JNSA（日本ネットワークセキュリティ協会）が公開している「インシデント損害額調査レポート第2版」によれば、セキュリティインシデントが発生した場合の損害賠償金の額は、中小企業であったとしても数千万円～数億円になることが想定されると示されています。
（参照元： NPO日本ネットワークセキュリティ協会　報告書・公開資料）

このような多額の賠償責任が発生した場合、中小・零細企業のみならず、大企業においても事業の存続にかかわる危機となり得るでしょう。

社会的信用が失墜する

自社が運営するECサイトでセキュリティインシデントが発生した場合、仮に直接的な被害は抑えられたとしても、情報漏えいに対する社会の目は厳しく、ブランドイメージは低下し、社会的信用が失われることになります。

もしそうなった場合、失った信用を取り戻すのは容易ではなく、新規顧客の獲得ハードルが高くなるだけでなく、既存顧客からも敬遠されやすくなるのは明白です。セキュリティインシデント発生による直接的な損害は乗り越えたとしても、顧客離れが進めば事業の存続は困難になってしまうでしょう。

ECサイトを狙うサイバー攻撃の手口

サイバー攻撃の手口

セキュリティインシデントを引き起こすサイバー攻撃にはいくつかのパターンがあります。これらサイバー攻撃の手口を正しく知ることが、セキュリティ対策の第一歩です。ここでは、代表的なサイバー攻撃の手口をご紹介します。

標的型

標的型とは、ターゲットを特定の企業や個人に絞って行うサイバー攻撃です。標的型サイバー攻撃の代表的なものとしては次の方法が挙げられます。

【水飲み場攻撃】

ターゲットがアクセスしそうなWebサイトを予め改ざんし、アクセスしたと同時にウイルスなどに感染させる

【フィッシング】

有名企業を装ったメールを送り、クレジットカード情報や機密情報などを盗み出す

【DoS攻撃／DDoS攻撃】

サーバーに過剰な負荷をかけて、ネットワークの遅延やサーバーダウンを狙う

【ゼロデイ攻撃】

新たなセキュリティホール（脆弱性）が発見された際、対策が取られる前に攻撃を行う

パスワード取得による不正ログイン

何らかの方法でサイトやサーバーのパスワードを取得し、不正ログインを行うというシンプルな手口ですが、管理者権限のパスワードが破られると甚大な被害を受けます。パスワードの不正取得の方法には以下のような種類があります。

【パスワードリスト攻撃】

IDとパスワードのリストを入手し、不正ログインを行う

【ブルートフォースアタック（総当たり攻撃）】

ツールを使って、パスワードとなり得る組み合わせを片っ端から試す

【辞書攻撃】

辞書や人名リストに掲載された単語を組み合わせてパスワードを生成する

マルウェア

マルウェアとは不正な動作を意図して作られたソフトウェアのことで、情報を盗み出したり、システムを破壊したりする目的で悪用されます。以下がマルウェアの代表的なものです

【コンピュータウイルス】

ソフト実行時に動作を妨げるプログラムで、他のプログラムに寄生して自主的に増殖・拡散していく

【ワーム】

他のプログラムに寄生せず、単独で自己増殖可能なマルウェア

【トロイの木馬】

正規のプログラムと見せかけてユーザーに実行させ、プログラムが実行されると有害な動きを始める

これらマルウェアに感染すると「バックドア」と呼ばれる、攻撃者がそのコンピュータに侵入しやすくするための「裏口」が作られ、そこから侵入される危険性もあります。

ECサイトに求められるセキュリティ対策

情報セキュリティ対策の方法

ECサイトにおける情報セキュリティ対策は重要度が高い課題です。では、サイバー攻撃からECサイトを守るためにはどのような対策が有効なのでしょうか。情報セキュリティ対策の具体的な方法について解説します。

内部での対策

じつは、セキュリティインシデントを引き起こす脅威は、サイバー攻撃のような外部要因だけではありません。セキュリティインシデントのうち、内部要因によって引き起こされるケースは全体の8割（※）を占めるとも言われています。
（参照元： NPO日本ネットワークセキュリティ協会　報告書・公開資料）

例えば、自社社員による操作ミスや管理ミスといった意図せぬ要因だけでなく、悪意ある従業員が情報の持ち出しなどの不正を行うケースも少なくないのです。

内部要因によるセキュリティインシデントを防ぐには、社内教育によるセキュリティに対する意識の底上げや、システムの操作ログを取得する仕組みを導入し、内部的要因によるセキュリティインシデントを防止・検知するためのガバナンス体制を整える必要があります。

適切なアップデート

サイバー攻撃はECサイトの脆弱性を主な攻撃目標にします。

クラウドECやASPでは、脆弱性を解消するアップデートが開発元によって随時行われていますが、ソースコードや脆弱性情報が公表されるオープンソースは、適切なバージョンアップデートによるセキュリティ対策が必須です。

また、パッケージ型・オンプレミス型のカートシステムを利用している場合も、アップデート等の対応は自社で実施、もしくはベンダーに依頼が必要になります。

※関連記事：オンプレミスとは？メリット・デメリットやクラウドとの違いを解説

ECサイトで利用されているシステムやアプリケーションのアップデートはもちろんのこと、サーバーのOSや周辺機器のシステムも常に最新バージョンにアップデートするよう心がけましょう。

通信の暗号化（SSL化）

ECサイトを狙ったデータの盗聴や改ざんといった不正を防ぐためにも、SSLの導入による通信の暗号化を行いましょう。

SSLとは「Secure Sockets Layer」の略で、サーバーとパソコン間で行われているデータの送受信を暗号化する仕組みのこと。

ユーザーが安心して利用できるECサイトを作るためにも、SSLの導入は不可欠です。

※関連記事： SSLとは？役割や導入手順などを解説

クレジットカード決済システムの整備

ECサイトで特に注意しなければならないのが、クレジットカード情報の取り扱いです。現在、ECサイトを含めたクレジットカードを扱う加盟店には、カード情報の管理や不正使用対策が義務付けられているため、「クレジットカード情報の非保持化」または「PCIDSSに準拠」どちらかの対策をとる必要があります。

【クレジットカード情報の非保持化】

クレジットカード決済を代行するサービスを利用することにより、カード情報を自社のネットワークで一切処理や保存を行わない方法です。決済処理を代行業者のサイトで行う方式と、カード情報をトークンに置き換えて代行業者へ送信する方式などが例として挙げられます。

【PCI DSSに準拠する】

もし自社でクレジットカード決済システムを管理しなければならない事情がある場合は、「PCI DSS」と呼ばれる国際セキュリティ基準の認定をパスする必要があります。しかし、PCI DSSの認定を受けるには初期費用として莫大なコストがかかるなど、導入難易度が比較的高い方法です。

【3Dセキュア2.0への対応】

3Dセキュアは、非対面でクレジットカード決済を行う際の不正利用対策として世界標準となっている本人認証方法で、3Dセキュア2.0はワンタイムパスワードや生体認証を用いて本人認証を行います。

経済産業省は2025年3月末をもって、すべてのEC事業者における3Dセキュア2.0の導入を義務化しています。

セキュリティ対策用のシステム導入

サイバー攻撃からシステムを守るには、ウイルス対策ソフトや不正アクセスを検知するシステム、ファイヤーウォールと呼ばれる外部からの不正アクセスを防止するシステムなどを導入するのが有効な手段となります。

またECサイトのどの部分にセキュリティ上の弱点があるかを診断してくれる「脆弱性診断」を受けてみるのもおすすめです。脆弱性があらかじめ分かっていれば、対処すべき課題も絞りやすく、弱い部分を重点的に強化することができます。

いずれにしても、セキュリティ対策には高度で専門的なスキルを要するので、社内だけで対処しようとせず、セキュリティ対策専門の会社に相談することも大切です。

強固なセキュリティを実現するなら「メルカート」

ここまでは、ECサイトにおけるセキュリティの重要性や対策について説明してきましたが、何より重要なのがECサイト構築・リニューアルの際にセキュリティが強固なカートシステムを選定することです。

次は、強固なセキュリティを実現するECカートとして、クラウドECプラットフォーム「メルカート」をご紹介します。

データ統合とAIが導くEC運用

メルカートの最大の特徴は、バラバラに管理されがちな顧客・在庫・行動・VOCを一つの基盤に統合できる点にあります。

統合されたデータに基づき、AIエージェントが詳細な分析、そしてその結果から最適な販売戦略を自動で解析・提案します。

さまざまなデータを参照しつつAIがそれらの作業を行うことで、施策は高速かつ高度に実施することにつながります。

その結果、施策1つ1つが高度なパーソナライズを実現し、売上アップに寄与します。

運用を極限まで効率化

リソースが限られた現場でも最大の実績を出せるよう、徹底した効率化を支援します。

ノーコードで更新可能な直観的なUIや生成AIを活用して商品登録を効率化する機能などにより、運用工数を大幅削減しています。

それに加え、AIによる分析の自動化により、これまで分析や施策立案に割いていた時間を戦略立案などよりクリエイティブな領域に割けるようになります。

その結果として、業務効率化を実現しながらも売上を成長させることができます。

盤石なセキュリティと伴走型の成功支援

初めてのEC構築や大規模なリニューアルにおいて、安全性とサポート体制は欠かせない要素です。

メルカートは自社起因によるセキュリティ事故ゼロ件を継続しており、盤石なセキュリティを誇ります。AI活用も、基盤内で行えることから、秘匿性の高いデータを外部に流すことなく安全にAI活用ができる堅牢な環境を提供しています。

さらに、専任チームによる「伴走型サクセス」が課題発見から改善提案まで深く踏み込み、Web広告やCRM支援など、社内のノウハウやリソース不足を補うプロフェッショナルな支援体制で貴社の成功を強力にバックアップします。

『メルカート』サービス概要資料

こんな人におすすめ

・メルカートのサービス概要を詳しく知りたい方
・機能や料金プランを知りたい方
・一般的なカートシステムとの比較を知りたい方

今すぐホワイトペーパーを
無料ダウンロード

「メルカート」でセキュリティの不安を解消した事例

最後に、「メルカート」を利用してセキュリティの不安を解消した企業事例をご紹介します。

セキュリティの安心感が導入の後押しに（オッシュマンズ・ジャパン）

「アメリカ生まれのスポーツショップ」をコンセプトに店舗を展開する株式会社オッシュマンズ・ジャパンは、2016年に「メルカート」を採用してECサイトリニューアルを実施しました。

同社では2007年からECサイトを運営しており、2010年からはECパッケージ「ecbeing」を利用してECサイトを運営してきました。しかし、当時は運用代行会社を挟む形でサイトを運営しており、サイト運営のスピード感やランニングコストが課題となっていました。

こうした背景から、同社はECサイトのリニューアルを検討開始。当初はASPでのリニューアルを検討しましたが、セキュリティ面がネックになり採用には至りませんでした。

最終的に、定期的に自動アップデートが実施されることや、パッケージ製品よりもコストも抑えられる点、さらにセキュリティ面の安心感があることから、「メルカート」でのリニューアルを決定しました。

「メルカート」でのリニューアルにより、以前抱えていた課題を解消することに成功。運用代行会社に委託していた頃と比較すると、ランニングコストは3分の1程度まで減少しています。さらに、サイト運営のスピードが向上し、空いた工数でメルマガ配信などに取り組むことが可能に。リニューアル前と比べて会員登録者数が月最大で140％アップするなど、ECサイトの成長を実感されています。

株式会社オッシュマンズ・ジャパンのメルカート導入事例をもっと見る

BtoB用途での活用を見据えてセキュリティを重視（はとバスエージェンシー）

はとバスのグループの一角として広告代理店業や保険代理店業を展開する株式会社はとバスエージェンシーは、「メルカート」を採用してECサイトをリニューアルオープンしました。

かねてより、はとバスグッズを中心としたオリジナル商品のEC販売を行っていた同社。しかし、旧ECサイトはスマートフォンからの閲覧に対応できていないほか、機能面の不足や更新作業の不便さなども課題となっていました。

そうしたなか、コロナ禍に突入したことでEC事業の重要性が高まり、リニューアルに向けたプロジェクトが発足。ECサイトをBtoB向けの営業ツールとしても活用していきたいという考えも、リニューアルに踏み出すきっかけとなりました。セキュリティ面やシステムの更新を考慮し、いくつかのカートサービスの比較検討を実施しました。選定を進めた結果、豊富な実績や専門家による手厚いサポートなどがポイントとなり、「メルカート」の採用に至りました。

「メルカート」でのリニューアル後、ECサイト運営の作業効率が飛躍的に向上。セキュリティ面の安心感やシステムの自動更新などにメリットを感じているほか、独自のカスタマイズによるBtoB用途での活用にも手応えを得ています。

株式会社はとバスエージェンシーのメルカート導入事例をもっと見る

まとめ

ECサイトは個人情報やクレジットカード情報など、価値の高い情報を多く扱うため、サイバー攻撃の標的となりやすいです。

ひとたびセキュリティインシデントが発生すると、被害者に対する莫大な損害賠償や社会的信用の失墜、売上の低下など、サイトの存続すら危ぶまれる重大な問題に発展しかねません。

今回ご紹介した内部対策やシステムのアップデート、クレジットカード決済システムの整備、セキュリティ対策上のシステム導入などを万全に行い、安全なECサイト運用を実現しましょう。

ECサイトのセキュリティに関するよくある質問（FAQ）

ここでは、ECサイトのセキュリティに関するよくある質問とその回答を、あらためて整理していきましょう。

Q1. ECサイトにセキュリティ対策が必要な理由は？

ECサイトは個人情報や決済情報の宝庫であり、サイバー攻撃の標的になりやすいためです。万が一漏洩すれば多額の賠償や信頼失墜を招き、事業継続が困難になる恐れがあります。クラウドEC「メルカート」なら、PCI DSSに準拠した堅牢な基盤を提供しており、自社で保守負担を抱えることなく安全な運用が可能です。

Q2. ECサイトを狙う主なサイバー攻撃の手口は？

フィッシングやDoS攻撃、不正ログイン、マルウェア感染など多岐にわたります。これらは情報の流出やサイト改ざんを引き起こします。「メルカート」は最新の脅威に対する脆弱性診断や対策をプラットフォーム側で自動更新するため、常に最新のセキュリティレベルを維持し、攻撃リスクを最小限に抑えることができます。

Q3. カード情報の取り扱いで必要な対策は何ですか？

2025年3月末までに義務化される本人認証「3Dセキュア2.0」への対応や、情報の非保持化が必須です。自社開発では実装負荷が高い対策ですが、「メルカート」なら主要な決済代行サービスとの連携により標準で対応可能です。専門知識がなくても、法規制に準拠した高度な決済安全性を手軽に実現できます。

Q4. 内部要因による不正を防ぐ具体的な対策は？

インシデントの多くは内部要因とされるため、詳細な操作ログ保持と権限管理によるガバナンス強化が不可欠です。「メルカート」は担当者ごとの細やかなアクセス制限やログ管理機能を備えており、ヒューマンエラーや悪意ある情報の持ち出しを未然に防ぐ体制を構築できます。社内教育と併せることで、より強固な運用が叶います。

Q5. ECプラットフォーム「メルカート」のセキュリティの特徴は？

自社起因のセキュリティ事故ゼロ件を継続する圧倒的な信頼性が特徴です。秘匿性の高いデータを外部に出さず、安全な基盤内でAIをフル活用できる環境を提供しています。強固なセキュリティと高度なAI分析を両立させているため、安全性を担保しながらAIによる効率化や売上アップ施策に安心して集中できます。

構築・運用・サポート

売れ続ける仕組みが作れるECネットショップ制作サービスをお探しの方はメルカートへ

成功のノウハウを集めた
実例集プレゼント!

デモも
受付中

お問合せ・資料請求はこちら >

株式会社メルカート
代表取締役渡邉章公

2010年に株式会社ecbeingへ入社。エンジニアとして様々なクライアントのECサイト構築支援に従事。2016年よりSaaS型のECプラットフォーム事業に参画し、2018年に新サービス『メルカート』を立ち上げ。2020年にグループ会社の株式会社エートゥジェイへ事業と共に転籍し執行役員を務め、2024年に取締役に就任。 2025年、事業分社化に伴い株式会社メルカートの代表取締役に就任し、現在は次世代のCXプラットフォームとして事業者と消費者をつなぐ新しい価値を創出し続けることを目指しています。

プロフィール監修した記事登壇セミナー監修した資料

この記事が気に入ったら
いいね！しよう

最新情報をお届けします

あわせてお読みください

クラウドサービスにおけるリージョンやゾーンの持つ意味と役割とは

プロビジョニングはどんな意味？概要や種類をわかりやすく解説

「エコシステム」とは？具体例を交えながらわかりやすく解説

メルカートとは？

ソリューション

メルカートの特徴

比較

EC情報メディア詳細

ECサイトはセキュリティ対策が重要！その理由や対策方法とは？

セキュリティインシデントの種類