ECサイト構築における セキュリティ対策 │情報漏えいを防ぐ方法 | ECサイト制作ネット

ホーム > お役立ち記事 > ECサイト制作・運営のノウハウ > ECサイト構築における セキュリティ対策 │情報漏えいを防ぐ方法

ECサイト構築における セキュリティ対策 │情報漏えいを防ぐ方法

ネットショップ・ECサイトの構築時に気をつけたいセキュリティ対策

ネットショップ・ECサイトを安全に運営するために、 セキュリティ対策 をしっかりおこない、情報漏えいなどを防止することは非常に重要なことです。
万が一顧客情報などが漏洩してしまったら、ショップの信用が失われるだけでなく運営を続けることも難しくなってしまう場合もあります。
今回はネットショップ・ECサイトを安全に運営するために、構築・運用の際に気をつけたい セキュリティ対策 について解説していきます。

ECサイトを セキュリティ対策 で安全に構築する方法

情報漏えいとは

ネットショップ・ECサイトは決済方法でクレジットカードを利用することが多く、個人情報が多く取り扱われています。
この特徴がサイバー攻撃に狙われやすい原因となっています。
ネットショップ・ECサイトが受けるセキュリティ脅威として情報漏えいがあげられます。
この情報漏えいは外部からの不正アクセス・サイバー攻撃によりショップで保有している顧客情報が流出してしまうこといいます。

ネットショップ・ECサイトにおける情報漏えいの原因はJNSA(特定非営利活動法人日本ネットワークセキュリティ協会)がおこなった2018年情報セキュリティインシデントに関する調査報告書によると情報漏えいの原因は不正アクセスによるものが20.3%を占めています。

ネットショップ・ECサイトの情報漏えいの原因

出典:「JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)」

昨今多発しているのが、パスワードリスト攻撃というサイバー攻撃で、この攻撃によって個人情報が流出してしまいます。
その他、サイバー攻撃にはクレジットカードの不正利用など、ネットショップ・ECサイトの運営をおこなう上で多くの危険があることを理解しておきましょう。

情報漏えいによるネットショップ・ECサイトのリスク

ネットショップ・ECサイトの情報漏えいによるリスク

ネットショップ・ECサイトがサイバー攻撃を受けて顧客情報が流出してしまうと、多くのリスクが発生します。

・顧客や社会からの信頼失墜
・お詫びや事実の公開などによる工数の発生
・ショップの一時閉鎖、または閉鎖による売上の減少
・原因調査やシステム改修の費用が発生
・購入者のクレジットカード差替え費用の発生
・行政やメディアへの対応
・損害賠償の支払いが発生

以上のようなリスクが発生し、信用を失うだけでなく膨大な手間と費用が発生します。
ネットショップ・ECサイトにおける情報漏えいによる損害賠償額の平均は顧客一人あたり、5,000円から15,000円が相場となっており、システムによっては、購入者各々へ賠償をしなくてはならな場合もあります。

また最悪の場合、顧客の信用を失うことで利用をしてもらえなくなり、閉鎖を余儀なくされる事態にまで至ってしまいます。
このような事態に発展しないようネットショップ・ECサイトの構築・運用の際、セキュリティ対策を万全にしなければなりません。

オープンソースの セキュリティ対策 は脆弱

ネットショップ・ECサイトの構築といっても構築タイプやプラットフォームなど様々な方法があり、オープンソース型はセキュリティ面で脆弱と言われています。

オープンソース型とは、ネット上に公開されているソースコード(プログラム言語)からネットショップ・ECサイトを構築する方法です。
オープンソース型は低コストで自由度もそれなりにあるので、勝手は良いですがサポートが不十分なため、セキュリティ対策に関しては当然脆弱となってしまいます。

また、ネットショップ・ECサイトを構築するソースコードは公開されているので、オープンソース型で構築するネットショップ・ECサイトは他の構築方法に比べてセキュリティマネジメントにより一層力を入れなくてはなりません。

ASP・クラウド型について

ASP型やクラウド型のインターネット上のアプリケーションやクラウド上でネットショップ・ECサイトを構築する場合は常にセキュリティ対策を万全にし、アップデートをおこなってくれるのであまり心配する必要はありません。

理由は、ASP型やクラウド型のネットショップ・ECサイトはこれらの企業が管理し、用意したプラットフォームなので、不正アクセスやサイバー攻撃の対象となりにくく、ターゲットとなる確率が低いからです。

とはいってもネットショップ・ECサイトの構築は自社に合った構築方法を選択するのが一番です。
これよりネットショップ・ECサイトの運営でおこなうべきセキュリティ対策の項目を紹介します。

ネットショップ・ECサイトにおける不正アクセス防止 セキュリティ対策 7項目

セキュリティ対策7項目

ネットショップ・ECサイトを運用することは不正アクセスなどによる情報漏えいのリスクがあることはご理解いただけたと思います。
しかしリスクを恐れてネットショップ・ECサイトを運営しないというのではなく、万全の対策をおこなうことでこれらを防止することができます。

次にネットショップ・ECサイトの構築・運用の際におこなうべきセキュリティ対策7項目について解説していきます。

セキュリティ対策 1:WAF、ISD、IPSなどのセキュリティソリューションの導入

セキュリティ対策 におけるソリューション

セキュリティソリューションとは不正アクセスの侵入経路となるネットワーク、ウェブアプリケーション、データベース内の脆弱性を発見するもので、ソリューションによって異なりますが、世界で検知された脅威の情報を収集している場合は不正アクセス防止にかなり有効となります。

WAF
WAFはWeb Application Firewallの略で、ウェブアプリケーションに直接実装するものではなく、アプリケーションの前面やネットワークに配置して脆弱性な部分を狙った攻撃を検出・低減する対策法です。

直接管理や改修ができないウェブアプリケーションに対策をおこないたい場合や、アプリケーションの脆弱性を修正ができない場合に有効で、導入も簡単にできるのが特徴です。

IDS
IDSはIntrusion Detection Systemの略で別名、不正アクセス検知システムともいわれています。
第三者からの異常なアクセス・通信を検知するセキュリティです。

IDSにはアノマリ型とシグネチャ型があり、これらは通信のチェック方法が異なります。
アノマリ型はホワイトリスト型ともいわれ、正常な通信を定義した上で、定義したパターンと通信を照合して不正な通信であるかの判断をします。

逆にシグネチャ型はブラックリスト型ともいわれ、異常な通信を定義しておき、定義したパターンと一致するかで不正アクセスであるかを判断します。

IPS
IPSはIntrusion Prevention Systemの略で別名、不正アクセス防止システムともいわれています。
プラットフォームレベルでのセキュリティ対策をおこなうソフトウエア/ハードウェアです。

OSやミドルウエアの脆弱性に目をつけて攻撃してくるパターンや、ファイル共有サービスへ攻撃をおこなうパターンなど様々な攻撃に対して有効で、設定された検出パターンに基づいて機器への通信・アクセスを検査・ブロックします。

セキュリティ対策 2:システム・OS・ミドルウエアのアップデートをおこなう

セキュリティ対策 ・システム・OSのアップデート

システムやOS、ミドルウエアのアップデートを怠って古いバージョンを利用していると、脆弱性を狙った攻撃をされる可能性があります。
不正アクセスの中でもこういったアップデートを怠ることで許してしまうケースが意外に多いようです。
業務に支障がないのであれば、自動更新を許可にして常に最新のバージョンを利用するようにすると良いでしょう。

セキュリティ対策 3:ID・パスワード管理を徹底する

セキュリティ対策 ・ID・パスワードの管理

ID・パスワードなど重要度の高いファイルは原則サーバーにアップしません。
ご法度と思ってください。
また、特定されにくい独自のパスワードを作成し、重複することのないように設定をおこなうようにしてください。

セキュリティ対策 4:セキュリティに対する教育

セキュリティ対策 に対する教育

いくら必要なセキュリティ対策を導入しても、使う側がセキュリティに対して意識をしていなければ意味がありません。
従業員へ不正アクセスの脅威や、それがもたらす損害を理解させ、正しい対応で防止に取り組むよう教育をしましょう。

セキュリティ対策 5:セキュリティ対策の有効性確認

セキュリティ対策 の有効性確認

ショップで導入しているセキュリティ対策が適切であるか、また脆弱性や問題点を定期的に確認するようにしましょう。
有効性のないセキュリティ対策はザルそのものです。

また、セキュリティ対策に対しての脆弱性の確認ができるサービスなどもあるので、率先して利用するようにしましょう。

セキュリティ対策 6:個人情報の保管場所を考える

セキュリティ対策 ・個人情報の保管場所を考える

重要な個人情報を取扱の際、共有などでURLを知っていれば外部から閲覧できる状態は危険です。
機密情報はウェブサーバーの公開やクラウドに置かず、社内ネットワークへの接続、またはID・パスワードがなければアクセスできないようにしましょう。

セキュリティ対策 7:フィッシング詐欺対策をおこなう

セキュリティ対策 ・フィッシング詐欺対策

フィッシング詐欺とは、偽のネットショップ・ECサイトを制作し、顧客からメールアドレス・パスワードを盗み取る手口です。
このフィッシング詐欺の被害報告も年々増加しており、同時に対策をおこなう必要があります。

最近の手口として、特定のネットショップ・ECサイトやカードブランドサイトを制作し、検索エンジン結果に表示されるリスティング広告から偽のネットショップ・ECサイトへ誘導されるケースが多く報告されているようです。

いつ何時自社のネットショップ・ECサイトの偽サイトが制作されて悪用されるかわかりません。
この不正利用も想定して、本物のサイトであることを証明するために、アドレスバー・ステータスバーを隠さず、正規のサーバー証明書を用いて、常にSSL化(暗号化)するなどの対策をとるようにしましょう。

セキュリティ対策 を理解して導入する

今回ネットショップ・ECサイトの構築の際に気をつけるべきセキュリティ対策について紹介しました。
情報漏えいは顧客はもちろん、ショップ側も発生後の対応に膨大な費用や手間を取られてしまいます。

shopifyなどのクラウド型での構築の場合は高いセキュリティレベルで常に新しいバージョンを安全に利用することができますが、構築方法によっては自社でセキュリティ対策をおこなわなくてはなりません。
その際に、セキュリティソリューションの特徴をしっかりと理解し、構築するネットショップ・ECサイトで有効であるかを確認してから導入するようにしましょう。

ネットショップ・ECサイトは場所や時間を選ばず販売でき、顧客にとっても便利なものですが、その分潜むリスクを想定して定期的に不正アクセスやサイバー攻撃の情報収集をおこなうようにしましょう。