ECサイト運営におけるセキュリティ管理の必要要件とは？情報漏洩のリスクからガイドラインまで徹底紹介！

ECサイト運営において情報漏洩等のセキュリティ事故を起こしてしまったら

賠償を支払わなければならない

もしも、サイバー攻撃を受け、個人情報を流出してしまったら、流出してしまった個人に対し賠償を行わなけらばなりません。ケースによりその賠償額は様々です。一般的にECサイトにおける情報漏洩の賠償額は一人あたり、5000円～1万5000円が相場とされています。
一つの情報漏洩に対する賠償により、企業の存続を揺るがす事案もあります。そのため、クレジットカード番号等の個人情報管理については厳重に管理する必要があります。

社会的信用を失ってしまう

また、情報漏洩等のセキュリティ事故を起こしてしまうと、顧客からの信頼は失墜してしまいます。新規顧客の確保が困難になってしまうのはもちろん、長い時間をかけ確保してきたリピーターを手放すきっかけにもなってしまいます。そのため、ECサイト運営に関して、セキュリティマネジメントを徹底する必要があります。

ECサイト向け　セキュリティガイドラインで紹介された必要要件

電子商取引推進協議会（セキュリティＷＧ）は平成14年3月に104ページにも及ぶECサイト向けのガイドラインを公開してます。平成14年と少し古いものにはなりますが、ECサイトを運営してく上での基礎知識が多く掲載されています。

注意すべき脅威

サイバー攻撃と一口にいってもその種類は多様です。このガイドラインが作成されたのは平成14年ですが、紹介されている脅威は現在でも一般的なサイバー攻撃として存在します。

• なりすましによる個別取引に対する攻撃
• 通信上のデータに対する攻撃否認
• システムへの不正アクセス（侵入）による攻撃
• セキュリティホールをついた攻撃
• ウィルスによる攻撃
• Dos攻撃

これらの脅威に対しての対処法は次の通りです。

なりすましによる個別取引に対する攻撃への対策

なりすましによる個別取引に対する攻撃は利用ユーザーの認証を徹底管理することで防ぐことが可能です。現在では2段階認証などの認証システムなどを使い、このような脅威に対処するサイトも多く存在します。ユーザーのニーズに寄り添い、適切な認証システムを採用する必要があるでしょう。

システムへの不正アクセス（侵入）による攻撃への対策

システムへの不正アクセス（侵入）による攻撃に関しては、なるべく不正アクセスを許さないシステムを構築するか、不正アクセスが発生したことを即座に発見し、対応する必要があります。

セキュリティホールをついた攻撃への対策

セキュリティホールをついた攻撃は、セキュリティホールの存在が前提になります。そのため、基本はシステムにセキュリティホールを残さないことが必要となります。しかし、セキュリティホールを完全になくすことは不可能です。
そのため、システムが使用しているソフトウェアについて報告されているセキュリティホールを除去してくことが必要になります。
また、既に報告されているセキュリティホールの除去の徹底に努めても、報告されていないセキュリティホールがあれば、攻撃を受けてしまいます。そのため、被害を極小化するために攻撃を受けたことを前提に対策を講じる必要があるます。

ウィルスによる攻撃への対策

ウィルスによる攻撃は不正アクセスによる攻撃と同じように、なるべくシステムに侵入させないことが重要になります。また、この時にサイトや使用しているPCは常に最新のバージョンにアップデートするように注意してください。
ウィルスは常に新しいものが作られ変化します。バージョンをアップデートをすることは最新のウィルスに対応する最も有効な手段といえます。
また、ウィルスに一切感染させないことは不正アクセス同様、困難なため、ウィルスに対しても感染することを前提に、対策を取る必要があるでしょう。
不正アクセスの対策と大きく違う点は、ウィルスはPCを外部に持ち出すことにより感染する場合があることです。企業内でPCの管理に関するルールなどを徹底する必要があるでしょう。

セキュリティ対策の体系

このガイドラインではセキュリティ対策の体系として次のような項目を挙げています。

• 不正アクセス対策
• セキュリティホール対策
• ウィルス対策
• セキュリティ管理情報の保護管理
• ユーザーデータの保護管理
• 通信にかかるリスク対策
• ユーザー認証の適切な適用
• セキュリティシステムの構築
• セキュリティシステム運用の実現
• セキュリティ事故の備え
• サイト運営におけるセキュリティマネジメントの確立

ECサイトなどのネットショップを運営するにあたりセキュリティ対策をする場合、これらの項目を全て網羅する必要があります。自社のみで行うことも可能ですが、セキュリティ業務をアウトソーシングすることも可能です。自社でセキュリティ管理を行える人材がいない場合は使用してもよいでしょう。
参照：電子商取引推進協議会（セキュリティＷＧ）ECサイト向け　セキュリティガイドライン

ECサイト運営のセキュリティマネジメントのためにIPAが作成してるチェックリスト

IPA（情報処理推進機構）はECサイト運営者に向けたチェックリストを2015年に公開しました。チェックリストは全47項目から作られています。また、チェック項目は根本的解決と保険的対策に分かれており、一つのリスク項目に関して、複数のチェック項目に提示してます。
ECサイト運営におけるセキュリティ面の脆弱性について知りたい場合は、一度チェックを行ってみるといいでしょう。
参照：安全なウェブサイトの作り方:IPA 独立法人情報処理推進機構

ECサイト運営においてオープンソースがセキュリティ面において脆弱な理由

ECサイト構築といっても様々な方法があります。例えば、オープンソース型のECサイトを構築しようとした場合、インターネット上に公開されているソースコードからサイトを構築します。
オープンソース型のECサイトはコストを掛けることなく、比較的自由なサイトを構築することができますが、ベンターからのサポートが一切ないので、セキュリティ対策においては極めて脆弱です。加えて、サイトを構築しているコードは公開されているものになります。
そのため、オープンソース型のECサイトは他のECサイトよりもセキュリティマネジメントに力を入れる必要があるでしょう。
また、オープンソース型でなく、Shopifyなどのサービスを利用し、ショッピングカートASP型のECサイトを構築する場合は、セキュリティ面においてあまり心配する必要はないでしょう。
ショッピングカートASP型のECサイトは企業が管理、用意したECプラットホームを利用するため、サイバー攻撃や不正アクセスを受ける確率が極めて低いです。また、プランによっては保証を付けることが可能で、リスクを分散することもできます。

まとめ

いかがだったでしょうか。この記事ではECサイトにセキュリティについてご紹介致しました。
ECサイト運営において情報漏洩等のセキュリティ事故は企業に対して致命的なダメージを与えてしまうことがあります。そのため、ECサイト運営者は日ごろから対策を徹底する必要があります。
セキュリティ面に対するリスクを認識した上で、会社内でコミュニケーションを取り、サイバー攻撃が起こった際の対応手順を事前に決めておく必要があるでしょう。
この記事がＥＣサイト運営おけるセキュリティを強化する上でお役に立てば幸いです。

ECサイト制作ならアートトレーディング

世界175か国以上のNo.1シェアを誇るグローバルECプラットフォーム「shopify」を導入した自社ECサイト制作をご提案いたします！
当社は、15年以上の実績・200社以上のECサイト構築運用 経験でお客様のお悩みを解決してまいりました。
新規のECサイト制作、既存サイトからの移転・乗り替えだけでなく、運営代行・コンサルティング・在庫連携・物流まで幅広くサポートが可能です。
EC支援といってもお客様の状況はさまざまです。これからECサイトを展開したい、サイトはあるが販売促進のノウハウが欲しい、スタッフが足りなくて人手が欲しい等々…。
現在の状況を分析し、ニーズに合った提案を行い、実践し、ECサイトだけでなくお客様ともども成長していただけるような支援を行います。