ECサイトはセキュリティ対策が重要？ その理由や対策方法とは

WebサイトやECサイトなど、インターネットに公開したサイトを運営する上で、サイバー攻撃などの脅威は常につきまとい、決して軽視できない問題です。それらの脅威に対して常に備えておくことが、サイト運営者の責任であるといえます。

今回は、ECサイトにおけるセキュリティ対策の重要性やサイバー攻撃の手口、そしてそれらの脅威からECサイトを守る具体的な方法について解説します。

セキュリティインシデントの種類

ニュースや報道などで、「顧客データが流出」「不正アクセスの被害」といった情報セキュリティ事故について耳にすることも多いでしょう。これらの事故は、情報セキュリティの分野で「セキュリティインシデント」と呼ばれます。

「インシデント」とは「事件」や「出来事」を意味する単語で、セキュリティインシデントの被害としては主に次のような種類が考えられます。

・コンピュータウイルス感染

・データ流出

・サイトの改ざん

・クレジットカードの不正利用

ECサイトで情報セキュリティ対策が大切な理由

インターネットに公開されたサイトは総じて情報セキュリティ対策が必要ですが、その中でも特にECサイトはセキュリティ対策が重要です。その理由としては、以下のようなことが挙げられます。

ECサイトは狙われやすい

サイバー攻撃を仕掛ける者には当然目的があり、その多くは直接的な利益をもたらすもの、つまり金銭や重要な情報などが標的となります。ECサイトは個人情報やクレジットカード情報など、犯罪者にとって価値のある情報の宝庫であり、その分サイバー攻撃のターゲットとなりやすいのです。

また、ECサイトはソースコードや脆弱性に関する情報が一般公開されている、オープンソースを使って構築されたものも多く、ハッカーにとって格好の標的となり得ます。オープンソースでサイトを構築している場合はアップデート作業などを迅速に行い、セキュリティ対策に万全を期す必要があるでしょう。

社会的信用が失墜する

自社が運営するECサイトでセキュリティインシデントが発生した場合、仮に直接的な被害は抑えられたとしても、情報漏えいに対する社会の目は厳しく、ブランドイメージは低下し、社会的信用が失われることになります。

もしそうなった場合、顧客離れや売上の低下、サイト改修にかかる費用、情報流出による賠償金の発生などの二次的損害の総額は計り知れません。

サイバー攻撃の手口

セキュリティインシデントを引き起こすサイバー攻撃にはいくつかのパターンがあります。これらサイバー攻撃の手口を正しく知ることが、セキュリティ対策の第一歩です。ここでは、代表的なサイバー攻撃の手口をご紹介します。

標的型

標的型とは、ターゲットを特定の企業や個人に絞って行うサイバー攻撃です。標的型サイバー攻撃の代表的なものとしては次の方法が挙げられます。

【水飲み場攻撃】

ターゲットがアクセスしそうなWebサイトを予め改ざんし、アクセスしたと同時にウイルスなどに感染させる

【フィッシング】

有名企業を装ったメールを送り、クレジットカード情報や機密情報などを盗み出す

【DoS攻撃】

サーバーに過剰な負荷をかけて、ネットワークの遅延やサーバーダウンを狙う

【ゼロデイ攻撃】

新たなセキュリティホール（脆弱性）が発見された際、対策が取られる前に攻撃を行う

パスワード取得による不正ログイン

何らかの方法でサイトやサーバーのパスワードを取得し、不正ログインを行うというシンプルな手口ですが、管理者権限のパスワードが破られると甚大な被害を受けます。パスワードの不正取得の方法には以下のような種類があります。

【パスワードリスト攻撃】

IDとパスワードのリストを入手し、不正ログインを行う

【ブルートフォースアタック（総当たり攻撃）】

ツールを使って、パスワードとなり得る組み合わせを片っ端から試す

【辞書攻撃】

辞書や人名リストに掲載された単語を組み合わせてパスワードを生成する

マルウェア

マルウェアとは不正な動作を意図して作られたソフトウェアのことで、情報を盗み出したり、システムを破壊したりする目的で悪用されます。以下がマルウェアの代表的なものです

【コンピュータウイルス】

ソフト実行時に動作を妨げるプログラムで、他のプログラムに寄生して自主的に増殖・拡散していく

【ワーム】

他のプログラムに寄生せず、単独で自己増殖可能なマルウェア

【トロイの木馬】

正規のプログラムと見せかけてユーザーに実行させ、プログラムが実行されると有害な動きを始める

これらマルウェアに感染すると「バックドア」と呼ばれる、攻撃者がそのコンピュータに侵入しやすくするための「裏口」が作られ、そこから侵入される危険性もあります。

情報セキュリティ対策の方法

ECサイトにおける情報セキュリティ対策は重要度が高い課題です。では、サイバー攻撃からECサイトを守るためにはどのような対策が有効なのでしょうか。情報セキュリティ対策の具体的な方法について解説します。

内部での対策

セキュリティインシデントは、外部からの攻撃によって引き起こされるとは限りません。例えば、自社社員による操作ミスや管理ミス、悪意ある担当者が起こすケースも少なくないのです。

内部要因によるセキュリティインシデントを防ぐには、社内教育によるセキュリティに対する意識の底上げや、システムの操作ログを取得する仕組みを導入し、内部の犯行を抑止するなどの内部対策が有効です。

適切なアップデート

サイバー攻撃はECサイトの脆弱性を主な攻撃目標にします。クラウドECやASPでは、脆弱性を解消するアップデートが開発元によって随時行われていますが、ソースコードや脆弱性情報が公表されるオープンソースは、特に適切なバージョンアップデートによるセキュリティ対策が必須です。

ECサイトで利用されているシステムやアプリケーションのアップデートはもちろんのこと、サーバーのOSや周辺機器のシステムも常に最新バージョンにアップデートするよう心がけましょう。

クレジットカード決済システムの整備

ECサイトで特に注意しなければならないのが、クレジットカード情報の取り扱いです。現在、ECサイトを含めたクレジットカードを扱う加盟店には、カード情報の管理や不正使用対策が義務付けられているため、「クレジットカード情報の非保持化」または「PCIDSSに準拠」どちらかの対策をとる必要があります。

【クレジットカード情報の非保持化】

クレジットカード決済を代行するサービスを利用することにより、カード情報を自社のネットワークで一切処理や保存を行わない方法です。決済処理を代行業者のサイトで行う方式と、カード情報をトークンに置き換えて代行業者へ送信する方式などが例として挙げられます。

【PCIDSSに準拠する】

もし自社でクレジットカード決済システムを管理しなければならない事情がある場合は、「PCIDSS」と呼ばれる国際セキュリティ基準の認定をパスする必要があります。しかし、PCIDSSの認定を受けるには初期費用として莫大なコストがかかるなど、導入難易度が比較的高い方法です。

セキュリティ対策用のシステム導入

サイバー攻撃からシステムを守るには、ウイルス対策ソフトや不正アクセスを検知するシステム、ファイヤーウォールと呼ばれる外部からの不正アクセスを防止するシステムなどを導入するのが有効な手段となります。

またECサイトのどの部分にセキュリティ上の弱点があるかを診断してくれる「脆弱性診断」を受けてみるのもおすすめです。脆弱性があらかじめ分かっていれば、対処すべき課題も絞りやすく、弱い部分を重点的に強化することができます。

いずれにしても、セキュリティ対策には高度で専門的なスキルを要するので、社内だけで対処しようとせず、セキュリティ対策専門の会社に相談することも大切です。

ECサイト運用のうえでセキュリティ対策は最重要

ECサイトは個人情報やクレジットカード情報など、価値の高い情報を多く扱うため、サイバー攻撃の標的となりやすいです。

ひとたびセキュリティインシデントが発生すると、被害者に対する莫大な損害賠償や社会的信用の失墜、売上の低下など、サイトの存続すら危ぶまれる重大な問題に発展しかねません。

今回ご紹介した内部対策やシステムのアップデート、クレジットカード決済システムの整備、セキュリティ対策上のシステム導入などを万全に行い、安全なECサイト運用を実現しましょう。