- TOP
- ネットECのキホン
- STEP1.開業スタートアップ
- EC事業者が取るべきセキュリティ対策とは?ECサイトに潜むリスクと対策
現代社会において、インターネットは不可欠な存在となりました。一般家庭でも企業でも、それは変わりません。そんな中、企業を取り巻く環境において、特に注意すべきなのは「情報セキュリティ」に伴うリスクマネジメントであるとも言えるでしょう。セキュリティ対策は、企業生命にも関わる重要な課題です。ここではさまざまなセキュリティ対策について、その基本的な概念から具体的な対策まで、それぞれの必要性を含め、わかりやすく説明します。
今や、インターネットで大抵の物が買える便利な時代ではありますが、その利便性とセキュリティ上の大きなリスクは表裏一体であることを意識しておかなければなりません。実際、さまざまな業種における個人情報の漏洩やサイバー攻撃が問題になっています。一度このような被害に遭うと、購入者の信用をなくすだけでなく、補償やシステムの再構築などに莫大な費用と時間がかかります。そのため、セキュリティ対策を万全にし、リスクを回避することを常に考える必要があります。まずはその重要性からご紹介していきましょう。
企業がセキュリティ対策に取り組む必要性とは
インターネットを用いて事業を展開する以上、セキュリティ上の事故は決して他人事ではありません。どの企業にも起こりうることとして、セキュリティ対策によるリスクマネジメントを経営課題として認識し、経営層の意識を高めることが重要です。セキュリティへの脅威との闘いはいたちごっこであると言われるように、常に更新していかなければならないのが現状です。実際に多くの企業が被害に遭い、業務停止を余儀なくされています。以下に、具体的にどのようなトラブルがあったのかをリストアップしてみました。
- 機密情報の漏洩…取引先の機密情報・営業秘密漏洩、記録媒体の紛失
- 個人情報の流出…顧客情報、クレジットカード・口座番号の流出
- サイト改ざん…不正リンク貼付け、ウィルス埋め込み
- ウィルス感染…システム停止、サイバー攻撃、感染拡大
- クレジットカードの不正利用…クレジットカードの悪用
セキュリティ対策一覧
それでは、これらのセキュリティトラブルへの対策にはどのようなものがあるのでしょうか。種類別に見ていきましょう。
トラブル一覧 | トラブル詳細 | 対策 |
---|---|---|
社内管理ミスによる機密情報漏洩 | スタッフが紛失したUSBメモリから顧客情報が漏洩 | ・USBにロックをかける |
誤操作による情報漏洩 | スタッフが誤操作により機密情報を外部に漏洩 | ・添付ファイルへのパス設定 ・ダブルチェック |
データベースへの不正アクセス | 外部からの不正アクセスによりカード情報が漏洩 | ・不正アクセスを検知した時点で通信を遮断 ・プログラムの早期修正 |
システム脆弱性を狙ったサイバー攻撃 | オンラインシステムの脆弱性を発見されセキュリティを破られる | ・アプリケーションは常に最新バージョンへアップデートしておく |
カード情報漏洩 | ・トークン決済を利用しカード情報を保存しない |
セキュリティ対策の全体像
上記一覧から、情報漏洩や不正アクセスの原因はある程度絞られていることがわかります。情報漏洩と聞くと脅威からの攻撃を思い浮かべる方が多いかもしれませんが、実は社内管理のミスや担当者の操作ミスなど、内部的要因が実に全体の8割を占めると言われています。以下はトラブルの原因に占める割合です。
個人情報漏えい原因
【出典】2018年 情報セキュリティインシデントに関する調査報告書(日本ネットワークセキュリティ協会)
セキュリティ対策マップ
トラブルの起因によって、対策の難易度と対処費用が異なります。リスク解消するためには、そもそもリスクを生じた原因を徹底的に分析することが必要です。適切な対策を講じる前に、まず、起因別のマップを整理してみました。
さまざまな起因を2種類に分けることができます。下図のように、内部起因と外部起因があります。内部起因の中で、「情報紛失・置き忘れ」のような単純なケアレスに起因することもあれば、システム構築・運用時の「設定ミス・バグ」に起因することもあります。一方、外部起因は、ほとんど「外部からの不正アクセス」によるものです。
起因の分類によって、対策も主に2つに分けることができます。1つめは内部対策、2つめは外部対策です。
原因 | 対策 | 難易度 | 費用 |
---|---|---|---|
情報紛失・置き忘れ | 情報の外部持ち出し禁止 | 低 | 低 |
メモリロック、アクセス権限設定 | 低 | 低 | |
操作ミスによる情報漏えい | スタッフ教育の徹底、ダブルチェック | 低 | 低 |
機密ファイルへのパス設定 | 低 | 低 | |
内部犯罪・不正行為 | 社内通報制度の拡充、罰則規定整備 | 中 | 低 |
設定ミス・バグ | 社内システム見直し | 中 | 中 |
原因 | 対策 | 難易度 | 費用 |
---|---|---|---|
外部からの不正アクセス | セキュリティ管理を外部ITベンダーへ委託 | 高 | 高 |
カード情報の非保持化 | 高 | 高 |
上記のように、内部対策はすぐにできて費用もかからないものが多いのが特徴です。一方、外部対策は、ベンダー決定から実際の導入まで時間がかかることも予想されますし、投資費用も高額になりがちです。しかし、万一被害に遭ってしまったら、信用の失墜ひいては業務停止まで追い込まれることも想定されます。そのため、リスクの大きさを考えれば、セキュリティ対策への投資は第一に考えるべき経営課題と言えるかもしれません。また、外部へ委託したからと言って安心するのではなく、経営陣自らがセキュリティリスクに関する認識を高め、常に最新の対応を心がけることが大切です。
もはや、セキュリティ対策は担当者のみならず、組織幹部を含め全社員が一丸となって取り組まなければならない課題であると言えます。組織幹部、情報管理担当者、そしてスタッフ全般それぞれがとるべき対策については、総務省より出されているWebサイトなど参考にしてみてください。
最近特に被害頻度の多い業種・業態・特徴とは
最近、特に被害が多いとされているのがEC業界です。実店舗に行かなくても売買取引ができるインターネット上での買い物は、EC事業者と購入者の双方にとって大変メリットの大きい業態です。利便性が良く、購買機会の拡大にも繋がっている反面、リスクも大きいことを認識しておく必要があります。
EC業界の担当者にアンケートを取ると、実に5割もの担当者がサイバー攻撃を受けたことがあると回答しています。さらにそのうちの7割が、実害に繋がったとのことです。一番多いのがID/パスワード情報の漏えい、次にカード情報の漏えいによるものです。クレジットカードのカード番号と有効期限についての情報があれば、インターネット上のサイトで簡単に買い物ができてしまいます。盗まれたカード情報で偽造カードを作成されたり、プリペイドカードにチャージされたりして悪用されてしまうのです。一般社団法人日本クレジット協会の発表によると、平成28年度第2四半期の不正使用被害額は35.7億円にも上ります。
【出典】企業におけるECサイトのセキュリティ実態調査 2016
不正アクセスによって情報を盗まれ、カード情報を悪用されてしまった場合、クレジットカードを扱う加盟店は下記のような大きな損失を被っています。
- 購入者への情報流出お詫び品のコスト負担
- 第三者機関への調査依頼コスト負担
- クレジットカード会社への再発行コスト負担
- 不正利用された買い物額の補償コスト負担
- 専用問合せ窓口設置の人件費負担
- 業務停止による損害
実際どのような手口により、個人情報は盗まれているのでしょうか。
具体的に使われる手口としては下記の3つが挙げられます。1、2は典型的な手法で現在でも使われていますので注意してください。3は海外で急増している手口です。
(1)バックドア攻撃
外部からPCを操作できる通路を設置され、コンピュータが乗っ取られてしまいます。ミドルウェアの脆弱性を突いた攻撃であると言えるでしょう。
(2)SQLインジェクション攻撃
セキュリティの不備を利用され、想定しないスクリプトを埋め込まれてしまいます。意図しないSQLを実行されて漏洩の足掛かりとなります。
(3)POSマルウェア攻撃
加盟店で使用されている、ネットワークに接続するWi-Fiなどを経由して感染し、カード情報を抜き取ります。それを不正に外部へ送信され、カード情報が盗まれます。
このように悪意のある第三者は、企業のITシステムの隙間を狙ってさまざまな攻撃を仕掛けてきます。対策を打っても相手はまた新しい手口を見つけてきますので、技術の発展とともにセキュリティ対策の定期的なバージョンアップも必要であると言えるでしょう。
EC業界が取るべき対策とは
EC業界において特に注意すべきなのは、決済方法に関わるセキュリティ対策です。取引で最も使われる決済方法は「クレジットカード決済」です。クレジットカードはカード番号、有効期限、名義人の情報が漏えいしてしまうと、いとも簡単に不正利用されてしまいます。そのため2017年12月には「改正割賦販売法」が公布され、クレジットカードを扱う加盟店では、カード番号の管理や不正使用対策が義務付けられることになりました。
さらに、これらの攻撃を防ぐ対策として、経済産業省はセキュリティ対策の強化に向けた実行計画を発表しています。具体的な対策についてご紹介します。
1.クレジットカード番号の非保持化
非保持化とは具体的に言うと、カード情報を自社ネットワーク内において保存・処理・通過しないことです。カード情報がサーバに保存されない決済方法を利用します。
(1)トークン方式
カード情報をトークン(文字)に置き換えて決済代行業者へ決済情報を送信する。カード情報は保存されない。万一トークンが漏洩しても、トークン自体は意味をなさないためリスクはない。
(2)リンク方式
クレジットカード決済時のみ、決済代行業者のサイトへ遷移し決済処理を行う。カード情報は保存されない。低コストで利用できるメリットがあるが、カート離脱への懸念は残る。
2.PCI DSSに準拠する
PCI DSS(Payment Card Industry Data Security Standard)とは国際的なカードブランドであるAmerican Express、Discover、VISA、Mastercard、JCBの5社が共同で策定した国際セキュリティ基準のことを指しています。PCI DSSは約400の要求事項から構成されており、その全てをクリアしなければ取得できない厳しいものです。また、取得には初期費用として1,000万円以上、月額100万円以上がかかるとされており、現在は限られた企業のみが取得しているようです。
企業規模にもよりますが、PCI DSSに準拠するのはなかなかハードルが高いため、まずはクレジットカード番号の非保持化に着手してみてはいかがでしょうか。非保持化の上記2つの方式については、どちらか一方がクリアできていれば対策が取られたとみなされます。
3.その他の対策
加盟店ができる対策は、ほかにもあるのでしょうか?気づかないうちにミドルウェアの脆弱性に攻撃され、情報を抜き取られてしまうことも多いのですが、その対策で有効だとされているのが、侵入防御システム(IPS)や侵入検知システム(IDS)の導入です。これらのシステムは外部からの不正なアクセスを検出するだけでなく、検出後すぐにトラフィックを遮断する等の防御が可能なものです。色々なセキュリティベンダーからサービスが出ていますが、導入しているECサイトはまだまだ少ないと言われています。悪質な業者から機密情報を守るためにも、対策の1つとして検討されてみてはいかがでしょうか。
まとめ
インターネットが国民の生活に欠かせない昨今、企業の個人情報保護への責任はますます重要性を増し、どの業界でもセキュリティ対策が急務となっています。悪意のある第三者は、常に新しい手を使って攻撃を仕掛けてきます。特に、インターネット上で売買取引が発生するEC業界では被害も大きくなっており、早急な対策が求められています。あらゆるセキュリティトラブルに遭わないよう、スタッフ一人ひとりの意識を高めるとともに、セキュリティ対策を重要な経営課題として認識し、定期的に取り組んでいく必要があるのではないでしょうか。