法人のお客さまに起こりがちな状況
経済産業省の調査によると日本のEC化率は2019年時点で個人向け通販、いわゆるBtoCで6.76%と言われています。
参考:https://www.meti.go.jp/press/2020/07/20200722003/20200722003.html
それがコロナウイルスの流行によってさらにその勢いが加速し、今まで実店舗のみでサービスを提供してきた企業のEC参入が増え続けています。
しかし気軽にスタートできるようになってはいるものの、個人情報や金銭の授受が発生する以上、本来は非常に高いセキュリティレベルが要求されるはずのEC。
今回は情報セキュリティの観点から見てECサイトにはどのような脅威があり、それらに対してどのような対策を行うべきなのかについてお伝えします。
ECサイトの特徴は「お客様情報の蓄積」と「決済」
個人情報の保護が強く叫ばれるようになった近年、個人の属性や趣味嗜好(しこう)と言った情報は非常にセンシティブなデータとして扱われるようになってきました。
ECサイトはコーポレートサイトやブランドサイトとは異なり、お客さまに商品やサービスを届けることが目的となります。
そのためには当然「どのお客様に」「何の商品を」「いくらの価格で」と言った情報を取得する必要があります。
長年ECを行っている場合は売上規模に関わらず非常にたくさんの顧客リストを持っているケースもあります。
また、Eコマース(電子商取引)と呼ばれるように金銭の取引が発生します。
WEBサイトの役割はリード(見込み顧客)獲得であり、契約は営業が対応と言うビジネスモデルとは異なりサイト上で完結させる必要があるため、カートASPとの連携やカード会社との連携などさまざまな部分で外部とのデータのやり取りが発生しています。
セキュリティベンダーから見るとECサイトが持つリスクは非常に高い
上述の通り、ECサイトのDBには多くの場合個人情報が入っています。
これらの情報が漏えいした場合にどんなニュースになるかは、日々情報をチェックしている情シス担当であれば何となく予想がつくのではないでしょうか?
ECサイトの運営事業者に限定されてはいませんが、IPAの調査によると情報セキュリティの担当者がいる企業は100人以下の企業で約2社に1社、 小規模事業者では5社に1社の割合となっています。
つまりセキュリティベンダーから見ると、個人情報が入っておりかつ情シス担当が存在していないケースが多い中小企業のECサイトは潜在的なセキュリティリスクがある可能性が高いと言えるのです。
ECサイトの怖いところは手軽な構築が可能な割にリスクの高いデータを取り扱っている点にあります。
情シス担当としてはこうした状況に対して制限が大きい中でも日々高いセキュリティレベルを維持し運用し続けることが重要になっています。
最優先で避けなければならないのは「個人情報の漏えい」と「不正利用」
ECサイトでまず最優先で気を付けなければならないのが「個人情報の漏えい」です。
個人情報の漏えいが発生するとシステムの停止による機会損失以外にお客さまへの補償や信用の失墜、外部(マスコミなど)対応などさまざまな影響が発生します。
サイトの改修によるセキュリティレベル向上などに対する投資も必要になってきてしまいます。
この観点については社外のみならず、社内の「ついうっかり」についても対策を検討しなければならないのが難しいところです。
お問い合わせの返信内容を以前やり取りしたものからコピー&ペーストしたら元の文章中にある個人情報を消し忘れたまま送ってしまった、なども典型的な社内で起きうるインシデントです。
「不正利用」についても注意しなければならない内容です。
カードの不正利用がされた場合、補償はカード会社が行ってくれるケースがあるものの、システム構成や状況によってはEC事業者側に請求が行われるケースもあります。
加えて物販の場合は不正利用によって失った商品を取り戻すことは手間やコストの兼ね合いから、なかなか対応が難しいケースも多く、利益喪失に直結してしまうことになります。
さらにはカード会社の与信の問題で決済手数料率が上がってしまうという可能性についても出てきてしまいます。
決済手数料率の変更はいったん発生するとしばらく変更が難しくなってしまうため長期的に見て大きな利益喪失につながりかねません。
まずは「今使っているものが大丈夫か」の確認を
社内のセキュリティレベル向上も大事ですが、ECサイトのシステムは現在中小企業の方であればほとんどの場合外部のカートASPやモールのシステムを利用しているかと思います。
また、SaaS型に対して今でもカスタマイズ性を重視する企業ではオンプレミス型のECサイトを構築しているケースもあります。
しかし自社のセキュリティレベルが高くても、使っているカートシステムに脆弱(ぜいじゃく)性があればその時点で非常に危険な状態になってしまいます。
だからこそ、まずは今ECサイトとして利用しているサービスに対してアセスメントを行って問題ないかどうかを確認してみてください。
ネット上で脆弱(ぜいじゃく)性絡みのニュースが流れていないか検索してみるのも重要です。
自社だけではなく他社でトラブルが起こった場合も同一サービスを利用していれば同じ脆弱(ぜいじゃく)性が潜んでいることになってしまいます。
こうしたインシデントが発生していることが判明したら、即座にベンダーと連絡を取り対策を講じる必要が発生するのです。
自社の中では「運用」に目を向けてセキュリティレベルの確認を
社内の情報セキュリティについて一番大事なのは「運用」の中にトラブルの元が含まれていないかどうかです。
例えば管理ページへのアクセス権限をしっかりと限定しているかどうかは初歩的ながら忘れがちな部分です。
外部から管理ページへのアクセスが可能になるとその分不正アクセスの可能性が高まっていきます。
明確な理由がないのであれば必ず対応しておきましょう。
対策としてアクセスするIPアドレスを社内に制限するなどが考えられます。
また管理ページ内の権限設定も重要な項目です。
不正アクセスされてしまった場合であっても、アクセスされたアカウントが制限されたユーザーの場合は漏えいされる情報も、制限もしくは顧客情報にアクセスできずに終わらせることができるかもしれません。
このように運用の観点から見ただけでも非常に多くの対応可能な作業があります。
運用の中でのセキュリティレベル向上にも注力することで、セキュリティレベルを一段上げることができるのです。
セキュリティ対策ソフトも総合的な観点で導入を
端末のエンドポイントプロテクションからサーバ側の保護、ネットワーク監視など、個人情報や金銭授受を行うECサイトに求められるセキュリティレベルは本来非常に高いものでなければいけません。
そんな中でも中小企業の情シス担当としてはコストやリソースに制約がある中ではありつつも、可能な限りセキュリティレベルを高めておくことが企業としてのBCP対応としても意味のある対応となります。
情シス担当としてはECの怖さをしっかりと理解したうえでECサイト全体のセキュリティ体制について見直しを行うべきであると考えます。
トレンドマイクロからのアドバイス
ECサイトのセキュリティレベルを高めるためには、サーバの保護やクライアント端末の保護などきちんとした全体のセキュリティレベル向上が不可欠です。
トレンドマイクロではクラウドからネットワーク、クライアントまでECサイトを運用している企業にも安心して使ってもらえるさまざまなソリューションを提供しています。
自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。
Trend Micro Cloud One - Workload Security™:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護
Trend Micro Cloud One - Workload Security™(Cloud One - Workload Security)は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。
Cloud Edge™:中小企業向けクラウド型セキュリティアプライアンス
Cloud Edge™は、手間をかけずに高度なセキュリティ対策を実現できるUTMです。
ファイアウォールやDDOS攻撃対策など多彩なセキュリティ機能とハイパフォーマンスな処理性能でランサムウェアだけでなく、ファイアウォールや端末のウイルス対策では防げなかったサイバー攻撃にも有効なソリューションです。