ECサイトで求められる情報セキュリティ対策とは？

　ECサイトを運営する際には、情報セキュリティ対策が必要です。もし対策に不備があれば、金銭的な損失を被るだけでなく、事業の継続が困難になる恐れもあります。ECサイトに求められる情報セキュリティ対策、対策を実施しないことで生じるリスク、対策する際のポイントなどを解説します。

　ECサイトを運営しているのなら、適切な情報セキュリティ対策が不可欠です。ECサイトでは個人情報を扱うためサイバー攻撃のターゲットとなりやすく、万が一情報が流出でもすると甚大な損失を被りかねません。まずは、ECサイトにおける情報セキュリティ対策の必要性を把握しておきましょう。

　ECサイトでユーザーが買い物をする場合、氏名や自宅の住所、連絡先といった情報をはじめ、必要に応じてクレジットカード情報も入力します。犯罪者にとってこれらの情報は“宝の山”であり、個人情報を狙ってECサイトにサイバー攻撃を仕掛けるケースは珍しくありません。

　ECサイトを、オープンソースのプログラムを利用して構築しているのであれば、なおさら注意が必要です。オープンソースのプログラムは誰でも閲覧可能であるため、犯罪者が脆弱性を見つけて攻撃を仕掛けてくるリスクが否めません。適切かつ堅牢な情報セキュリティ対策が求められます。

　運営しているECサイトがサイバー攻撃に遭い、個人情報が外部へ流出した場合、企業にとっての損害は計りしれません。

　現代は、多くの人が個人情報の扱いに目を光らせている時代です。企業が顧客の個人情報を流出させたとなれば、社会的な信頼を失ってしまいます。大手から中小規模まで数多くのECサイトが乱立している時代のため、情報を漏えいするような危ない企業のECサイトを好んで使うユーザーがいるとは考えにくいです。顧客が離れていくことも想像に難くないでしょう。

　情報流出となれば社会的な信頼は失われ、去った顧客が戻ってこないとなると、最悪の場合には事業の継続が難しくなることも考えられます。

顧客一人ひとりを深く理解した最適なデジタルマーケティング・店舗販促をデータドリブンに伴走支援するCXソリューション

インターネット通販が拡大する一方、実店舗での売上が減少し、人々の購買スタイルが大きく変化しています。
NTT東日本では、データ収集から効果的なマーケティング施策の検討・実行までをトータルでサポートします。
簡易データ分析実施中！お持ちのデータを分析してみませんか？⇒詳しくはこちら

　適切な情報セキュリティ対策を実施することによって、前述のようなリスクの軽減が期待できます。ECサイトの情報セキュリティ対策を行う際には、以下に挙げる3つのポイントを押さえておくべきでしょう。

　まずはECサイトを運営でするうえで発生する可能性がある情報セキュリティリスクを、事前に把握しておくべきでしょう。どのような情報セキュリティリスクがあるのか分からなければ、対策の必要性が理解できず具体的な対処もできません。

　情報セキュリティリスクとしては、Webサイトの改ざんやマルウェア感染といったサイバー攻撃の脅威が考えられます。こうした外的要因に加え、従業員が個人情報を持ち出すケースもあります。

　個人情報が入ったデバイスを従業員が外に置き忘れた、重要な情報を記載したメールを違う宛先へ誤送信したといったような、偶発的脅威にも注意すべきです。このような偶発的脅威に対しても、企業は対策が求められます。

　脆弱性についての把握も必要です。ECサイトを構成しているプログラムやソフトウェアに脆弱性（弱点）があると、そこを狙ってサイバー攻撃を受けるおそれがあります。

　前述の通り、従業員のミスによって情報が外部に漏れるケースもあります。このような事態を招かぬよう、情報を扱う従業員に対する情報セキュリティ教育が必要です。情報漏えいによって企業がどのような損失を受けるのか、どういったリスクがあるのかを伝えたうえで、リスク回避のための行動を伝えます。個人情報を管理しているデバイスを外部に持ち出さない、メールの添付ファイルでやり取りしないなど、情報の扱いに関するルールを設けるのも有効です。

　情報セキュリティ教育の際は、従業員が情報漏えいのリスクを自分事として受け止められるよう、他社の事例を用いるのも有効です。実際にどのような被害を受けたのか実例を提示することで、情報漏えいによるリスクや深刻さが伝わります。

　不正アクセスとは、アクセス権を持たない第三者がシステムやプログラムへアクセスすることです。ECサイトへの不正アクセスが発生すると、個人情報の流出やECサイトの乗っ取り、商品の不正購入、ECサイトの改ざんなどさまざまなトラブルに発展します。

　こうした不正アクセスを防止する情報セキュリティシステムも存在します。こうしたシステムを導入することで、明らかに人の手で操作していないと判断されるアクセスを拒むことができます。

　こうした不正アクセスを防ぐシステムとして有名なのは、IDSとIPSです。IDSとは不正侵入検知システムのことであり、システムが不正アクセスを検知すると管理者に通知します。

　一方のIPSは不正侵入防御システムとも呼ばれており、ネットワークやサーバーへの不正な侵入を防止するシステムです。IDSとの大きな違いは、不正アクセスを検知したあとの対応です。IDSは不正アクセスの検知、管理者への通知のみであるのに対し、IPSは侵入を阻むための具体的なアクションを起こします。

　サイバー攻撃の手口は、標的型攻撃、マルウェア、不正ログインなど、さまざまなものがあります。サイバー攻撃の主な手口を理解したうえで適切な対策を行い、ECサイトの安全性を確保しましょう。

　標的型攻撃とは、特定の企業や個人をターゲットとするサイバー攻撃の一種です。標的型攻撃の手口にはさまざまなものがあり、たとえばターゲットとする企業の担当者へマルウェアを仕込んだメールを送信する手口も、そのひとつです。

　そのほかにも、ターゲットの行動を予測し、訪れる可能性が高いWebサイトにウイルスを仕掛けて感染させる「水飲み場攻撃」や、送信者を偽ったメールを送って情報を詐取しようとする「フィッシング」などがあります。

　さらに、新たに見つかった情報セキュリティの脆弱性が改善されるまでのわずかなすき間を狙って攻撃を仕掛ける「ゼロデイ攻撃」や、ターゲットとするECサイトのサーバーに過度な負担をかける「Dos攻撃」「DDoS攻撃」もあります。

　マルウェアとは、悪意のもとに作成されたプログラムで、コンピューターやサーバーがマルウェアに感染することで、さまざまな不具合や誤作動の原因となります。具体的には、トロイの木馬やワーム、ランサムウェアなどが挙げられます。

　トロイの木馬は、無害を装ってターゲットのシステムに侵入し、さまざまな実害を及ぼすマルウェアです。ターゲットが無害なアプリと考えダウンロードし、その後起動すると、さまざまな情報を抜き取られたり、デバイスがクラッシュするといった被害を受けるおそれがあります。

　ワームもさまざまな被害をもたらすマルウェアです。自らを複製しつつ、感染を拡大していく点が大きな特徴です。世界中に感染が拡大し、多くのデバイスが被害を受けたこともあります。

　ランサムウェアは、デバイスに保管されているデータやファイルを暗号化するマルウェアです。ランサムウェアは暗号化を解く条件として身代金を要求しますが、身代金を支払ってもデータが復元される保証はありません。

　不正ログインとは、ログインする権限を持たない第三者が不正にパスワードなどを取得し、システムやWebサイトへログインすることを示します。ECサイトやネットバンク、SNSなどは不正ログインのターゲットとなりやすくなります。

　通常、Webサイトやシステムなどへログインするには、IDやパスワードを入力しなくてはなりません。逆に言えば、IDやパスワードさえ取得してしまえば、悪意ある第三者がログインすることは可能です。不正ログインを許すと、個人情報をはじめとする機密情報を奪われるおそれがあるほか、直接的な金銭の被害に遭うリスクもあります。

　不正ログインの手法としては、パスワードリスト攻撃が代表的です。何らかの手段でIDやパスワードのリストを手に入れ、それに基づき不正ログインを試みるというものです。そのほかには、人物名や一般的な単語などを組み合わせながらパスワードを読み解こうとする辞書攻撃、ツールを用いてパスワードを生成していくブルートフォースアタックなどもあります。

　ECサイトに取り入れるべき情報セキュリティ対策として、以下の3点を紹介します。

　パスワードが第三者に知られると、情報漏えいをはじめとするさまざまなリスクを招きます。

　パスワードが漏えいする可能性は、日常に潜んでいます。たとえばECサイトの管理者が外出先でノートパソコンを開き、管理画面を開いた際に、周りにいた第三者がパスワードを目撃するという可能性もあります。

　このような事態を回避するには、業務にあわせて適切にアクセス権限を付与するのが有効です。重要な情報へアクセスできる人物が少なくなり、セキュリティリスクが抑えられます。

　WAFとは、Webアプリケーションファイアウォールのことです。アプリケーションの脆弱性をターゲットとする攻撃から保護するための仕組みで、サイバー攻撃への対策に有効です。

　WAFには、通信のモニタリングや制御、特定IPアドレスのアクセス拒否、ログの収集といった機能が実装されています。これらの機能によって、Dos攻撃やSQLインジェクション、ブルートフォースアタックといったサイバー攻撃を防御する可能性が高まります。

　WAFは、一般的なファイアウォールやIDS、IPSではカバーが難しい領域を防御できます。クレジットカード情報や顧客情報といった機密データを安全に保護できるため、ECサイトに必須のシステムともいえます。

　IDとパスワードを適切に管理していても、どこから漏れるか分かりません。ECサイトへの侵入を試みる悪意ある第三者が、IDやパスワードを取得してしまえば侵入を許すことになります。このような事態を回避するには、二要素認証などの不正ログイン対策が有効です。

　二要素認証は、利用者のみが知りうる情報を組み合わせて認証を行う仕組みです。本人のみが知る暗証番号やパスワード、本人所有のスマートフォンに届く認証コード、指紋情報などを組み合わせるため、不正ログインの防止に有効です。

　ECサイトの情報セキュリティ対策が不十分だと、サイトの改ざんや情報漏えいなどさまざまなリスクを招きます。クレジットカード情報をはじめとした個人情報が流出すると、社会的な信用を失い事業の継続も危ぶまれます。

　このようなリスクを回避するには、ECサイトを運営している企業は従業員への情報セキュリティ教育を徹底し、情報セキュリティリスクの種類も把握したうえで適切な対策を講じる必要があります。顧客が安全に利用できるECサイト環境を構築すべく、アクセス制限の厳重化やWAF導入などを検討すべきでしょう。