えるとIPSは警備員でIDSは監視カメラというイメージ。
どちらが欠けてもセキュリティに穴ができるため、通常は両方を組みあわせて使用します。
そして、IPS・IDSの大きな強みはウイルスも検知できること。ファイアウォールだと防御できるのは不正アクセスのみです。しかし、IPS・IDSであればダウンロードしたデータやメールに添付されたファイルの中身まで看破できます。
関連記事:IPS・IDSとは?UTMやファイアウォールとの違いも解説
多要素認証
画像引用:長崎大学
多要素認証とは、サイトや管理画面にログインする際に2つ以上の要素でアクセスする手法です。主に使われる要素は次の3つです。
- 知識情報:秘密の質問など
- 所持情報:スマホに送られるPINコードなど
- 生体情報:指紋、顔、声など
仮に第三者にパスワードを盗み見されたり通信を傍受されたとしても、本人がいなければサイトにログインできません。
ユーザー情報を適切な場所で管理する
ユーザー情報の漏洩を防ぐためにも、サイトの管理画面には簡単にアクセスできないようにしましょう。例えば以下のような施策が有効です。
- 認証情報・ユーザー情報を社内ネットワークに保管
- 社内システムへのアクセスを規制
- Webサーバーのキャッシュの設定を無効化(もしくは削除)
顧客情報は社内ネットワークに保存し、外部からのサイバー攻撃を防げるように対策しましょう。
社外からの攻撃を防ぐだけでなく社内での対策も重要です。前章でも述べたように、セキュリティ事故の主たる要因の1つは内部不正・過失です。多要素認証や権限制御など保管先へのデータベースへのアクセスも厳しく制限しましょう。
また、ユーザーの個人情報やサーバーファイルが外部に公開されると、攻撃者にとって恰好の的になってしまいます。サーバーでキャッシュ(※)を無効化・削除するなどの措置をしましょう。
具体的な設定方法はサーバーによって異なりますが、下の画像のようにサーバー管理画面で設定できます。
画像引用:エックスサーバー
※ブラウザなどが表示したWebページの情報を一時保存する機能
ユーザー情報入力時に制限時間を設ける
フォームやログインなどへの入力時間に制限を設けるのも有効です。例えばタイムアウト機能を使うと、一定時間内にフォームを入力しなければ無効になるように設定できます。また回数制限を設ければ総当たり攻撃も弾くことができます。
ただし、入力時間と回数に制限を設ける際には適切な値を設定しましょう。制限が厳しすぎると、ユーザーの満足度を下げる恐れがあるからです。
例えば、長めの問いあわせ文を送りたいのに制限時間が5分程度だと、書き終わる前にタイムアウトしてしまう可能性があります。またパスワード入力の失敗を2回程度までしか認めなければ、利便性を大きく損なうかもしれません。
時間制限が適正かどうかは、リリース前のユーザーテストで確かめましょう。すでに運用中のサイトであれば、ユーザーの平均滞在時間から逆算するのも有効です。
データと通信を暗号化する
暗号化とは、元のデータを改変して悪意ある第三者から解読されない状態にすることです。万が一データを盗まれても、中身が分からなければ悪用されるリスクはグンと減ります。
暗号化の手法は様々ですが、おすすめの方法はサイトをSSL化すること。SSLとはデータと通信を暗号化するためのプロトコル(通信のルール)で、URLの冒頭にhttpsと表記されています。
SSL化の手順は以下の通りです。
- サーバーでSSL化できるか確認
- CSR(証明書署名要求)を作成
- SSLサーバー証明書(※)を申請・取得
- SSLサーバー証明書をインストール
- URLを「https://」へ置き換え
各ステップの詳細は利用しているサーバーに問いあわせてください。
※サイトの運営組織が実在していることを証明するもの
関連記事:暗号化とは?仕組みや方法、おすすめの暗号化ツールも紹介
セキュリティソフトをインストールする
人が常時サイトを監視しても、不正アクセスやウイルス感染を見逃す可能性はゼロではありません。また人の目で監視していると人件費の負担も大きくなります。
確実かつ低コストでサイトの安全性を高めるなら、セキュリティソフトの導入も検討しましょう。
セキュリティソフトを選ぶポイントは以下の通りです。
どれだけソフト開発側が高品質を謳っていても、第三者のお墨付きがなければ疑問が残るでしょう。AV-ComparativesやAV-TEST、SE Labsなどセキュリティ評価機関から高評価を得ているか確認しましょう。
また、ソフトだけインストールしても使い方に困ったり、万が一のトラブルに遭ったりしたらセキュリティを確保したとはいえません。「電話で問いあわせできるか」「週末でも対応してくれるか」といったサポート内容もチェックしましょう。
ASPを利用する
ASP(Application Service Provider)とは、ネットワークを介してアプリを提供するサービスのことです。
ASPのメリットは自社でセキュリティ対策する必要が無い点。以下のような機能が標準装備されているからです。
- SSL対応:サイトそのものを暗号化
- トークン決済:クレジットカードの情報を別の文字列に置き換えて決済
- 3Dセキュア2.0:クレジットカード決済時に本人であることを認証するサービス
- 不正注文検知:チャージバック(※)や未払い等の不正注文を見抜く
アップデートもASP側が行ってくれるため、自社でセキュリティを気にすることなくサイト運営に集中できます。
※消費者が決済に同意しない際にクレジットカード会社が売上を取り消して返金すること
WordPressのプラグインを活用する
WordPressとは、無料でWebサイトを構築できるツールでECサイト制作でも利用されています。
WordPressでECサイトを運営するなら、プラグインを活用してセキュリティ対策しましょう。プラグインとはWordPressをより便利にするための拡張機能で、セキュリティに特化したプラグインも豊富です。
なお、プラグインを使う際には以下の2点に注意してください。
- プラグインはインストールしすぎない
- 常時更新されているものを使う
プラグインは便利な機能ですが、大量にインストールするとサイトの表示速度が遅くなる、プラグイン同士競合して不具合を起こす、といった弊害が発生します。
筆者もWordPressでメディア運営をしていますが、プラグインを大量導入した影響で、デザインやスマホの表示が崩れるなどのトラブルが起こりました。
また、プラグインは常時更新されているものを使いましょう。サイバー攻撃は日々進化しているため、プラグインのアップデートが遅いとセキュリティを突破される恐れがあります。
AWSを使う
画像引用:AWS
AWSとはAmazonが提供しているクラウドサービスで、セキュリティも世界トップクラスのレベルを誇ります。主な特徴は以下の通りです。
- セキュリティタスクの自動化でヒューマンエラーを防止
- 安全性が保証された施設を離れる前にデータを暗号化
- 金融、政府などの数千件におよぶグローバルコンプライアンス要件を定期的に検証
またAWSは従量課金制(使ったリソース分だけ料金が発生するシステム)を採用しているため、コスト面でも重宝する企業が増えています。
「コスパよくセキュリティの高いサーバーを使いたい」という企業にAWSはおすすめです。
ECサイトのログを保管する
不正アクセスやマルウェアの感染などによりセキュリティ事故が発生したら、少しでも早く原因を究明できるようにログを残しておきましょう。
主に残すログは以下のようなものです。
- ファイアーウォールを通過・拒否された通信
- IDS・IPSが監視した通信
- サイトの認証の成功・失敗
- サーバへのアクセス
- Webサーバがユーザーから受け取った入力内容
- アプリケーションが出力する処理結果の正常終了、異常終了
なお、ログを取る際には保存期間を決めましょう。ずっとログを残しておくと管理が煩雑になったり、サーバーの処理能力が低下したりするからです。企業にもよりますが、保存期間は概ね1年が目安です。
ECサイトで効果的なセキュリティ対策【運用時】
セキュリティポリシーを策定する
セキュリティポリシーとは、企業がセキュリティ対策をする際のルールや行動指針です。以下のようなことを具体化します。
- どのような資産をどの脅威から守るか
- セキュリテを守るための組織体制・規定の運用法など
セキュリティポリシーを策定すれば、やってはいけないことが明確になるため、内部不正のリスクを低減できます。
なお、セキュリティポリシーを策定する際には次の2点に注意しましょう。
セキュリティポリシーを策定したら、社内の周知を忘れないでください。ルールが完璧でも、従業員が知らなければ意味がありません。社内のポータルサイトや掲示板など、なるべく従業員の目に留まるように周知しましょう。関係者向けに説明会を開くのも有効です。
そして、セキュリティポリシーは社外へ公開しましょう。セキュリティ意識の高さをアピールできるため、サイトユーザーや取引先からの評価も高くなります。
社員教育を徹底する
ECサイトのセキュリティを確保するためには、社員教育も重要。セキュリティ事故の約7割が社員による過失だからです。社員のリテラシーが高まれば、内部原因によるセキュリティ事故のリスクを低減できます。
効果的に社員教育を実施する際に決めることは以下の通りです。
- 教育の目的テーマ:SNSの運用ルール、端末管理の重要性、守秘義務など
- 対象者の選定:ECサイト業務に関わる従業員を全てが対象
- 教育の実施頻度:入社時、定例異動、月末、年度末など
- コンテンツ:eラーニング、外部セミナーなど
効果的な教育は社員が疑似的に被害に遭うこと
社員のセキュリティ意識を高める効果的な方法は、疑似的に被害にあってもらうことです。例えば、訓練用にフィッシングメールを送る、ハッキングするといった方法です。実際に攻撃を受けたり情報を持ち出されたりすれば、どのくらい危険か実感できます。
SOCを設置する
SOCとはSecurity Operation Centerの略語で、下記のようなサポートをする専門組織です。
- ネットワーク・デバイスの監視
- サイバー攻撃の検知・分析
- セキュリティ対策のアドバイス
これまでのSOCは、社内のIT担当が兼務するケースが一般的でした。しかし、サイバー攻撃が高度化しているため、専門性が無いと太刀打ちできなくなりつつあります。
自社で人材を確保するのが難しい場合は、外部の専門家にSOCを依頼しましょう。
CSIRTを設置する
CSIRT(Computer Security Incident Response Team)は、組織におけるセキュリティインシデント(※)の専門チームです。企業がサイバー攻撃を受けた際に、被害を最小限に食い止めることが主な役割です。
SOCと同じくセキュリティインシデントに対応する組織ですが、両者の大きな違いは対応範囲。SOCの主たる業務は日常のセキュリティ監視ですが、CSIRTは事故発生時の対応がメインになり
ます。
近年はサイバー攻撃が高度化しているため、これまで盤石と思われていたセキュリティが破られることは珍しくありません。いざ攻撃を受けても、ダウンタイムを縮小できるよう迅速に対応できるチームの存在が重要になります。
※機密情報やシステム運営の安全性を脅かしかねない出来事・事件
関連記事:CSIRTとは?意味や役割、設置までのステップを解説
サイバー保険に加入する
画像引用:株式会社西日本保険サービス
サイバー保険とは、サイバー攻撃を受けた際に自社やサイトユーザー、取引先などの損害を補償する保険。主な補償内容は以下の通りです。
- 損害賠償:損害賠償金・裁判費用
- 事故対応費用:原因調査・法律相談・再発防止策の策定
- 利益損害:サイトが止まって生じた損失
- システム復旧:データ復元など
サイバー攻撃で被害を受けたら、実際の売上げ損失だけでなく、対応費用も莫大になります。被害を受けてからでは遅いので、加入することをおすすめします。
決済代行を活用する
決済代行とは、クレジットカードや電子マネーなど決済ツールを導入したい企業と決済機関を仲介し、導入手続きや運用管理をするサービスです。
決済代行は、セキュリティ対策も含めて決済に必要なメンテナンスを請け負ってくれます。そのため、自社にセキュリティの専門家を配置する必要がありません。
自社にセキュリティの知見をもつ人材がいない場合に有効です。
ECサイトでセキュリティ事故を起こした場合の対処法
サイトの停止と関係者への公表
被害が確認できた時点でサイトを停止し、関係省庁に連絡して社外へも公表しましょう。社外へ発表すべき主な内容は以下の通り。
- 被害状況
- 事故発生の経緯
- 事故が発生した原因
- 再発防止策
発表が遅れると被害が拡大するだけでなく、自社の対応能力も疑われます。サイトユーザーの信頼を取り戻すためにも、被害を確認したら速やかに対処しましょう。
フォレンジック調査で原因究明
フォレンジック調査とは、法的な証拠を集める調査のこと。一般的には、情報セキュリティインシデント解決に向けた調査を指すケースが多いです。
フォレンジック調査では、デジタル上の情報から利用者の履歴、操作ログなどを収集・解析して原因を明らかにします。
なお、フォレンジック調査は専門家に依頼することをおすすめします。自社で行うと、莫大な時間を要する可能性があるからです。
専門家に依頼すると費用はかかりますが、将来起こりうるセキュリティ被害を防ぐための投資と思って力を借りましょう。
【まとめ】ECサイトのセキュリティ対策は入念に行いましょう
本記事では、ECサイトにおいてセキュリティが大切な理由と効果的な対策などについて紹介しました。まとめは以下の通りです。
- ECサイトでセキュリティを疎かにすると金銭的被害や信用失墜に繋がる
- サイトのプログラムやサーバーは最新バージョンにアップデートする
- 教育・訓練で社員のセキュリティリテラシーの向上を図る
ECサイトは膨大な個人情報を取り扱うため、常に悪意ある第三者からの脅威にさらされています。そして、1度攻撃を受けると数千万円の被害を受ける企業も珍しくありません。
本記事を参考に、安全なECサイト運営を心がけましょう。
なお、ECサイト制作会社の探し方・選び方がわからない!という方はEC幹事にお気軽にご相談ください。貴社の目的・予算に合った最適な会社を厳選してご紹介します。相談料・会社紹介料などは無料です。
