インターネット上で商品を販売するサイトであるECサイト。ECサイトは、インターネット上でモノを購入するときに大変便利なものですが、近年このECサイトでの情報漏洩事例が増えています。
この記事の目次
ECサイトでの情報漏洩が急増中
大手セキュリティベンダーであるトレンドマイクロ社によれば、2016年の1月〜9月までのECサイトにおける情報漏洩事件は13件で、平均の情報漏洩件数は3800件。1人あたりの賠償額を5000円とすると、賠償額は1900万円にも及ぶとのことです。
当然ながらこれらはすべて平均額であり、もっと高額になるケースもあります。
企業に圧し掛かる“賠償”
2009年には、大手証券会社が情報漏洩事件の賠償として顧客5万人に1万円の商品券を配布した結果、賠償総額が5億円以上になったとのことです。
このようにECサイトの情報漏洩は影響を受ける顧客も多く、賠償額も莫大になる傾向があります。いったん事例が発生してしまうと、賠償等の影響などで企業の経営に大きな影響を与えることにつながりかねません。
ECサイトには強固なセキュリティ対策が必要
ECサイトから情報漏洩が発生してしまうと、このように大きな問題につながる傾向があるため、サイト自体のセキュリティ対策をしっかりとして、このような事象が発生しないように対策をしっかりと行なっていく必要があります。
そもそも情報漏洩の原因とは?
ECサイトを運営する上で、情報漏洩を防ぐためのセキュリティ対策は欠かせません。では、そもそもなぜ情報漏洩 してしまうのでしょうか。ここでは、原因を以下の2つに分けて解説します。
- 過失による情報漏洩
- 第三者の故意による情報漏洩
それぞれの原因を詳しく見ていきましょう。
1.過失による情報漏洩
1つ目の原因は、誤操作や管理ミスといった人的ミスによる過失です。いくつか具体的な例を挙げてみます。
- 社内情報が入ったUSBメモリを持ち出して紛失した
- 顧客情報を含む添付ファイルの宛先を間違え、無関係な取引先へ送信した
- 顧客名簿を正しい保管場所に戻さず、行方がわからなくなった
このような「認識の甘さによる社内コンプライアンス違反」に、「ずさんな管理体制」などが情報漏洩を招いているわけです。
2.故意による情報漏洩
2つ目の原因は、悪意ある第三者の故意によるものです。たとえば、ウイルス感染や不正アクセスといったサイバー攻撃、従業員の内部犯罪・内部不正などが挙げられます。以下の例をご覧ください。
- メールの添付ファイルを不用意に開いてしまい、ウイルスに感染し情報が流出した
- 従業員が顧客名簿を持ち出し転売した
- 従業員が機密情報を私用USBメモリに不正コピーした
東京商工リサーチの「上場企業の個人情報漏えい・紛失事故調査」によれば、2020年度に起きた情報漏洩の原因のうち、「ウイルス感染・不正アクセス」が49.5%を占めています。「盗難」の2.9%を合わせると、故意による情報漏洩は全体の52.4%です。情報漏洩の半数以上が、悪意ある第三者によって引き起こされていることが分かります。
以上のように、情報漏洩は過失と故意の両方から発生します。では、これらの原因に対して、どのように対策すれば良いのでしょうか。
情報漏洩の基本的な対策方法4つ
個人情報を扱うECサイトで漏洩が発生すると、多額の損害賠償を負う可能性があります。そのため、多角的な情報漏洩対策が欠かせません。情報漏洩を発生させないよう、まずは下記4つの基本的な対策をおこないましょう。
- セキュリティポリシーの策定
- システム・設備のセキュリティ強化
- 社員の情報セキュリティ教育
- サイバー保険
順番に解説します。
1.情報セキュリティポリシーの策定
まずは、情報セキュリティポリシーを策定しましょう。情報セキュリティポリシーとは、企業や組織が、自らの情報資産を守るための方針および行動指針のことです。
情報セキュリティポリシーが存在しないと、「自社のどの情報資産をどのように守るのか」「どういった情報セキュリティ対策が必要か」などの方向性を決められません。ですので、最初に情報セキュリティポリシーを策定する必要があります。
とはいえ、「情報セキュリティを策定しろと言われても、どうやって?」と悩む人もいるかもしれません。そのような場合は、情報セキュリティに関するガイドラインを活用してみてください。
たとえば、経済産業省とIPA(独立行政法人情報処理推進機構)による「サイバーセキュリティ経営ガイドライン」は、企業のサイバー攻撃対策の理念などを示しています。同じく、IPAによる「中小企業の情報セキュリティ対策ガイドライン」では、具体的な対策方法が解説されています。こうしたガイドラインを参考にして、自社の情報セキュリティポリシーを策定してみてください。
2.システム・設備のセキュリティ強化
システムや設備などの「技術的なセキュリティ強化」も大切です。情報セキュリティポリシーを策定したら、情報を守るための技術が必要になります。主な強化方法を、以下の表にまとめました。
マルウェア対策製品 |
|
---|---|
メールセキュリティ製品 |
|
ユーザー認証 |
|
データ暗号化 |
|
ポリシー・動作監視製品 |
|
入退室管理システム |
|
上記のセキュリティ強化方法は一部であり、他にもさまざまな技術があります。自社の業態に適したセキュリティ強化をおこなうことが重要です。
3.従業員の情報セキュリティ教育
情報漏洩対策として、従業員の情報セキュリティ教育も欠かせません。いくら技術的にセキュリティを強化しても、従業員のポリシー遵守意識やITリテラシーが低いと、過失による情報漏洩を完全に防ぐことは困難です。
たとえば、平成27年(2015年)に起きた「日本年金機構情報漏洩事件」では、1人の職員がメールに記載された不正URLをクリックしたことが原因で、約125万人の個人情報が流出しました。このように、1人の職員がURLを1回クリックするだけでも、重大な情報漏洩被害を招く可能性があります。そのため、どのような企業・組織でも、情報セキュリティ教育は重要な対策となるわけです。
4.サイバー保険
最後の基本的な対策は、サイバー保険への加入です。情報漏洩対策を徹底していても、サイバー攻撃の手口は巧妙化しているため、リスクはゼロにできません。万一、情報漏洩してしまったときの備えとして、サイバー保険に加入しておくと自社の金銭的損害を最小限に抑えられます。
サイバー保険とは、サイバーリスクが起因となる損害を補償する保険です。サイバー攻撃によって個人情報が流出した際に、損害費用や訴訟費用を補償してくれます。さらに、原因調査や法律相談といった費用も補償範囲に含まれるため、自社の経済的な負担を大幅に軽減可能です。情報漏洩しないための対策だけでなく、情報漏洩してしまった後の対策もしておきましょう。
ここまで、情報漏洩の対策の基本についてお話しました。次の章では、ECサイトに特化した情報漏洩対策を7つ紹介します。
ECサイトが必ず行うべき7つのセキュリティ対策
では、ECサイトからの情報漏洩が発生しないための対策はどのように行うべきなのでしょうか。以下に7項目にまとめてみました。
- ECサイトのプログラムの脆弱性を解消する
- サイトの管理パスワードの厳重な管理
- サーバのOSやプログラムに適切にアップデートを適用する
- サイトやサーバ、ネットワークへの不正アクセスを検知する仕組みの導入
- 管理画面のアクセス権限設定・管理者の教育
- 顧客の個人情報の適切な保管
- ショッピングカートをASPカートにする
1.ECサイトのプログラムの脆弱性を解消する
コンピュータへの不正アクセスは、多くの場合はプログラムやOSが持つ脆弱性をターゲットにして、それを悪用することで行われます。
基本的には、こういった脆弱性はすぐにソフトウェアベンダーやOSベンダーによって問題を解消するプログラムが配布されるため、それらを適用していれば問題が残り続けることはありません。
しかし、プログラムのアップデートなどをしないままだと脆弱性が残り続けるため、悪意を持った第三者によって不正に利用されることになるのです。したがって、常に適切に更新プログラムを適用し、アップデートを行なうことで脆弱性を解消する必要があります。
また、ECサイトにおいては、下記2つのプログラムに対して更新が必要です。
- サイト自体を構成するプログラム
- サイトが動作するサーバやサーバ上のプログラム
脆弱性が“残ったまま”となることが無いよう注意が必要です。
2.サイトの管理パスワードの厳重な管理
サイトの管理画面などにアクセスするパスワードが外部に漏洩してしまうと、簡単に不正アクセスされ、サイトを乗っ取られてしまうことにもつながりかねません。
したがって、サイトのパスワードの管理は厳重に行いましょう。
3.サーバのOSやプログラムに適切にアップデートを適用する
サーバのOSやプログラムのアップデートも、1と同様必要となります。
攻撃時に利用される脆弱性はどこに潜んでいるか分かりません。サーバに関しても、最新のバージョンにしておくことで、リスクを最小限に留めるようにしましょう。
4.ネットワークへの不正アクセスを検知する仕組みの導入
そして最後に、ECサイトやECサイトが動作するサーバ、そしてそれらが設置されているネットワークに対して不正なアクセスや攻撃があった際に、防御を行うことが大切であることを説明します。
サーバやネットワークに対して不正な攻撃が行われると、結果的に侵入され、情報漏洩につながる恐れがあります。また、仮に侵入されなくても、DDoS攻撃のように攻撃されることでサイトの表示がものすごく遅くなってしまうなど、パフォーマンスに大きな影響を及ぼすケースがあります。
したがって、こういった不正なアクセスや攻撃があった際にブロックし、侵入を防ぐ侵入防止システム(IPS)や、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを防御するWebアプリケーションファイアウォール(WAF)の導入も非常に有効な対策です。WAFにはクラウド型のものもあるので、目的に応じてそちらを利用するのも良いでしょう。
5.管理画面のアクセス権限設定・管理者の教育
ECサイトの管理画面は、管理担当者のみにアクセス権限を設定しましょう。従業員なら誰でもアクセスできる状態だと、セキュリティ強度は大幅に低下します。
IDとパスワードによるユーザー認証を利用すれば、アクセス可能なユーザーの設定が可能です。また、ユーザーごとに閲覧レベルを設定すると、より堅牢なセキュリティ体制を構築できます。
ただし、IDとパスワードが流出しないよう厳重な管理が必要です。パスワードを付箋にメモしたり、他の従業員がいる場所で口頭で伝えたりするのはやめましょう。
また、管理担当者への教育も大切です。担当者のITリテラシーが低いと、過失による情報流出が起こりかねません。具体的な例を挙げると「不審なメールの添付ファイルを開く」、「私用USBメモリを接続する」といったことが考えられます。
管理手順のマニュアル化、情報の取り扱いに関するルール作りによって社員教育を施し、管理担当者のITリテラシーレベルを引き上げましょう。アクセス権限の設定と合わせておこなうと、安心してECサイトを管理できます。
6.顧客の個人情報の適切な保管
ECサイトを運営する上で忘れてはならないのが、顧客情報の適切な保管です。ECサイトの顧客情報には、氏名・住所・銀行やクレジットカード情報・購入履歴など重要な情報が含まれます。こうした情報は常に悪意のある第三者に狙われていると考え、厳重に保管してください。
まず、顧客情報をWebサーバーの公開フォルダに保管してはいけません。公開フォルダはURLを知っていれば誰でもアクセスできます。非公開設定にしていても、設定ミスにより漏洩するリスクがあるので、インターネットからアクセスできる場所に保管するのは避けましょう。
また、書面の保管は、保管室や金庫を設けた厳重な管理が必要です。保管室の出入り記録を残す「入退室管理システム」を用いれば、社員による内部不正を抑制できます。システムを用いない場合は、監視カメラや鍵による防犯対策を徹底しましょう。
7.ショッピングカートをASPカートにする
ECサイトのショッピングカートに、ASPカートを採用することも情報漏洩対策の1つです。ASPカートとは、名前の通りASP型のショッピングカートで、以下の特徴があります。
- ECサイトを構築するシステムをクラウド上でレンタルする
- 自社開発のフルスクラッチ型や、ソフトウェアを購入するECパッケージ型よりも安価かつ簡単に導入可能
- 無料のオープンソース型よりも、セキュリティ機能が多く安全。Webサイト全体を暗号化する「常時SSL化」や、クレジットカード情報を無関係な文字列に変換する「トークン決済」などが搭載
- 提供元が常にメンテナンスし最新バージョンを使えるため、自社による保守管理が不要
- ECサイトの大幅な独自カスタマイズはできない
このようにASPカートは、ショッピングカートの中で最もコストパフォーマンスに優れています。さらに、ECサイトに求められる高いセキュリティ機能も備わっています。たとえば、Webサイト全体を暗号化する「常時SSL化」や、クレジットカード情報を無関係な文字列に変換する「トークン決済」などです。
セキュリティ面で言えば、フルスクラッチ型やECパッケージ型でも問題ありません。しかし、費用や運用保守の手間から考えると、中小規模でも導入・運用しやすいASPカートがおすすめです。
ここまで、ECサイトのセキュリティ対策方法を7つ紹介しました。ECサイトは多くの個人情報を扱うため、堅牢なセキュリティが必要です。紹介した内容を参考に、ぜひセキュリティの強化・改善をしてみてください。
WordPressで作るECサイトの3つのセキュリティ対策
一般的に、ECサイトを作る場合は既存のECシステムを用います。しかし、中には「小規模だからWordPressで作ってみたい」と考える人もいるのではないでしょうか。ここでは、WordPressで作るECサイトのセキュリティ対策を、下記の3つに分けて解説します。
- WordPressの設定を見直す
- セキュリティプラグインの導入
- パーミッションの変更
1つずつ説明します。
1.WordPressの設定を見直す
初めに、WordPressの設定を見直しましょう。主なチェックポイントは、以下の通り。
- 管理画面のユーザー名やパスワードを複雑なものに変更
- WordPress本体、プラグインやテーマを常に最新バージョンに保つ
- 利用しなくなったプラグインの削除
これらの項目はセキュリティの基本ですが、意外と見落としがちな点です。中でも、利用していないプラグインをバージョンアップせず残していると、脆弱性を放置している状態になります。サイバー攻撃に対して無防備なセキュリティホールとなるため、使わなくなったプラグインは削除しましょう。
2.セキュリティプラグインの導入
セキュリティプラグインの導入も効果的です。WordPressのプラグインには、セキュリティ対策となるものが多数あります。セキュリティプラグインを利用すれば、ECサイトのセキュリティを向上させられるので、インストールしておきましょう。
おすすめのセキュリティプラグインは、「SiteGuard WP Plugin」と「All In One WP Security & Firewall」の2つです。「SiteGuard WP Plugin」は、管理ページとログインページの保護に特化しています。「All In One WP Security & Firewall」は基本的なセキュリティ機能に加え、ファイアウォールの導入が可能です。
WordPressには、豊富なセキュリティプラグインが用意されています。複数のプラグインを試して、自分のECサイトに合うものを導入しましょう。
3.パーミッションの変更
パーミッションを適切に変更すると、WordPressのセキュリティ強化が可能です。少し複雑な方法ですので、1つずつ丁寧に解説していきます。
まず、パーミッションとは、サーバー上のファイルやフォルダに対するアクセス権限のことです。アクセスが許可されている場合、ファイルやフォルダの読み取り・書き込み・実行のいずれか、あるいは全てをおこなえます。
パーミッションを構成するのは、3桁の数字です。簡単に言うと、数字の組み合わせによって「誰にどの権限を与えるか」を設定できます。パーミッションはWordPressにも存在するため、より強固にサイトを守るためには、適切な数値に変更する必要があります。
複雑な説明は省きますが、WordPressのパーミッションは「400」または「600」がおすすめです。「400」が最も安全ですが、サーバーによっては設定できないケースがあります。「400」にできない場合は、「600」にしましょう。どちらも、第三者が勝手にファイルやフォルダを変更できない設定ですので、「600」の場合でもご安心ください。
WordPressのパーミッション変更には、FTPソフトが必要です。「FFFTP」や「WinSCP」といったフリーソフトから設定できます。マニュアルを確認して、変更しましょう。
ここまで、WordPressで作るECサイトのセキュリティ対策を3つ紹介しました。WordPressのECサイトを考えている人は、ぜひ参考にしてみてください。ただし、セキュリティの観点から言えば、既存のECシステムのほうが安全です。WordPressでECサイトを作る前に、「既存のECシステムではだめなのか?」と慎重に検討することをおすすめします。
フィッシング詐欺対策もおこなおう
ECサイトを運営する際は、フィッシング詐欺対策も重要です。フィッシング詐欺とは、ユーザーを企業のWebサイトによく似た偽装サイトに誘導し、IDやパスワード、クレジットカード情報を盗む詐欺行為を意味します。
フィッシング詐欺の被害者はユーザー=顧客側ですが、ECサイト側も無関係ではありません。偽装サイトを作られたECサイトは、ユーザーの不信感を招き、顧客離れを引き起こします。そのため、ECサイト側による積極的なフィッシング詐欺対策が欠かせません。
対策については、フィッシング詐欺対策協議会による「2021年度版フィッシング対策ガイドライン」が参考になります。資料に記載されている事業者の対策方法5つを抜粋し、以下にまとめました。
- 顧客へのメールには「なりすまし対策」をする
- ログイン時に、ワンタイムパスワードなどを使った「複数要素認証」を採用する
- ドメイン名を正しく管理し、自己ブランドとして周知する
- Webサイト全体を暗号化する「常時SSL化」を導入する
- フィッシング詐欺被害の発生時に、迅速な対応ができる組織編成をする
以上の対策を実施して、自社ECサイトの利用顧客を守りましょう。
まとめ
ECサイトからの情報漏洩は、一旦発生すると影響する対象ユーザーは多く、賠償など金額的な面での影響が大きくなる傾向があります。
発生を防ぐためには、今回紹介したようなポイントをしっかりと押さえていくことが重要です。
よくある質問
個人でネットショップを開きたい場合、セキュリティはどうすれば良い?
「BASE」や「STORES」などの、無料ASPを提供しているネットショップ作成サービスを利用しましょう。
個人でネットショップを作成する場合、スモールスタートが可能で、かつ高いセキュリティを維持できる方法がおすすめです。ネットショップ作成サービスは、運営企業によるメンテナンス・セキュリティ対策が施されているため、セキュリティ面も安心して利用できます。
オープンソースのECカートシステムは安全?
自社に専門の開発スタッフがいて、適切に保守・運用できる場合は安全に利用できます。
オープンソースのECカートシステムは、ECサイトの自由な設計が可能です。自社でセキュリティ対策を施し、開発から保守・運用までおこなえる場合は、システムの導入費用を格段に抑えられます。反対に、そもそも開発スタッフがいなかったり、開発スキルに不安があったりする場合は、オープンソースのECカートシステムを利用するのは止めておきましょう。