ECサイトのセキュリティ対策って本当に必要?!多くの疑問に全てお答えします。

この記事は、ECサイトを始めようと思っている方やECサイトを運営している方で「ECサイトのセキュリティって本当にいるの?」という疑問を持たれている方向けの記事です。
記事を読んで自社が行っている事業を踏まえて適切なご判断の参考になれば嬉しいです。

 

1 どんなECにセキュリティって必要?

「ECサイトにセキュリティが必要」と一括りに言っても現在様々なECサイトの形態があり一概に全てに対して同じセキュリティ対策が必要とは言えません。
現在では主に以下の6つのタイプにくくられます。

・モールに出店するタイプ

amazon、楽天をはじめとするショッピングモールに出店する。

・Saasを利用するタイプ
shopifyやメルカートなどのサービスを利用してECサイトを構築する。

・ASPを利用するタイプ
BASEやMakeShop、Future Shop2などのサービスを利用してECサイトを構築する。

・SNSを利用するタイプ
Instagramやfacebookの機能を利用してECサイトを構築する。

・パッケージを導入するタイプ
ecbeingなどのパッケージを購入してECサイトを構築する。

・オープンソースで構築するタイプ
EC CUBEやワードプレスでECサイトを構築する

各タイプで注力すべきセキュリティは全く違います。
自社の運営状況を前提にECサイトの形態ごとにどのようなセキュリティが必要かを把握しましょう。

上記の表のように運営しているタイプによって対策するセキュリティは大きく異なります。
全てのタイプで必要な業務上のセキュリティと異なり、サイト運用上のセキュリティが必要か否かはタイプにより大きく異なります。

■サイト運用上のセキュリティが必要のないタイプ
モール、Saas、ASP、SNS、パッケージのサイト運用上のセキュリティはサービス提供者側に依存しますので、皆さんがするべきことはほとんどありません。
万が一のことがあればサービス提供者側に対応してもらうことになるの、強いてしていただくことといえば問題が発生した際にサービス提供者側に強い交渉が出来る弁護士を探すぐらいです。

■サイト運用上のセキュリティが必要なタイプ
EC CUBEなど比較的安価で自由度が高いオープンソースのCMSは人気で多くのECサイトが導入しております。
しかし、オープンソースの場合は万が一の時は全て事業主の責任になるのでサイト運用上のセキュリティを万全にしておく必要があります。
このセキュリティを放置していると様々なトラブルが発生する原因となります。

 

2 ECサイトに起こるトラブルって何?

ここでは業務上、サイト運用上双方に発生するトラブルについて記載してきます。

 

2.1【トラブル1】クレジットカード情報の漏えい
ECサイトを運営する上で最も懸念されるトラブルは間違いなくクレジットカード情報の漏えいでしょう。ユーザーに迷惑をかけるだけでなく、漏えいしてしまった企業にも大きな損害が発生します。
「クレジットカード情報を自社で保持してないから大丈夫」「うちはそんなに使われてないから大丈夫」という謝った認識により今も毎月のように事件が発生しています。
会社の利益が一瞬にして無くならないためにも早急に対策が必要です。

 

2.2【トラブル2】個人情報漏えい
個人情報はクレジットカード情報だけでなく、ユーザーの名前、メールアドレス、住所、電話番号など個人を特定されるものは全て個人情報にあたります。
「金銭的被害が少ないから大丈夫」と思うのも大きな間違いです。2022年4月1日に改正個人情報保護法が全面施行され、個人情報を漏えいしてしまった企業には必ず公表の義務が課せられました。
「個人情報を漏洩した企業」という不名誉なイメージを持たれると既存顧客の離脱対策や新規顧客の獲得に多大な費用が必要になってきます。
メールアドレス一つでも決して侮れません。

 

2.3【トラブル3】サイトにウイルスを仕込まれる
このトラブルはサイト改ざんによるトラブルです。サイト改ざんと一言で言っても起こるトラブルは様々です。自社のサイトを閲覧したユーザーがウイルスに感染するページを放置出来るサイトは恐らく存在しないと思います。
対策を実施している間、サイトを閉鎖する必要があり過去には20日間サービスを止めていた事例もあります。20日間売上が0になることは怖くありませんか?

 

2.4【トラブル4】不正なサイトに遷移するリンクを貼られる
こちらもサイト改ざんではよく発生するトラブルです。企業が意図していないサイトへ遷移するURLに改ざんされます。遷移先の多くはフィッシングサイトやウイルス感染目的のサイト。
こちらも放置できるような強気な企業は無いかと思いますので、対策が完了するまでサイトを止めて調査・対応する必要があります。

 

2.5【トラブル5】スパムメールの踏み台にされる
昨今話題のなりすましメールの原因となるトラブル。サイトを改ざんされ悪意のある人にメールサービスを悪用されスパムメールをばらまかれます。
「実害はないんじゃない?」と思うかもしれませんがそれも大きな間違い。スパムメールを送るサイトという扱いをされてしまうと検索エンジンにも表示されなくなりますし、
ブラックリストに載せられると企業から送信するメールもユーザーには一切届きません。
これを解消しようと思うと、サーバーの載せ替えなどサイトを1から作るぐらいの労力が発生します。

 

2.6【トラブル6】サイトの乗っ取り
自社のサイトを乗っ取られる恐ろしいトラブル。「乗っ取られても消して1から作り直せば・・・」と何度も書いているような間違いはもうしないでください。
乗っ取られてサーバーのID、PASSが書き換えられると誰も乗っ取られたサイトにログインできません。ということは、新たに作り直しても以前に作っていたサイトが永遠に残り続けるわけです。
怖いですね~(稲川淳二風)

3 実際に被害って発生しているの?

結論から言いますとここ5年で2倍以上の数字になっています。
2018年に不正手口が変化しカード情報漏えいによる不正利用の被害額も2倍以上になっています。
また、ECサイトだけに限らずサイトへの不正アクセス事例も2018年から倍以上の数字になってます。
ターゲットにされる企業にも変化があり、クレジット取引セキュリティ対策協議会も発表しているとおり漏えい事件は大手企業より中小零細企業のほうが件数は増えています。

 

 

これらの多くは脆弱性診断をしておらず、自社のリスクを放置してしまったため発生した事例です。

自社のリスクを無料で診断してみる

4 どんなセキュリティ対策が必要なの?

今まで書いていたようなトラブルに合わないためにどのようなセキュリティ対策をすればいいのかという結論にたどり着きます。
クレジット取引セキュリティ対策協議会が提唱している【重点対策】項目は以下の4つになります。

■業務上のセキュリティ対策
管理者画面のアクセス制限と管理者のID/PW管理強化
マルウェア対策としてのウイルス対策ソフトの導入、運用

■サイト運用上のセキュリティ対策
データディレクトリの露見に伴う設定の確認
Webアプリケーション脆弱性診断またはペネトレーションテストの定期実施
*脆弱性の重点診断項目
・SQLインジェクション
・クロスサイト・スクリプティング

*クレジット取引セキュリティ対策協議会 発表

また、2022年10月1日よりクレジットカード決済を導入するために新たに決済代行会社と契約する際は上記の重点対策項目を実施していないと契約が出来ない、クレジットカード決済がECサイトに導入できなくなりました。

5 まとめ

一般的にはサイトのセキュリティ対策は売上に直結しないイメージです。しかし、一度トラブルが発生してしまうと売上や会社の利益を吹き飛ばしてしまう大きな問題です。安全で安心なサイト運営をぜひ心がけてください。

無料で脆弱性診断を実施して自社のリスクを把握する