ECサイトでセキュリティ対策が必須な理由は？事故の原因から対応策まで解説

2024.03.102024.03.10
- ECニュース

「自社ECがセキュリティ面で問題ないか不安を感じている」

「セキュリティ対策に不備がある場合、どのようなリスクがあるのか知りたい」

ECサイトを運営している担当者のなかには、上記のような悩みがある方もいるのではないでしょうか。

本記事では「ECサイトにおいてセキュリティ対策が必須な理由」と「セキュリティ事故の原因・対応策」を中心に解説します。

セキュリティ面で対策すべきポイントが確認できるため、自社ECの安全性に不安がある方はぜひお読みいただき、自社ECのセキュリティ強化のヒントにしてください。

1 ECサイトにおいてセキュリティ対策が必須な理由
2 セキュリティ対策で盲点になりがちなポイント
3 ECサイトのセキュリティ事故の種類
4 ECサイトにおけるセキュリティ事故の事例
- 4.1 情報漏えいの事例
- 4.2 Webサイトの改ざんの事例
5 被害を受けたEC事業者52%がSaaS型 / モール型へ移行
6 ECサイトにおけるセキュリティ事故の原因と対応策
7 ECサイトのセキュリティ強化で取り組むべきポイント
8 まとめ

ECサイトにおいてセキュリティ対策が必須な理由

ECサイトにおいてセキュリティ対策が重要視される理由は、主に以下の3つです。

社会的信用が失墜する
経済的な損失が発生する
対策が義務化されている

社会的信用が失墜する

ECサイトにおいてセキュリティ事故が発生した場合「顧客の氏名・住所などが流出して悪用される」「クレジットカードが不正利用される」といった被害から、顧客に不利益を与える可能性があります。

その結果、企業・ブランドの社会的な信頼が低下し、顧客に使ってもらえなくなる可能性があります。そのため、未然にセキュリティ事故を防ぐ対策が必要です。

独立行政法人情報処理推進機構（IPA）の調査によると、実際に被害にあったECサイトのなかには、被害後の売上高が被害前の50%以下に落ち込んでしまったケースがあります。被害から1年以上経過したにもかかわらず売上は回復しませんでした。

セキュリティ事故は事故発生時の信用失墜だけでなく、復旧後の集客にも影響を及ぼすことがわかります。顧客に被害を与える前に適切なセキュリティ対策を講じ、顧客が「安心して利用できるECサイト」を運営しましょう。

経済的な損失が発生する

セキュリティ事故が発生すると、対応や処理が必要になります。その間「ECサイトの閉鎖による売上の損失」や「原因調査・被害の補償などの事故対応」によって、経済的損失が発生します。

令和3年に個人情報保護委員会が実施した調査によると、セキュリティ事故が発生した場合のECサイトの停止期間は「半年以上1年未満」が多く、平均損失額は1社あたり約5,700万円です。取引規模や停止期間によって差があるものの、なかには数億円の損失があった事業者も存在します。

また、セキュリティ事故に関連して「原因調査費用」や「被害者への補償」「弁護士・コンサルティング費用」などがかかるケースもあります。事故対応費用の平均額は1社あたり2,400万円と高額です。経済的負担が経営を圧迫しかねません。

なかでもクレジットカード情報が漏えいした場合は、カード会社・決済代行会社との契約で義務付けられている「フォレンジック調査」を実施する必要があります。この調査費用は200万円～600万円程度かかるケースが多く、調査対象のサーバー数が多いほど費用も高くなります。

セキュリティ事故がひとたび起きれば、ECサイトに対する信用を失うだけでなく「経済的な損失」も甚大であることを認識しておきましょう。

参考：個人情報保護委員会「ECサイトへの不正アクセスに関する実態調査」

参考：独立行政法人情報処理推進機構「ECサイト構築・運用セキュリティガイドライン」

対策が義務化されている

2018年6月に施行された「改正割賦販売法」により、クレジットカードを扱う加盟店では「クレジットカード番号などの適切な管理」や「クレジットカード番号の不正利用の防止」が義務づけられました。

そのため、EC事業者においては「クレジットカード番号の非保持化」あるいは「ECシステムのPCI DSSへの準拠」への対応が必須であり、違反した場合は「改正割販法違反」に該当します。

また経済産業省は、EC事業者に対して「脆弱性診断の実施」「本人認証の導入」の義務化を予定しています。近年のサイバー攻撃による被害状況を踏まえ、2024年度末をめどに義務化が検討されています。

ここでは現在義務化の対象である「クレジット番号の非保持化」と「ECシステムのPCI DSSへの準拠」について掘り下げて解説します。

クレジットカード番号の非保持化

クレジットカード番号の非保持化は、自社ネットワーク内にカード情報を「保存」「処理」「通過」しないことです。クレジットカードの情報がサーバーに保存されない決済方法であり、おもに「トークン方式」と「リンク方式」の2種類あります。

トークン方式は、カード情報を文字列（トークン）に置き換えて決済代行会社へ情報を送信する方法です。万が一漏えいした場合でも文字列に置き換えられているため、第三者が悪用できない仕組みになっています。

リンク方式はクレジットカードでの決済時に、決済代行会社のサイトに遷移して処理する方法です。決済代行会社が用意したページで情報を処理するため、EC事業者側はクレジットカード情報に触れずに決済が完了します。

futureshopの決済オプションである「F-REGI」および「SBPS」のクレジットカード決済は、トークン決済に対応しています。顧客がクレジットカード番号を入力した後は、直接「F-REGI」あるいは「SBPS」に送信されます。

トークン決済

引用：futureshop オンラインマニュアル「トークン決済機能の概要」

クレジットカード番号がfutureshopシステムを通過せず、返却された文字列（トークン）をもとに決済します。そのため義務化されている「クレジットカード番号の非保持化」に対応でき、第三者によるクレジットカード番号の悪用を防止します。

ECシステムのPCI DSSへの準拠

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード会員のデータを安全に取り扱うことを目的に策定された国際的なセキュリティ基準です。

クレジットカードの国際ブランドである「American Express」「Discover」「VISA」「Mastercard」「JCB」の5社が共同で策定しており「安全なネットワークの構築」や「カード会員データの保護」などの要件に基づいた、約400もの要求事項で構成されています。

「PCI DSSへの準拠」は、該当する要求事項に全て対応できていることを示すため、要求されるレベルが高いのが特徴です。また取得には初期費用が1,000万円、月額費用が100万円することも珍しくないうえに、開発にも1年程度かかります。

そのため、EC事業者単独でPCI DSSに準拠するのは現実的ではなく、限られた企業のみが取得しているのが現状です。

futureshopの決済オプション「F-REGI」および「SBPS」の決済代行会社は「PCI DSS」に完全準拠しています。決済オプションの利用のみで義務化に対応でき、カード情報に関するセキュリティ強化が可能です。

セキュリティ対策で盲点になりがちなポイント

セキュリティ対策で盲点になりがちなのは、EC事業者のパソコンが「ウイルスメール」をはじめとした方法で乗っ取られるケースです。

EC事業者が使用する機器には、標準で備えられているセキュリティソフトがあります。たとえば、パソコンのWindows・macなどのハードに搭載されている「セキュリティソフト」や、ルーターの「セキュリティ機器」などです。これらのソフト・機器で十分と考えている事業者も存在するものの「ウイルスソフト」などが入っていなければ、セキュリティ対策が万全とはいえません。

SaaS型をはじめとしたECプラットフォームでは、EC事業者側のセキュリティ不備は検知できません。ログ上は正しく見えることから「Webサイトの改ざん」をはじめとした異常な挙動が判明しにくい傾向があります。

セキュリティ対策に関して不安な部分は、futureshopでセキュリティコンサルティングの紹介が可能です。お気軽にご相談ください。

ECサイトのセキュリティ事故の種類

ECサイトで起きる可能性があるセキュリティ事故は、おもに以下の3つです。

情報漏えい
Webサイトの改ざん
クレジットカードの不正利用

情報漏えい

情報漏えいは、ECサイトが保有する「個人情報」や「クレジットカード情報」などが外部に流出してしまうことを指します。

株式会社東京商工リサーチが実施した調査によると、2022年に起きた情報漏えい・紛失事故の原因は、165件中91件が「ウイルス感染・不正アクセス」であり、半数以上を占めています。次いで「誤表示・誤送信」が43件であり「メールの送信間違い」や「システムの設定ミス」などの人為的な原因も上位になっています。

ほかにも「保管すべき書類や取引記録の破棄・紛失」が25件、従業員が個人情報を持ち出した「盗難」が5件です。ウイルス感染・不正アクセスが最も多く、企業のデジタル活用に伴いサイバー犯罪の被害も増加していることがわかります。

Webサイトの改ざん

Webサイトの改ざんは、EC事業者が意図しない状態に変更されてしまうことを指します。ECサイト上の「コンテンツの書き換え」や「マルウェア（※）の書き込み」などが行われる可能性があり、改ざんされた場合は「アクセスユーザーがマルウェアに感染する」「入力フォームの改ざんにより個人情報が外部に送信される」「ECサイト上に意図しない内容・デザインが表示される」といった被害が発生します。

一般社団法人 JPCERT コーディネーションセンターが実施した調査によると、2022年7月1日から9月30日までにWebサイト改ざんのインシデントが報告された件数は695件でした。前回の同時期の報告では557件だったため、25%増加しています。

2022年のWebサイト改ざんの事例は「正規のサイトに不正にWebShell（※）を設置してフィッシングサイト（※）のコンテンツを設置する」「サイトに不審なサイトへの転送スクリプト（※）を挿入する」といった内容が複数報告されました。

※マルウェア：セキュリティを侵害する悪意あるソフトウェアのこと。

※WebShell：サーバーに侵入し操作を可能にするスクリプトのこと。

※フィッシングサイト: 偽装サイトで個人情報を騙し取る詐欺のこと。

※転送スクリプト: 情報やデータを自動的に転送するプログラムのこと。

クレジットカードの不正利用

クレジットカードの不正利用とは、他人のクレジットカード情報で買い物をし「クレジットカードの持ち主になりすまして商品を盗む行為」を指します。不正利用された場合に持ち主がクレジットカード会社に申告すると、代金はカードの持ち主ではなくECサイトに請求されます。すると商品が売れたにもかかわらず代金が支払われないため、EC事業者にとっても大きな損失につながるセキュリティ事故です。

日本クレジット協会が実施した調査によると、クレジットカード不正利用の被害額は以下のように推移しています。

2019年	2020年	2021年	2022年	2023年
274.1億円	253.0億円	330.1億円	436.7億円	401.9億円

最も被害額が高かったのは2022年だったものの、2023年は約402億円もの被害がありました。クレジットカードの不正利用では、換金性の高い商品を大量に購入して転売するケースがあるため「家電製品」や「ブランド物の商品」「化粧品」などの商材が狙われる傾向があります。

ECサイトにおけるセキュリティ事故の事例

ここからは、ECサイトで実際に起きた「情報漏えい」と「Webサイトの改ざん」のセキュリティ事故の事例をご紹介します。

情報漏えいの事例

2022年にアパレル会社が運営するECサイトが不正アクセスされ「顧客のクレジットカード情報」が最大16,093件流出しました。クレジットカード決済システムの脆弱性が原因となり、不正アクセスされています。

被害を受けたのは従業員数10名以下の小規模なアパレル会社であり、事故後は「第三者による原因の調査」や「ECサイトの改修」「セキュリティ対策・監視体制の強化」といった対応に迫られています。EC事業者の規模にかかわらず、サイバー攻撃の対象になることを示す事例です。

Webサイトの改ざんの事例

2023年に業務用食材ECサイトが「Webサイトの改ざん」をはじめとした複数の被害を受けています。「注文情報が不正に取得される」「Webサイト改ざんにより不適切なバナーが表示され、自動的にほかのサイトにリダイレクトされる」といった状況が確認され、コンテンツを修正しています。

不正に取得された情報は「注文番号・日時」や「会員コード」などであり、個人が特定できる情報は含まれていませんでした。事件後は「Webサイトの管理画面へのアクセス制限強化」をはじめとした対応をおこない、ユーザーにも「セキュリティチェック」や「パスワード変更」を呼びかけています。

被害を受けたEC事業者52%がSaaS型 / モール型へ移行

ECサイトを自社構築で運営していた事業者が被害を受けた結果、52%が「SaaS型」あるいは「モール型」のサービスに移行しています。

自社構築では、十分なセキュリティ対策が「予算面」「管理要員面」で不可能であることから、被害後の自社構築でのECサイトリニューアルを断念しています。

一方34%の事業者が、自社構築のままECサイト運営を継続しています。SaaS型・モール型に移行した場合、自社ECにとって重要な独自性が失われることを懸念し、追加予算をかけてセキュリティ対策を実施しています。

さらに被害を受けた事業者の14%は、ECサイトを運営停止しています。被害を受けた企業の66%が自社構築でのECサイト運営を断念しているため「セキュリティ対策」や「ECサイトの形態の選定」などは、慎重に行う必要があります。

ECサイトにおけるセキュリティ事故の原因と対応策

ECサイトにおけるセキュリティ事故は、社会的信用を失うだけでなく、経済的にも大きな損失をもたらします。そのためセキュリティ事故が引き起される原因に応じて、対応策を講じる必要があります。

セキュリティ事故の主な原因は次の3つです。

外部からの攻撃
社内の人的ミス
内部不正

原因ごとに対応策を解説します。

外部からの攻撃

外部の悪意ある第三者からのサイバー攻撃により、セキュリティ事故が発生する可能性があります。具体的には「システムの脆弱性を突かれて不正アクセスされる」「何らかの方法でパスワードを取得されて不正にログインされる」などにより、セキュリティ事故につながります。

サイバー攻撃の代表的な手口は「標的型」や「パスワード取得による不正ログイン」「マルウェア」などがあります。

対応策

外部からの攻撃に有効なのは、以下のような対応策です。

管理画面にアクセス権限を設定する
システム・アプリを常に最新バージョンに更新する
ログイン情報や顧客情報を適切な場所で管理する
不正アクセス検知サービスやソフトを導入する

ECサイトの管理画面では「顧客情報」や「サイトを構成するデータ」などが閲覧できるため、安全性を高めるためにアクセスできる「パソコン」や「ユーザー」を限定しましょう。すると関係者以外はアクセスできない環境になるため、セキュリティ事故が防止できます。

ECサイト側に実装すると便利なのは「AppleID」と「GoogleID」でログインできる機能です。両社はセキュリティレベルが高く、アカウント自体が乗っ取られにくいです。またパスワードを入力せずにログインできるため、漏えいする心配もありません。もともとはユーザーのログイン時の利便性を高めるための機能であるため、セキュリティ対策と便利さが両立できる機能です。

またECサイトのシステム・アプリのアップデートでは、これまで発見された脆弱性が解消されています。アップデートしないと脆弱性が放置されてサイバー攻撃の糸口になってしまうため、システム・アプリは常に最新バージョンに更新しておきましょう。

機密性の高い情報である「ログイン情報」や「顧客情報」などを、適切な場所で管理することも重要です。たとえば、外部からアクセスできない「社内ネットワークのフォルダ」で保管する方法があります。

さらに、24時間サイバー攻撃や不正アクセスが防御できる「不正アクセス検知サービス・ソフト」の導入も1つの方法です。ECサイトで不自然な挙動があった場合は自動で検知・通知されるため、目視で監視する必要がありません。

ECサイトを運営する事業者のなかには「WordPress」を活用して、オウンドメディアを運営しているケースがあります。商品の販売はECサイトを通じて行われ、コンテンツ管理はWordPressを使用します。WordPressとECサイトを連携させることで、ECサイト内にWordPress側のコンテンツが入ります。

しかし自動更新をオフに設定した場合、セキュリティ更新が行われず、結果としてサイトが改ざんされ「フィッシングサイトにリダイレクトされる」といったリスクが生じます。

futureshopの「CMSサーバーオプション」では毎月「ウイルスチェック」や「脆弱性チェック」が実施されているため、安心してECサイトとオウンドメディアが運営できます。またEコマースサイトの独自ドメイン配下で運用できるため、SEO上のメリットも大きいサービスです。

社内の人的ミス

ECサイトにおけるセキュリティ事故は、外部からの攻撃だけでなく社内の人的ミスも原因になり得ます。たとえば「顧客情報を誤った相手に誤送信してしまった」「誤操作によってデータを削除してしまった」「ノートパソコンに入れて持ち出した結果、どこかに置き忘れてしまった」などのケースが、社内の人的ミスに該当します。

対応策

社内の人的ミスに有効なのは、以下のような対応策です。

セキュリティポリシーを策定・周知する
セキュリティに関して社内教育を実施する

セキュリティポリシーは、企業・組織が情報資産を守ることを目的として策定されます。企業が「どのように情報資産を守るのか」「どのような対策が必要か」といった方針を示せるため、社内におけるセキュリティリスクが軽減します。ポリシーを策定しても周知できていなければ意味がないため「社内のポータルサイトに掲載する」「事務所に掲示する」といった方法で、社内周知に努めましょう。

またセキュリティの意識を高めるには、社内教育も有効です。セキュリティに関する研修などを実施し「セキュリティ事故が起きた場合のリスク」や「日常的に注意すべきこと」「セキュリティ事故に対する基本的な対策」などを社員に認識してもらうことで、企業のセキュリティリテラシーが向上します。

加えて、情報を安全に管理するための手順をマニュアル化することで、業務上に起こりうるセキュリティ事故が防止できます。たとえば「個人情報が含まれているファイル・パソコンの扱い方の制限」や「個人所有のUSBメモリの利用禁止」などのルール化により、人的ミスが原因となるセキュリティ事故が起こらない仕組み作りにつながります。

futureshopが実施する講座「futureshop ACADEMY」では、ご利用店舗様を対象に「自社ECサイト運営のためのセキュリティ対策勉強会」を実施しています。「最新のセキュリティ情報」から「ECサイトのセキュリティレベル向上のための対策方法」まで、安全なECサイト運営に役立つ情報をお伝えしています。

内部不正

内部不正は企業の従業員をはじめとした関係者によって、情報が意図的に持ち出されることを指します。社内から持ち出された結果「競合他社への情報流出」や「転売目的での顧客情報の流出」などにつながる恐れがあります。

社内の関係者がデータを抜き出すため、サイバー攻撃をはじめとした知識がなくても実行されてしまうセキュリティ事故です。

対応策

内部不正に有効なのは、以下のような対応策です。

セキュリティポリシーを策定・周知する
管理画面にアクセス権限を設定する
ログイン情報・顧客情報を適切な場所で管理する

社内の人的ミスの場合と同様、セキュリティポリシーの策定・周知が有効です。ポリシーのなかで罰則を定めておけば、内部不正の抑制につながります。また社内全体のセキュリティリテラシーが高まるため、周囲の目も厳しくなります。データが持ち出しにくい環境になるため、不正を思いとどまらせる効果があります。

また管理画面に特定の従業員しかアクセスできないように、アクセス権限を設定するのも有効です。万が一権限がある従業員が情報を流出させた場合でも、原因の特定まで早急に対応できます。

さらに、ログイン情報や顧客情報などを保管するドライブにアクセス制限を行うことも効果的です。社内のドライブに特定の関係者しかアクセスできないように設定すれば、不正に持ち出されるリスクが低減します。また社内からのアクセスしかできないようにIPアドレス制限をすることも効果的です。

futureshopでは、管理画面のログイン時に2段階認証を実施しています。不正ログインを検知した場合は、登録されているメールアドレス宛に「ログイン情報」などを記載したメールを送信します。そのためアカウント・パスワードの不正利用時には、すみやかに「パスワードを変更する」といった対応につなげていただける環境です。