この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
オンラインショッピングが日常生活に欠かせないものとなった今日、ECサイトのセキュリティ対策はかつてないほど重要になっています。
悪意ある第三者による個人情報の窃取や不正利用など、ECサイトを標的とした犯罪が急増しているのです。一度セキュリティ事故が起これば、顧客の信頼を失うだけでなく、多額の損害賠償や事業の存続危機にも直面しかねません。
本記事では、ECサイト運営者が知っておくべきセキュリティリスクと、その対策について分かりやすく解説します。
ECサイトのセキュリティ対策が求められる背景
ECサイトのセキュリティ事故は年々深刻化しており、その被害額も増加の一途をたどっています。
2023年のクレジットカードの不正利用による被害総額は約541億円に達し、2014年と比較すると約5倍にまで膨れ上がっています。この被害の9割がECサイトでの取引上でも起こる番号盗用被害で、セキュリティ対策の重要性を如実に示しています(参照:一般社団法人日本クレジット協会)。
さらに、個人情報の漏洩事故も後を絶ちません。このような事故は、企業の信頼性を著しく損なうだけでなく、多額の損害賠償や事業停止などの深刻な結果をもたらす可能性があります。
急増するセキュリティ事故の現状を受け、経済産業省は2023年にECサイトのセキュリティ対策について包括的に解説した文書「ECサイト構築・運用セキュリティガイドライン」を公開しました。ECサイトの経営者が行うべき具体的なセキュリティ対策要件を、チェックリスト形式で確認できます。
また、クレジットカード取引のセキュリティ強化を目的として、ECサイト運営者に以下のことが義務づけられています。
- EMV 3-Dセキュア(3Dセキュア2.0)の導入:2025年3月末までに、原則全てのEC加盟店での導入が必須。オンライン取引時の本人認証が強化される。
- セキュリティ・チェックリストの実施:2025年4月から、全EC加盟店は「セキュリティ・チェックリスト」に基づいた対策の実施が求められる。
- 不正利用対策の実施:2018年6月に施行された改正割賦販売法により、クレジットカードの不正利用対策が義務化。EC事業者は、クレジットカード情報を保持しない、もしくはPCI DSSに準拠した厳格な管理を行う。また、クレジットカードの加盟店はICカードの決済端末を用意することなども定められた。
参照:一般社団法人日本クレジット協会「クレジットカード・セキュリティガイドライン【4.0版】改訂ポイント」(2023年3月)/「クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント」(2024年3月)/改正割賦販売法(2018年4月)
EC事業者は、顧客の個人情報と決済情報を守り、安全で信頼できるオンラインショッピング環境を提供するために、継続的かつ包括的なセキュリティ対策を講じる必要があります。
ECサイトで発生する重大なセキュリティリスク
セキュリティ事故が起こると以下のようなリスクが発生する可能性があります。これらのリスクを避けるため、ECサイトにおけるセキュリティ対策は必須です。具体的なリスクを見てみましょう。
- 個人情報の漏洩
- クレジットカード情報の流出
- 社会的信用の失墜
- 事後対応コストの負担
個人情報の漏洩
個人情報の漏洩は、ECサイトが直面する最も深刻なリスクの一つです。個人情報とは、顧客の氏名や住所の他、従業員や取引先の情報も含まれます。個人情報漏洩の原因は、ウイルス感染や不正アクセスのような外的なものから、メールの誤送信やデータの紛失、データの不正持ち出しのような社内でのミスや不正によるものまであります。
クレジットカード情報の流出
ECサイトのセキュリティ対策が不十分な場合、顧客のクレジットカード情報が流出するリスクがあります。他人になりすまして商品注文をする不正注文が行われかねません。事業者がセキュリティ対策として本人確認を行っていない場合、チャージバックにより商品も代金も戻ってこないリスクがあります。
社会的信用の失墜
セキュリティ事故が発生した場合、企業やブランドの社会的信用が大きく損なわれます。ブランドイメージの回復には多大な時間と労力を要するため、大きなリスクとなりえます。
独立行政法人情報処理推進機構(IPA)の調査によると、セキュリティ被害を受けたECサイトの中には、被害に遭ってから1年半以上経っても売上高が被害前の50%以下に落ち込んでいるところもあります。(参照:ECサイト構築・運用セキュリティガイドライン、14ページ)
事後対応コストの負担
セキュリティ事故後の対応には多大なコストがかかります。ECサイトの事後対応コストの種類は、被害者への補償、原因調査費用、コールセンター設置費用、弁護士・コンサルティング費用などがあり、1社あたり2,400万円 にも上ります。特に、クレジットカードの再発行など被害者への補償にコストがかかります(参照:ECサイト構築・運用セキュリティガイドライン)。事後対応が完了するまでの間は、復旧のための要員が必要になる上、ECサイトを停止せざるを得ず、さらにコストがかさむでしょう。
ECサイトのセキュリティが脅かされる内部要因
ECサイトにおけるセキュリティ事故はどのような要因によって発生するのでしょうか。内部要因についてご紹介します。
人的ミス
EC事業者の誤送信や誤った設定により、顧客情報が意図せず外部に公開されてしまうことがあります。例えば、顧客情報を誤った相手にメール送信したり、クラウドストレージの共有設定を誤って公開状態にしてしまったりするケースが報告されています。また、データを紛失してしまうこともあります。
これらの人的ミスを防ぐには、従業員への定期的なセキュリティ教育と、厳格な情報管理ポリシーの実施が不可欠です。
内部犯行・不正行為
内部の社員による意図的な不正行為もECサイトのセキュリティを脅かす要因となります。具体的には、従業員が個人的な利益のために顧客情報を持ち出し競合他社に売却するケースや、管理者権限を持つ従業員がシステムの脆弱性を悪用して不正な操作を行うケースがあります。
内部犯行を防ぐには、アクセス権限の厳格な管理、内部監査の実施、従業員のモニタリングなどの対策が必要です。また、従業員の倫理教育や、不正を報告しやすい企業文化の醸成も重要です。
ECサイトのセキュリティが脅かされる外部要因
外部からの不正アクセスであるサイバー攻撃によって、ECサイトのセキュリティ事故が発生します。インターネットなどのネットワークを通じてパソコンやスマートフォンに不正に侵入し、個人情報を盗んだりシステムを操作したりします。主な攻撃手法は以下のとおりです。
- フィッシング攻撃:偽のウェブサイトやメールを使用して、ユーザーの個人情報やログイン情報を盗み取る攻撃。
- マルウェア攻撃:悪意のあるソフトウェアを使用して、システムに侵入し、データを盗み出したり、システムを破壊したりする攻撃。
- DoS攻撃・DDoS攻撃:サーバーに大量のリクエストを送信し、システムを過負荷状態にさせる攻撃。
- ブルートフォース攻撃:パスワードを総当たりで試行し、不正にログインを試みる攻撃。
- SQLインジェクション攻撃:不正なSQLコードをデータベースに挿入し、データの改ざんや抽出を行う攻撃手法。
サイバー攻撃に対しては、ファイアウォールの導入、侵入検知システムの実装、定期的なセキュリティ監査などが必要です。
ECサイト運営者が行うべき、9つのセキュリティ対策
最後にEC事業者が対応すべきセキュリティ対策を9つご紹介します。その対策によって実現できることや、導入方法についても簡単にご説明します。
3Dセキュア2.0の導入
3Dセキュア2.0は、クレジットカード決済時の本人認証を強化するシステムです。従来のカード番号や有効期限などの入力に加え、追加認証をすることで、なりすましや不正利用のリスクを大幅に軽減します。追加認証は不正利用の可能性が高い場合のみ要求されるため、ユーザー側の利便性も保たれるのが特徴です。
本人認証を行っていれば、不正利用があってもクレジットカード会社がチャージバックを負担してくれることもあり、ECサイト運営者の経済的損失を防ぐことができます。
導入には決済代行業者やECプラットフォーム提供者と連携し、システム改修が必要な場合があります。2025年3月末までの導入が義務づけられています。
PCI DSSへの準拠
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード業界の国際的なセキュリティ基準です。これに準拠することで、カード情報の漏洩リスクを最小限に抑え、顧客の信頼獲得、法的リスクの軽減にもつながります。
PCI DSSへの準拠には、ネットワークの保護、カード会員データの保護、脆弱性管理プログラムの維持など、12の要件を満たす必要があります。専門家のサポートを受けながら段階的に対応することをおすすめします。
SSL対応
SSL(Secure Sockets Layer)は、Webサイトとユーザー間の通信を暗号化する技術です。個人情報やクレジットカード情報などの機密データを安全に送受信するために活用されます。
多くのブラウザではSSL非対応サイトに警告が表示されるため、ユーザーの離脱防止のためにも対応が望まれます。対応には、SSL証明書を取得しサーバーに適用することが必要です。多くのレンタルサーバーでは管理画面から簡単に設定できます。
クレジットカードの不正検知サービスの導入
不正検知サービスは、AIや機械学習を活用して怪しい取引を自動的に識別するシステムです。購入履歴、IPアドレス、デバイス情報などの多様なユーザーデータを分析し、通常とは異なる購買行動などを検出します。
不正検知サービスの導入によって、なりすましや盗難カードによる被害を未然に防ぎ、チャージバックのリスクを軽減できます。また、正常な取引を阻害することなく、効率的に不正を防止できるため、顧客体験を損なわずにセキュリティを強化できます。
不正検知サービス提供業者と契約し、ECサイトのシステムと連携させる必要があります。初期設定後も、定期的なルールの調整や新しい不正パターンへの対応が重要です。
クレジットカード情報のトークン化
トークン化は、クレジットカード番号を無意味な文字列(トークン)に置き換える技術です。これにより、ECサイト側でカード情報を保持する必要がなくなり、情報漏洩のリスクを大幅に低減できます。また、カード情報の非保持化はPCI DSS準拠の対象外となるため、コスト面でもメリットがあります。
実装には、決済代行業者が提供するトークン化サービスを利用するのが一般的です。ECサイトの決済システムを改修する必要があります。
ASPカートの利用
ASP(Application Service Provider)のショッピングカートを利用することで、最新のセキュリティ対策が施されたシステムを低コストで導入できます。多くのASPサービスは、SSL対応やPCI DSS準拠などの基本的なセキュリティ機能を標準装備しています。
自社でセキュリティ対策をイチから構築する手間とコストを削減でき、常に最新の対策を維持できます。また、セキュリティ専門家による監視や定期的なアップデートにより、新たな脅威にも迅速に対応できます。
自社のニーズに合ったASPサービスを選定し、既存のシステムとの連携を検討する必要があります。移行作業には時間がかかる場合もあるため、計画的に進めることが重要です。
セキュリティテストの実施
セキュリティテストは、ECサイトの脆弱性を事前に発見し、対策を講じるための重要な取り組みです。定期的なテストとシステム変更時のテストを組み合わせることで、新たな脆弱性や、これまで見落とされていた問題点を把握することができます。
実施には、専門のセキュリティ会社に依頼するか、自社で脆弱性診断ツールを使用する方法があります。
サイトのアクセス権の厳重管理
内部からの情報漏洩や不正操作を防ぐ上で非常に重要になるのが、アクセス権の厳重な管理です。「最小権限の原則」により、データへのアクセス権を必要最小限の従業員に限定します。また、アクセスログを記録・監視することで、不審な活動を早期に発見することも可能になります。
アクセス制御システムの導入や、定期的なアクセス権の見直しが効果的です。また、強力なパスワードポリシーの適用や多要素認証の導入も検討するとよいでしょう。
セキュリティ意識を向上させる教育の実施
セキュリティ教育は、組織全体のセキュリティレベルを向上させる上で不可欠です。従業員一人ひとりがセキュリティリスクを理解し、適切な対応を取れるようになることで、人的要因によるセキュリティ事故を大幅に減らすことができます。また、事故発生時の対応手順を共有することで、被害の最小化と迅速な回復が可能になります。
定期的なセミナーの開催、eラーニングの活用、事故事例の共有などが、教育の実施例です。模擬フィッシングメールの送信など、実践的な訓練も効果的でしょう。教育内容は最新の脅威動向に合わせて常にアップデートし、定期的に理解度を測ることが重要です。
まとめ|ECサイト構築・運営時はセキュリティ対策を徹底
ECサイトのセキュリティ対策は、ビジネスの基盤を守る必須の取り組みです。セキュリティ対策不足で情報漏洩が起こると、ECサイトの運営ができなくなり、事後対応の被害額も膨大なものになります。情報を守ることは事業を安定させ、顧客や従業員からの信頼にもつながる重要なものです。
本記事で紹介した9つの対策の実施により、安全で信頼性の高いECサイトを提供できます。特に、3Dセキュア2.0の導入や、カードの非保持化かPCI DSSへの準拠はECサイト運営者に義務づけられているため、優先的に行いましょう。
決済代行サービス「KOMOJU」は、PCI DSSの最新バージョン「PCI DSS v4.0」に完全準拠しており、世界基準のセキュリティを備えています。不正検知システムと3Dセキュア2.0など、他社の決済代行サービスでは有料機能で提供しているセキュリティ機能をデフォルトかつ無償で提供しています。ECサイトのチェックアウトカートや決済に関するご相談はお気軽にご連絡ださい。
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
