ECサイトのセキュリティ対策とは

ECサイトでは、常に個人情報やクレジットカード情報など、サイバー攻撃のターゲットなるような情報がやり取りされています。そのため、悪意を持つ第三者が不正アクセスを行い、直接データベースから情報を窃取するなどといった被害は後を絶ちません。そのようなニュースを聞くと非常に不安になりますが、サービスの提供を続ける以上、常にECサイトはサイバー攻撃のターゲットになり得る可能性があることを認識しておくことが重要です。

ECサイトがサイバー攻撃を受けた場合の被害は、恐ろしく甚大なものになる可能性があります。しかし、これまで一度も具体的な被害がないとすると、どれほど恐ろしい事態になるのかがイメージしにくいのではないでしょうか。そこで、実際の事件をもとにサイバー攻撃の被害の大きさを確認しておきましょう。

ECサイトがサイバー攻撃を受けて、顧客の個人情報やクレジットカード情報などが漏洩した場合、場合によっては、サイト運営者が情報が流出した顧客一人一人に賠償しなければならなくなることもあります。その場合の賠償金の相場は、過去の事例を見る限り決して安いとは言えない金額です。ですので、漏洩した件数が大きくなるほど賠償額もそれに比例して大きくなり、企業の運営を圧迫することになってしまいます。

たとえば、2009年に起こった大手証券会社の個人情報漏洩事件では、情報が漏洩した5万人の顧客に対して商品券をお詫びとして差し上げるということになりました。5万人もの人数に一人一人商品券を配るわけですから、それだけでも数億円の損失です。しかも、対策本部を設置したり原因を調査したりと賠償金以外にもコストがかかることがありますから、実際の経済的損失はとんでもなく大きくなったことでしょう。記憶に新しいところですが、2015年の年金関連事業会社の個人情報漏洩事件でも莫大な経済的損失が発生しました。

また、経済的損失だけがサイバー攻撃の被害ではありません。サイバー攻撃を受けたということで、顧客の信頼を失ってしまうことは十分に考えられます。ネットユーザーも昔に比べてセキュリティに高い関心を持っていますから、一度でも情報漏洩などの事態を起こしたサイトは二度と利用しないという人も少なくないでしょう。さらに、サイトのイメージが失墜すると同時に、実店舗がある場合はそちらの評判にも悪影響が及んでしまいます。その結果として売上が落ち込むようなことがあれば、場合によっては企業の存亡にもかかわる重大事態です。

もう一つ気をつけたいのが、情報漏洩などの事故を起こした場合の対応です。もし対応を誤るようなことがあれば、社会的信用をさらに下げてしまうことになります。たとえば、情報漏洩があったことが社内で発覚してから、公に発表するまでに時間が空きすぎると、「隠蔽しようとしていたのではないか？」とネガティブなイメージを与えてしまうことは避けられません。

さらに、そのようなネガティブなイメージの付いたECサイトは、言わずもがなですが利用者数を大きく下げることになるでしょう。情報漏洩の危険性があるサイトに、あえて自分のクレジットカード情報などを教えたいと思うような人はいないので当然です。その結果、利用者数の減少が売上の減少に直結し、事業自体立ち行かなくなってしまうということも十分あり得ます。小規模なサイトなら、一度の事故のせいで閉鎖というところまで至ってしまってもおかしくありません。

大きな脅威であるサイバー攻撃ですが、では、いったいどのようなセキュリティ対策を取ればよいのでしょうか。以下に述べることは実施すべき最低限の対策ですので、一つでもやっていないことがある場合は至急取り掛かってください。

ECサイトには、運営に関してのあらゆる情報を扱う管理ページという重要なページがあります。攻撃者はこの管理ページに不正にアクセスし、個人情報などを窃取したり不正プログラムを各ページに組み込んだりなどの悪事を働くのです。そのため、管理ページにアクセスできる権限は厳重に管理しなければなりません。そのためのおすすめの方法が、アクセス可能なIPアドレスを社内のIPアドレスに制限する方法です。こうすれば社外のネットワークからアクセスできなくなるため、社内のネットワークさえしっかり管理されていれば不正アクセスされる危険性が大幅に下がります。それに加えて、管理ページにアクセスできるユーザーを少人数に限定するとともに、ユーザーによってさらに権限を限定し、「この機能が利用できるのはこの人だけ」というふうにごく一部の人以外個人情報の出力などはできないように制限を設けるのもおすすめです。

OSやアプリケーションなどに新たな脆弱性が発見された時は、それを克服したアップデートバージョンが公開されるのが一般的です。自社のサイトに脆弱性が見つかって、そのアップデート版も公開されているとなると、すぐにでも適用したくなるでしょう。実際、そうするのが理想的です。ところが、24時間稼働するのがふつうであるECサイトの場合、常にそれができるわけではないのが悩ましいところではないでしょうか。アップデートの必要性が生じた時にすぐにサービスをストップできるというところは基本的にないはずです。

そのため、脆弱性が発見された時は、それが自社のサイトにどのような影響を及ぼす可能性があるかを正確に判断できる能力が必要になってきます。早急な対策が必要ならサービスをストップしてでも対策すべきですが、「事故につながる可能性は極めて低いが、ゼロではない」という場合にどう対処するかを決めておかなければなりません。迅速な意思決定ができる体制を構築しておくことが大切になるでしょう。

セキュリティ製品の導入もやっておくべきことです。とはいえ、従来のアンチウイルスソフトやファイアーウォールだけではもはや不十分なので、WAFやIPS/IDSの導入も検討すべきでしょう。新しい製品ほど多様化した新しい攻撃手法にも対応できます。なお、「これまで攻撃されたことがないから」という理由でこうしたセキュリティ製品を導入したことがないという場合もあるかもしれませんが、実際に攻撃を受けて被害が出てからでは遅いのです。その認識をしっかり社内で共有し、攻撃者の先手、先手を打つという意識でセキュリティ対策を行いましょう。

サイバー攻撃だけが情報漏洩事故の原因でないことをご存じでしょうか。実は、社内の人間のうっかりを起因とするミスによって多くの情報が流出しているのです。ある専門機関が調べたデータによると、「紛失or置き忘れ」「誤操作」「管理ミス」が情報漏洩の大半を占めていることがわかっています。セキュリティに関する社内教育を徹底することも忘れてはならないのです。

「万全のセキュリティ体制を構築しているのでうちは大丈夫」と自信のある方もいらっしゃるでしょう。しかし、セキュリティに絶対はありません。サイバー攻撃の手法は日進月歩で進化しているので、去年は有効だった対策が今年はすでに機能しないということは十分にあり得ます。どんなに強固にセキュリティを築いたからといって、それで永久に攻撃を防げるわけではないということをしっかり認識して、その都度セキュリティ体制を見直す意識が大切です。
(2020年現在)

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。