ECサイトはセキュリティ対策が重要!その理由や対策方法とは?

ECサイトを運営する事業者にとって、サイバー攻撃などの脅威は決して軽視できない問題です。それらの脅威に対して、万全のセキュリティ対策を講じておくことは、ECサイトを運営する事業者の責任だと言えます。

 

今回は、ECサイトにおけるセキュリティ対策の重要性やサイバー攻撃の手口、そしてそれらの脅威からECサイトを守る具体的な方法について解説します。

 

セキュリティインシデントの種類

ニュースや報道などで、「顧客データが流出」「不正アクセスの被害」といった情報セキュリティ事故について耳にすることも多いでしょう。これらの事故は、情報セキュリティの分野で「セキュリティインシデント」と呼ばれます。

 

「インシデント」とは「事件」や「出来事」を意味する単語で、セキュリティインシデントの被害としては主に次のような種類が考えられます。

 
  • コンピュータウイルス感染
  • データ流出
  • サイトの改ざん
  • クレジットカードの不正利用

ECサイトで情報セキュリティ対策が大切な理由

ECサイトで情報セキュリティ対策が大切な理由

 

インターネット上に公開されたサイトは総じて情報セキュリティ対策が必要ですが、その中でも特にECサイトはセキュリティ対策が重要です。その理由としては、以下のようなことが挙げられます。

多額の賠償責任が問われる可能性

ECサイトでセキュリティ事故が発生し、顧客情報などが流出した場合、被害を受けた取引先や顧客への賠償責任を問われる可能性があります。

 

それだけでなく、事故原因や被害範囲の調査費用、再発防止策の実施など、セキュリティインシデントへの対応には多くのコストがかかってしまいます。

 

JNSA(日本ネットワークセキュリティ協会)が2018年に実施した調査によれば、個人情報漏えいのセキュリティインシデントが発生した場合の一件あたり平均想定損害賠償額は6億3,767万円(※)にのぼると試算されています。
(参照元: NPO日本ネットワークセキュリティ協会 報告書・公開資料

 

このような多額の賠償責任が発生した場合、中小・零細企業のみならず、大企業においても事業の存続にかかわる危機となり得るでしょう。

社会的信用が失墜する

自社が運営するECサイトでセキュリティインシデントが発生した場合、仮に直接的な被害は抑えられたとしても、情報漏えいに対する社会の目は厳しく、ブランドイメージは低下し、社会的信用が失われることになります。

 

もしそうなった場合、失った信用を取り戻すのは容易ではなく、新規顧客の獲得ハードルが高くなるだけでなく、既存顧客からも敬遠されやすくなるのは明白です。セキュリティインシデント発生による直接的な損害は乗り越えたとしても、顧客離れが進めば事業の存続は困難になってしまうでしょう。

ECサイトは狙われやすい

サイバー攻撃の対象となりやすい点も、ECサイトでセキュリティが重視される理由のひとつです。

 

サイバー攻撃を仕掛ける者には当然目的があり、その多くは直接的な利益をもたらすもの、つまり金銭や重要な情報などが標的となります。ECサイトは個人情報やクレジットカード情報など、犯罪者にとって価値のある情報の宝庫であり、その分サイバー攻撃のターゲットとなりやすいのです。

 

また、ECサイトはソースコードや脆弱性に関する情報が一般公開されている、オープンソースを使って構築されたものも多く、ハッカーにとって格好の標的となり得ます。オープンソースでサイトを構築している場合はアップデート作業などを迅速に行い、セキュリティ対策に万全を期す必要があるでしょう。

サイバー攻撃の手口

サイバー攻撃の手口

 

セキュリティインシデントを引き起こすサイバー攻撃にはいくつかのパターンがあります。これらサイバー攻撃の手口を正しく知ることが、セキュリティ対策の第一歩です。ここでは、代表的なサイバー攻撃の手口をご紹介します。

標的型

標的型とは、ターゲットを特定の企業や個人に絞って行うサイバー攻撃です。標的型サイバー攻撃の代表的なものとしては次の方法が挙げられます。

 

【水飲み場攻撃】

ターゲットがアクセスしそうなWebサイトを予め改ざんし、アクセスしたと同時にウイルスなどに感染させる

 

【フィッシング】

有名企業を装ったメールを送り、クレジットカード情報や機密情報などを盗み出す

 

【DoS攻撃/DDoS攻撃】

サーバーに過剰な負荷をかけて、ネットワークの遅延やサーバーダウンを狙う

 

【ゼロデイ攻撃】

新たなセキュリティホール(脆弱性)が発見された際、対策が取られる前に攻撃を行う

パスワード取得による不正ログイン

何らかの方法でサイトやサーバーのパスワードを取得し、不正ログインを行うというシンプルな手口ですが、管理者権限のパスワードが破られると甚大な被害を受けます。パスワードの不正取得の方法には以下のような種類があります。

 

【パスワードリスト攻撃】

IDとパスワードのリストを入手し、不正ログインを行う

 

【ブルートフォースアタック(総当たり攻撃)】

ツールを使って、パスワードとなり得る組み合わせを片っ端から試す

 

【辞書攻撃】

辞書や人名リストに掲載された単語を組み合わせてパスワードを生成する

 

マルウェア

マルウェアとは不正な動作を意図して作られたソフトウェアのことで、情報を盗み出したり、システムを破壊したりする目的で悪用されます。以下がマルウェアの代表的なものです

 

【コンピュータウイルス】

ソフト実行時に動作を妨げるプログラムで、他のプログラムに寄生して自主的に増殖・拡散していく

 

【ワーム】

他のプログラムに寄生せず、単独で自己増殖可能なマルウェア

 

【トロイの木馬】

正規のプログラムと見せかけてユーザーに実行させ、プログラムが実行されると有害な動きを始める

これらマルウェアに感染すると「バックドア」と呼ばれる、攻撃者がそのコンピュータに侵入しやすくするための「裏口」が作られ、そこから侵入される危険性もあります。

ECサイトに求められるセキュリティ対策

情報セキュリティ対策の方法

 

ECサイトにおける情報セキュリティ対策は重要度が高い課題です。では、サイバー攻撃からECサイトを守るためにはどのような対策が有効なのでしょうか。情報セキュリティ対策の具体的な方法について解説します。

内部での対策

じつは、セキュリティインシデントを引き起こす脅威は、サイバー攻撃のような外部要因だけではありません。セキュリティインシデントのうち、内部要因によって引き起こされるケースは全体の8割(※)を占めるとも言われています。
(参照元: NPO日本ネットワークセキュリティ協会 報告書・公開資料

 

例えば、自社社員による操作ミスや管理ミスといった意図せぬ要因だけでなく、悪意ある従業員が情報の持ち出しなどの不正を行うケースも少なくないのです。

 

内部要因によるセキュリティインシデントを防ぐには、社内教育によるセキュリティに対する意識の底上げや、システムの操作ログを取得する仕組みを導入し、内部的要因によるセキュリティインシデントを防止・検知するためのガバナンス体制を整える必要があります。

適切なアップデート

サイバー攻撃はECサイトの脆弱性を主な攻撃目標にします。クラウドECやASPでは、脆弱性を解消するアップデートが開発元によって随時行われていますが、ソースコードや脆弱性情報が公表されるオープンソースは、特に適切なバージョンアップデートによるセキュリティ対策が必須です。

 

ECサイトで利用されているシステムやアプリケーションのアップデートはもちろんのこと、サーバーのOSや周辺機器のシステムも常に最新バージョンにアップデートするよう心がけましょう。

クレジットカード決済システムの整備

ECサイトで特に注意しなければならないのが、クレジットカード情報の取り扱いです。現在、ECサイトを含めたクレジットカードを扱う加盟店には、カード情報の管理や不正使用対策が義務付けられているため、「クレジットカード情報の非保持化」または「PCIDSSに準拠」どちらかの対策をとる必要があります。

 

【クレジットカード情報の非保持化】

クレジットカード決済を代行するサービスを利用することにより、カード情報を自社のネットワークで一切処理や保存を行わない方法です。決済処理を代行業者のサイトで行う方式と、カード情報をトークンに置き換えて代行業者へ送信する方式などが例として挙げられます。

 

【PCI DSSに準拠する】

もし自社でクレジットカード決済システムを管理しなければならない事情がある場合は、「PCI DSS」と呼ばれる国際セキュリティ基準の認定をパスする必要があります。しかし、PCI DSSの認定を受けるには初期費用として莫大なコストがかかるなど、導入難易度が比較的高い方法です。

 

【3Dセキュア2.0への対応】

3Dセキュアは、非対面でクレジットカード決済を行う際の不正利用対策として世界標準となっている本人認証方法で、3Dセキュア2.0はワンタイムパスワードや生体認証を用いて本人認証を行います。経済産業省は2025年3月末を目処に、すべてのEC事業者において3Dセキュア2.0の導入を義務化する方針を発表しています。

 

セキュリティ対策用のシステム導入

サイバー攻撃からシステムを守るには、ウイルス対策ソフトや不正アクセスを検知するシステム、ファイヤーウォールと呼ばれる外部からの不正アクセスを防止するシステムなどを導入するのが有効な手段となります。

 

またECサイトのどの部分にセキュリティ上の弱点があるかを診断してくれる「脆弱性診断」を受けてみるのもおすすめです。脆弱性があらかじめ分かっていれば、対処すべき課題も絞りやすく、弱い部分を重点的に強化することができます。

 

いずれにしても、セキュリティ対策には高度で専門的なスキルを要するので、社内だけで対処しようとせず、セキュリティ対策専門の会社に相談することも大切です。

強固なセキュリティを実現するなら「メルカート」

ここまでは、ECサイトにおけるセキュリティの重要性や対策について説明してきましたが、何より重要なのがECサイト構築・リニューアルの際にセキュリティが強固なカートシステムを選定することです。

 

次は、強固なセキュリティを実現するECカートとして、株式会社エートゥジェイが提供するクラウドECプラットフォーム「メルカート」をご紹介します。

 

「メルカート」は、国内ECサイト構築実績No.1のECパッケージ「ecbeing」から生まれたサービス。では、「メルカート」の特徴を詳しく見ていきましょう。

基盤・運用のハイブリッドなセキュリティ対策

「メルカート」は、ECに特化した強固なセキュリティ体制を整えています。

 

業界随一のセキュリティ基盤に加え、運用に関しても高水準のセキュリティ対策を徹底しています。基盤・運用のハイブリッドなセキュリティ対策により、お客様が安心してECサイトを運用できる環境を提供いたします。

>メルカートのセキュリティについて詳しく知りたい方はこちら

充実の機能をクラウド上で利用可能

ECパッケージと同水準の充実の機能も、「メルカート」の特徴です。

 

「ecbeing」の標準機能をクラウド上で利用することができ、集客から販促、顧客管理や分析まで一気通貫で実現可能。日々の運用を効率化する機能やセキュリティ関連の機能も充実しています。

 

また、オプション機能やマイクロサービスの活用、外部ツール連携により、機能を拡張していくことも可能です。さらに、ECサイトの成長に応じて、「ecbeing」へと短期間・低コストで移行することもできるので、将来的な成長を見据えつつECサイトを構築したいという場合にもおすすめです。

EC初心者も安心のサポート体制

メルカートは、はじめてECサイト運営に取り組む事業者の方でも安心のサポート体制を整えています。

 

ECサイトのリリース前には、初期セットアップや機能の使い方に関するトレーニングを実施し、運用開始に向けたお客様の不安や疑問を解消。リリース後も、専任のカスタマーサクセスチームが機能に関する質問や、売上アップに向けたご相談に対応いたします。

 

さらに、Web広告運用やコンテンツ制作、SNS・CRMなどさまざまなサービスを用意しているので、EC運用に関するノウハウや社内リソースに不安がある場合でも安心して売上アップを目指すことが可能です。

メルカートのすべてがわかる!

メルカート概要・事例まとめ資料

メルカートの概要と各業界別の事例をまとめた資料です。

こんな人におすすめ

・メルカートでどんな事が実現できるのか知りたい
・メルカートに関する情報をまとめた資料が欲しい
・導入後どのような効果と変化が出たのか知りたい
・導入した企業の実際の声を知りたい

今すぐホワイトペーパーを
無料ダウンロード

「メルカート」でセキュリティの不安を解消した事例

最後に、「メルカート」を利用してセキュリティの不安を解消した企業事例をご紹介します。

セキュリティの安心感が導入の後押しに(オッシュマンズ・ジャパン)

「アメリカ生まれのスポーツショップ」をコンセプトに店舗を展開する株式会社オッシュマンズ・ジャパンは、2016年に「メルカート」を採用してECサイトリニューアルを実施しました。

 

同社では2007年からECサイトを運営しており、2010年からはECパッケージ「ecbeing」を利用してECサイトを運営してきました。しかし、当時は運用代行会社を挟む形でサイトを運営しており、サイト運営のスピード感やランニングコストが課題となっていました。

 

こうした背景から、同社はECサイトのリニューアルを検討開始。当初はASPでのリニューアルを検討しましたが、セキュリティ面がネックになり採用には至りませんでした。

 

最終的に、定期的に自動アップデートが実施されることや、パッケージ製品よりもコストも抑えられる点、さらにセキュリティ面の安心感があることから、「メルカート」でのリニューアルを決定しました。

 

「メルカート」でのリニューアルにより、以前抱えていた課題を解消することに成功。運用代行会社に委託していた頃と比較すると、ランニングコストは3分の1程度まで減少しています。さらに、サイト運営のスピードが向上し、空いた工数でメルマガ配信などに取り組むことが可能に。リニューアル前と比べて会員登録者数が月最大で140%アップするなど、ECサイトの成長を実感されています。

BtoB用途での活用を見据えてセキュリティを重視(はとバスエージェンシー)

はとバスのグループの一角として広告代理店業や保険代理店業を展開する株式会社はとバスエージェンシーは、「メルカート」を採用してECサイトをリニューアルオープンしました。

 

かねてより、はとバスグッズを中心としたオリジナル商品のEC販売を行っていた同社。しかし、旧ECサイトはスマートフォンからの閲覧に対応できていないほか、機能面の不足や更新作業の不便さなども課題となっていました。

 

そうしたなか、コロナ禍に突入したことでEC事業の重要性が高まり、リニューアルに向けたプロジェクトが発足。ECサイトをBtoB向けの営業ツールとしても活用していきたいという考えも、リニューアルに踏み出すきっかけとなりました。セキュリティ面やシステムの更新を考慮し、いくつかのカートサービスの比較検討を実施しました。選定を進めた結果、豊富な実績や専門家による手厚いサポートなどがポイントとなり、「メルカート」の採用に至りました。

 

「メルカート」でのリニューアル後、ECサイト運営の作業効率が飛躍的に向上。セキュリティ面の安心感やシステムの自動更新などにメリットを感じているほか、独自のカスタマイズによるBtoB用途での活用にも手応えを得ています。

まとめ

ECサイトは個人情報やクレジットカード情報など、価値の高い情報を多く扱うため、サイバー攻撃の標的となりやすいです。

 

ひとたびセキュリティインシデントが発生すると、被害者に対する莫大な損害賠償や社会的信用の失墜、売上の低下など、サイトの存続すら危ぶまれる重大な問題に発展しかねません。

 

今回ご紹介した内部対策やシステムのアップデート、クレジットカード決済システムの整備、セキュリティ対策上のシステム導入などを万全に行い、安全なECサイト運用を実現しましょう。


構築・運用・サポート

売れ続ける仕組みが作れるECネットショップ制作サービスをお探しの方はメルカートへ

成功のノウハウを集めた
実例集プレゼント!

デモも
受付中


株式会社エートゥジェイ
メルカート事業責任者 / 執行役員渡邉 章公

2010年に株式会社ecbeingへ入社。エンジニアとして様々なクライアントのECサイト構築支援に従事。2016年よりSaaS型のECプラットフォーム構築に参画し、2018年に新サービス『メルカート』を立ち上げ。2020年にグループ会社のエートゥジェイへ事業と共に転籍し、執行役員に就任。

渡辺

人気の記事

メルカート概要資料

個別相談会