ECサイト制作会社が徹底すべき4つのセキュリティ対策とは

この記事は約 4 分で読めます。



インターネット上で商品を販売するサイトであるECサイト。

ECサイトは、インターネット上でモノを購入するときに大変便利なものですが、近年このECサイトでの情報漏洩事例が増えています。

ECサイトでの情報漏洩が急増中

大手セキュリティベンダーであるトレンドマイクロ社によれば、2016年の1月〜9月までのECサイトにおける情報漏洩事件は13件で、平均の情報漏洩件数は3800件。1人あたりの賠償額を5000円とすると、賠償額は1900万円にも及ぶとのことです。

当然ながらこれらはすべて平均額であり、もっと高額になるケースもあります。

企業に圧し掛かる“賠償”

2009年には、大手証券会社が情報漏洩事件の賠償として顧客5万人に1万円の商品券を配布した結果、賠償総額が5億円以上になったとのことです。

このようにECサイトの情報漏洩は影響を受ける顧客も多く、賠償額も莫大になる傾向があります。いったん事例が発生してしまうと、賠償等の影響などで企業の経営に大きな影響を与えることにつながりかねません。

ECサイトには強固なセキュリティ対策が必要

ECサイトから情報漏洩が発生してしまうと、このように大きな問題につながる傾向があるため、サイト自体のセキュリティ対策をしっかりとして、このような事象が発生しないように対策をしっかりと行なっていく必要があります。

ECサイトが必ず行うべき4つのセキュリティ対策

では、ECサイトからの情報漏洩が発生しないための対策はどのように行うべきなのでしょうか。以下に4項目にまとめてみました。

  1. ECサイトのプログラムの脆弱性を解消する
  2. サイトの管理パスワードの厳重な管理
  3. サーバーのOSやプログラムに適切にアップデートを適用する
  4. サイトやサーバー、ネットワークへの不正アクセスを検知する仕組みの導入

1 ECサイトのプログラムの脆弱性を解消する

コンピュータへの不正アクセスは、多くの場合はプログラムやOSが持つ脆弱性をターゲットにして、それを悪用することで行われます。

基本的には、こういった脆弱性はすぐにソフトウェアベンダーやOSベンダーによって問題を解消するプログラムが配布されるため、それらを適用していれば問題が残り続けることはありません。

しかし、プログラムのアップデートなどをしないままだと脆弱性が残り続けるため、悪意を持った第三者によって不正に利用されることになるのです。

したがって、常に適切に更新プログラムを適用し、アップデートを行なうことで脆弱性を解消する必要があります。

また、ECサイトにおいては、下記2つのプログラムに対して更新が必要です。

  • サイト自体を構成するプログラム
  • サイトが動作するサーバーやサーバー上のプログラム

脆弱性が“残ったまま”となることが無いよう注意が必要です。

2 サイトの管理パスワードの厳重な管理

サイトの管理画面などにアクセスするパスワードが外部に漏洩してしまうと、簡単に不正アクセスされ、サイトを乗っ取られてしまうことにもつながりかねません。

したがって、サイトのパスワードの管理は厳重に行なって、定期的に変更するようにしましょう。

3 サーバーのOSやプログラムに適切にアップデートを適用する

サーバーのOSやプログラムのアップデートも、1と同様必要となります。

攻撃時に利用される脆弱性はどこに潜んでいるか分かりません。サーバーに関しても、最新のバージョンにしておくことで、リスクを最小限に留めるようにしましょう。

4 ネットワークへの不正アクセスを検知する仕組みの導入

そして最後に、ECサイトやECサイトが動作するサーバー、そしてそれらが設置されているネットワークに対して不正なアクセスや攻撃があった際に、防御を行うことが大切であることを説明します。

サーバーやネットワークに対して不正な攻撃が行われると、結果的に侵入され、情報漏洩につながる恐れがあります。また、仮に侵入されなくても、DDoS攻撃のように攻撃されることでサイトの表示がものすごく遅くなってしまうなど、パフォーマンスに大きな影響を及ぼすケースがあります。

したがって、こういった不正なアクセスや攻撃があった際にブロックし、侵入を防ぐ侵入防止システム(IPS)や、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを防御するWebアプリケーションファイアウォール(WAF)の導入も非常に有効な対策です。WAFにはクラウド型のものもあるので、目的に応じてそちらを利用するのも良いでしょう。

まとめ

ECサイトからの情報漏洩は、一旦発生すると影響する対象ユーザーは多く、賠償など金額的な面での影響が大きくなる傾向があります。

発生を防ぐためには、今回紹介したようなポイントをしっかりと押さえていくことが重要です。

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ