JNSA（日本ネットワークセキュリティ協会）が公開している「インシデント損害額調査レポート第2版」によれば、セキュリティインシデントが発生した場合の損害賠償金の額は、中小企業であったとしても数千万円～数億円になることが想定されると示されています。
（参照元：NPO日本ネットワークセキュリティ協会　報告書・公開資料）

このような多額の賠償責任が発生した場合、中小・零細企業のみならず、大企業においても事業の存続にかかわる危機となり得るでしょう。

社会的信用が失墜する

自社が運営するECサイトでセキュリティインシデントが発生した場合、仮に直接的な被害は抑えられたとしても、情報漏えいに対する社会の目は厳しく、ブランドイメージは低下し、社会的信用が失われることになります。

もしそうなった場合、失った信用を取り戻すのは容易ではなく、新規顧客の獲得ハードルが高くなるだけでなく、既存顧客からも敬遠されやすくなるのは明白です。セキュリティインシデント発生による直接的な損害は乗り越えたとしても、顧客離れが進めば事業の存続は困難になってしまうでしょう。

ECサイトを狙うサイバー攻撃の手口

サイバー攻撃の手口

セキュリティインシデントを引き起こすサイバー攻撃にはいくつかのパターンがあります。これらサイバー攻撃の手口を正しく知ることが、セキュリティ対策の第一歩です。ここでは、代表的なサイバー攻撃の手口をご紹介します。

標的型

標的型とは、ターゲットを特定の企業や個人に絞って行うサイバー攻撃です。標的型サイバー攻撃の代表的なものとしては次の方法が挙げられます。

【水飲み場攻撃】

ターゲットがアクセスしそうなWebサイトを予め改ざんし、アクセスしたと同時にウイルスなどに感染させる

【フィッシング】

有名企業を装ったメールを送り、クレジットカード情報や機密情報などを盗み出す

【DoS攻撃／DDoS攻撃】

サーバーに過剰な負荷をかけて、ネットワークの遅延やサーバーダウンを狙う

【ゼロデイ攻撃】

新たなセキュリティホール（脆弱性）が発見された際、対策が取られる前に攻撃を行う

パスワード取得による不正ログイン

何らかの方法でサイトやサーバーのパスワードを取得し、不正ログインを行うというシンプルな手口ですが、管理者権限のパスワードが破られると甚大な被害を受けます。パスワードの不正取得の方法には以下のような種類があります。

【パスワードリスト攻撃】

IDとパスワードのリストを入手し、不正ログインを行う

【ブルートフォースアタック（総当たり攻撃）】

ツールを使って、パスワードとなり得る組み合わせを片っ端から試す

【辞書攻撃】

辞書や人名リストに掲載された単語を組み合わせてパスワードを生成する

マルウェア

マルウェアとは不正な動作を意図して作られたソフトウェアのことで、情報を盗み出したり、システムを破壊したりする目的で悪用されます。以下がマルウェアの代表的なものです

【コンピュータウイルス】

ソフト実行時に動作を妨げるプログラムで、他のプログラムに寄生して自主的に増殖・拡散していく

【ワーム】

他のプログラムに寄生せず、単独で自己増殖可能なマルウェア

【トロイの木馬】

正規のプログラムと見せかけてユーザーに実行させ、プログラムが実行されると有害な動きを始める

これらマルウェアに感染すると「バックドア」と呼ばれる、攻撃者がそのコンピュータに侵入しやすくするための「裏口」が作られ、そこから侵入される危険性もあります。

ECサイトに求められるセキュリティ対策

情報セキュリティ対策の方法

ECサイトにおける情報セキュリティ対策は重要度が高い課題です。では、サイバー攻撃からECサイトを守るためにはどのような対策が有効なのでしょうか。情報セキュリティ対策の具体的な方法について解説します。

内部での対策

じつは、セキュリティインシデントを引き起こす脅威は、サイバー攻撃のような外部要因だけではありません。セキュリティインシデントのうち、内部要因によって引き起こされるケースは全体の8割（※）を占めるとも言われています。
（参照元： NPO日本ネットワークセキュリティ協会　報告書・公開資料）

例えば、自社社員による操作ミスや管理ミスといった意図せぬ要因だけでなく、悪意ある従業員が情報の持ち出しなどの不正を行うケースも少なくないのです。

内部要因によるセキュリティインシデントを防ぐには、社内教育によるセキュリティに対する意識の底上げや、システムの操作ログを取得する仕組みを導入し、内部的要因によるセキュリティインシデントを防止・検知するためのガバナンス体制を整える必要があります。

適切なアップデート

サイバー攻撃はECサイトの脆弱性を主な攻撃目標にします。

クラウドECやASPでは、脆弱性を解消するアップデートが開発元によって随時行われていますが、ソースコードや脆弱性情報が公表されるオープンソースは、適切なバージョンアップデートによるセキュリティ対策が必須です。

また、パッケージ型・オンプレミス型のカートシステムを利用している場合も、アップデート等の対応は自社で実施、もしくはベンダーに依頼が必要になります。

※関連記事：オンプレミスとは？メリット・デメリットやクラウドとの違いを解説

ECサイトで利用されているシステムやアプリケーションのアップデートはもちろんのこと、サーバーのOSや周辺機器のシステムも常に最新バージョンにアップデートするよう心がけましょう。

通信の暗号化（SSL化）

ECサイトを狙ったデータの盗聴や改ざんといった不正を防ぐためにも、SSLの導入による通信の暗号化を行いましょう。

SSLとは「Secure Sockets Layer」の略で、サーバーとパソコン間で行われているデータの送受信を暗号化する仕組みのこと。

ユーザーが安心して利用できるECサイトを作るためにも、SSLの導入は不可欠です。

※関連記事：SSLとは？役割や導入手順などを解説

クレジットカード決済システムの整備

ECサイトで特に注意しなければならないのが、クレジットカード情報の取り扱いです。現在、ECサイトを含めたクレジットカードを扱う加盟店には、カード情報の管理や不正使用対策が義務付けられているため、「クレジットカード情報の非保持化」または「PCIDSSに準拠」どちらかの対策をとる必要があります。

【クレジットカード情報の非保持化】

クレジットカード決済を代行するサービスを利用することにより、カード情報を自社のネットワークで一切処理や保存を行わない方法です。決済処理を代行業者のサイトで行う方式と、カード情報をトークンに置き換えて代行業者へ送信する方式などが例として挙げられます。

【PCI DSSに準拠する】

もし自社でクレジットカード決済システムを管理しなければならない事情がある場合は、「PCI DSS」と呼ばれる国際セキュリティ基準の認定をパスする必要があります。しかし、PCI DSSの認定を受けるには初期費用として莫大なコストがかかるなど、導入難易度が比較的高い方法です。

【3Dセキュア2.0への対応】

3Dセキュアは、非対面でクレジットカード決済を行う際の不正利用対策として世界標準となっている本人認証方法で、3Dセキュア2.0はワンタイムパスワードや生体認証を用いて本人認証を行います。

経済産業省は2025年3月末をもって、すべてのEC事業者における3Dセキュア2.0の導入を義務化しています。

セキュリティ対策用のシステム導入

サイバー攻撃からシステムを守るには、ウイルス対策ソフトや不正アクセスを検知するシステム、ファイヤーウォールと呼ばれる外部からの不正アクセスを防止するシステムなどを導入するのが有効な手段となります。

またECサイトのどの部分にセキュリティ上の弱点があるかを診断してくれる「脆弱性診断」を受けてみるのもおすすめです。脆弱性があらかじめ分かっていれば、対処すべき課題も絞りやすく、弱い部分を重点的に強化することができます。

いずれにしても、セキュリティ対策には高度で専門的なスキルを要するので、社内だけで対処しようとせず、セキュリティ対策専門の会社に相談することも大切です。

強固なセキュリティを実現するなら「メルカート」

ここまでは、ECサイトにおけるセキュリティの重要性や対策について説明してきましたが、何より重要なのがECサイト構築・リニューアルの際にセキュリティが強固なカートシステムを選定することです。

次は、強固なセキュリティを実現するECカートとして、クラウドECプラットフォーム「メルカート」をご紹介します。

「メルカート」は、国内ECサイト構築実績No.1のECパッケージ「ecbeing」から生まれたサービス。では、「メルカート」の特徴を詳しく見ていきましょう。

基盤・運用のハイブリッドなセキュリティ対策

「メルカート」は、ECに特化した強固なセキュリティ体制を整えています。

業界随一のセキュリティ基盤に加え、運用に関しても高水準のセキュリティ対策を徹底しています。基盤・運用のハイブリッドなセキュリティ対策により、お客様が安心してECサイトを運用できる環境を提供いたします。

メルカートのセキュリティを詳しく見る

充実の機能をクラウド上で利用可能

ECパッケージと同水準の充実の機能も、「メルカート」の特徴です。

「ecbeing」の標準機能をクラウド上で利用することができ、集客から販促、顧客管理や分析まで一気通貫で実現可能。日々の運用を効率化する機能やセキュリティ関連の機能も充実しています。

また、オプション機能やマイクロサービスの活用、外部ツール連携により、機能を拡張していくことも可能です。さらに、ECサイトの成長に応じて、「ecbeing」へと短期間・低コストで移行することもできるので、将来的な成長を見据えつつECサイトを構築したいという場合にもおすすめです。

EC初心者も安心のサポート体制

メルカートは、はじめてECサイト運営に取り組む事業者の方でも安心のサポート体制を整えています。

ECサイトのリリース前には、初期セットアップや機能の使い方に関するトレーニングを実施し、運用開始に向けたお客様の不安や疑問を解消。リリース後も、専任のカスタマーサクセスチームが機能に関する質問や、売上アップに向けたご相談に対応いたします。

さらに、Web広告運用やコンテンツ制作、SNS・CRMなどさまざまなサービスを用意しているので、EC運用に関するノウハウや社内リソースに不安がある場合でも安心して売上アップを目指すことが可能です。

メルカートのすべてがわかる！

メルカート概要・事例まとめ資料

メルカートの概要と各業界別の事例をまとめた資料です。

こんな人におすすめ

今すぐホワイトペーパーを
無料ダウンロード

「メルカート」でセキュリティの不安を解消した事例

最後に、「メルカート」を利用してセキュリティの不安を解消した企業事例をご紹介します。

セキュリティの安心感が導入の後押しに（オッシュマンズ・ジャパン）

「アメリカ生まれのスポーツショップ」をコンセプトに店舗を展開する株式会社オッシュマンズ・ジャパンは、2016年に「メルカート」を採用してECサイトリニューアルを実施しました。

同社では2007年からECサイトを運営しており、2010年からはECパッケージ「ecbeing」を利用してECサイトを運営してきました。しかし、当時は運用代行会社を挟む形でサイトを運営しており、サイト運営のスピード感やランニングコストが課題となっていました。

こうした背景から、同社はECサイトのリニューアルを検討開始。当初はASPでのリニューアルを検討しましたが、セキュリティ面がネックになり採用には至りませんでした。

最終的に、定期的に自動アップデートが実施されることや、パッケージ製品よりもコストも抑えられる点、さらにセキュリティ面の安心感があることから、「メルカート」でのリニューアルを決定しました。

「メルカート」でのリニューアルにより、以前抱えていた課題を解消することに成功。運用代行会社に委託していた頃と比較すると、ランニングコストは3分の1程度まで減少しています。さらに、サイト運営のスピードが向上し、空いた工数でメルマガ配信などに取り組むことが可能に。リニューアル前と比べて会員登録者数が月最大で140％アップするなど、ECサイトの成長を実感されています。

株式会社オッシュマンズ・ジャパンのメルカート導入事例をもっと見る

BtoB用途での活用を見据えてセキュリティを重視（はとバスエージェンシー）

はとバスのグループの一角として広告代理店業や保険代理店業を展開する株式会社はとバスエージェンシーは、「メルカート」を採用してECサイトをリニューアルオープンしました。

かねてより、はとバスグッズを中心としたオリジナル商品のEC販売を行っていた同社。しかし、旧ECサイトはスマートフォンからの閲覧に対応できていないほか、機能面の不足や更新作業の不便さなども課題となっていました。

そうしたなか、コロナ禍に突入したことでEC事業の重要性が高まり、リニューアルに向けたプロジェクトが発足。ECサイトをBtoB向けの営業ツールとしても活用していきたいという考えも、リニューアルに踏み出すきっかけとなりました。セキュリティ面やシステムの更新を考慮し、いくつかのカートサービスの比較検討を実施しました。選定を進めた結果、豊富な実績や専門家による手厚いサポートなどがポイントとなり、「メルカート」の採用に至りました。

「メルカート」でのリニューアル後、ECサイト運営の作業効率が飛躍的に向上。セキュリティ面の安心感やシステムの自動更新などにメリットを感じているほか、独自のカスタマイズによるBtoB用途での活用にも手応えを得ています。

株式会社はとバスエージェンシーのメルカート導入事例をもっと見る

ECサイトのセキュリティに関するよくある質問（FAQ）

ここでは、ECサイトのセキュリティに関するよくある質問とその回答を、あらためて整理していきましょう。

Q1. ECサイトにセキュリティ対策が必要な理由は？

ECサイトは個人情報やクレジットカード情報の宝庫であり、サイバー攻撃の標的になりやすいとされています。中小企業でも攻撃の「踏み台」にされるリスクがあり、事故が起きると多額の賠償責任や社会的信用の失墜を招き、事業継続が困難になる恐れがあります。

Q2. ECサイトを狙う主なサイバー攻撃の手口は？

特定の企業を狙う標的型攻撃（フィッシングやDoS攻撃など）、リストや総当たりによるパスワードの不正取得、マルウェア（ウイルスやトロイの木馬など）への感染といった手口があります。これらにより情報の流出やサイトの改ざん、カードの不正利用などの被害が発生します。

Q3. カード情報の取り扱いで必要な対策は何ですか？

事業者には「情報の非保持化」または「PCI DSS準拠」が義務付けられています。また、2025年3月末までに、本人認証を行う「3Dセキュア2.0」の導入が全EC事業者において義務化されています。外部の決済代行サービスを利用することで、自社で情報を保持しない対策が可能です。

Q4. 内部要因による不正を防ぐ具体的な対策は？

セキュリティインシデントの約8割は内部要因とされるため、社内教育による意識の底上げや、操作ログを取得する仕組みの導入が有効です。これにより、従業員の操作ミスや管理ミス、悪意ある情報の持ち出しを防止・検知するためのガバナンス体制を整えることが求められます。

Q5. ECプラットフォーム「メルカート」の特徴は？

実績豊富な「ecbeing」を基盤としたクラウドサービスです。

基盤と運用の両面で高水準のセキュリティ対策を徹底しており、集客から販促まで一気通貫の機能を備えています。専任チームによるサポート体制もあり、初心者でも安心してサイト運用や売上アップを目指せます。

まとめ

ECサイトは個人情報やクレジットカード情報など、価値の高い情報を多く扱うため、サイバー攻撃の標的となりやすいです。

ひとたびセキュリティインシデントが発生すると、被害者に対する莫大な損害賠償や社会的信用の失墜、売上の低下など、サイトの存続すら危ぶまれる重大な問題に発展しかねません。

今回ご紹介した内部対策やシステムのアップデート、クレジットカード決済システムの整備、セキュリティ対策上のシステム導入などを万全に行い、安全なECサイト運用を実現しましょう。

メルカートのすべてがわかる！

メルカート概要・事例まとめ資料

メルカートの概要と各業界別の事例をまとめた資料です。

こんな人におすすめ

今すぐホワイトペーパーを
無料ダウンロード

構築・運用・サポート

売れ続ける仕組みが作れるECネットショップ制作サービスをお探しの方はメルカートへ

成功のノウハウを集めた
実例集プレゼント!

デモも
受付中

お問合せ・資料請求はこちら >

株式会社エートゥジェイ
メルカート事業責任者 / 取締役渡邉章公

2010年に株式会社ecbeingへ入社。エンジニアとして様々なクライアントのECサイト構築支援に従事。2016年よりSaaS型のECプラットフォーム構築に参画し、2018年に新サービス『メルカート』を立ち上げ。2020年にグループ会社のエートゥジェイへ事業と共に転籍し執行役員を務め、2024年に取締役に就任。

プロフィール監修した記事登壇セミナー監修した資料

この記事が気に入ったら
いいね！しよう

最新情報をお届けします

あわせてお読みください

クラウドサービスにおけるリージョンやゾーンの持つ意味と役割とは

ECサイトの維持・運営にかかるランニングコストはどれくらい？節約する方法とは

ECサイトで情報漏えいが起こるとどうなる？安心できるサイト作りに欠かせない対策方法

EC情報メディア詳細

ECサイトはセキュリティ対策が重要！その理由や対策方法とは？

セキュリティインシデントの種類