0120-173-163
ECサイトで必須のセキュリティ対策とは?
【2024年度末】脆弱性診断義務化
2025年1月20日2025年1月20日
ECサイトにおける個人情報やクレジットカード情報の漏洩事故とそれに伴う不正利用被害の発生が後を絶たない状況です。
日本クレジット協会の調べによると、2023年の国内発行クレジットカードにおける年間不正利用被害総額は過去最高の約541億円となっており、2020年(253億円)と比較すると2倍以上、2015年(121億円)と比較すると4倍以上になっています。
また、2023年の年間不正利用被害総額のうち、93.3%はクレジットカード番号盗用に
よる被害額が占めており、ECサイトへのサイバー攻撃やフィッシング等によりサイバー攻撃者が入手したクレジットカード情報が不正利用されています。
参照元:
ご注意!クレジットカードの不正利用被害が急増しています|経済産業省
ECサイトの運営者は、このような状況を認識し、外部からのサイバー攻撃はもちろん、内部での人為的ミスも含めて対策を徹底して行い、情報セキュリティ事故を起こさないようにすることが重要です。
- ECサイトの情報セキュリティ事故事例
- 情報漏洩の主な原因
- IPAが提唱する「ECサイト構築・運用セキュリティガイドライン」
- 特におさえたいセキュリティ対策のポイント
- 2024年度末に脆弱性診断が義務化
- まとめ
目次
ECサイトの情報セキュリティ事故事例
某コーヒーチェーンのECサイトが改ざん(2024年)
サイト利用者の個人情報約93,000件、うちクレジットカード情報約53,000件が流出した可能性があるとされています。
原因としては、攻撃者が一般の利用者を装って注文フォームに不正プログラムを埋め込み送信。サイト運営者が注文内容を確認すると発動し、外部から遠隔操作ができるようにした上で顧客が入力した情報を別のサーバーにも送るようにサイトの改ざんが行われたためとされています。
某ランドセルメーカーのECサイトが改ざん(2024年)
サイト利用者の個人情報およびクレジットカード情報16,396件が漏洩した可能性があるとされています。
原因としては、システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためとされています。
某大手家電メーカーのECサイトが改ざん(2024年)
サイト利用者の個人情報5,836件、うちクレジットカード情報4,257件が流出した可能性があるとされています。
原因としては、サイトが改ざんされ、クレジットカード情報やその他の個人情報を入力し、かつ注文を確定した場合に、これらの情報が第三者に窃取されるプログラムが埋め込まれていたことが判明しました。
ーひとたび事故や被害を発生させてしまうと、被害額はどれぐらいの金額になる?ー
不正アクセスを受けたECサイト運営事業者の40%以上で、1,000万円以上の損失金額が発生しています。
損失金額は、ECサイト上の取引規模や停止期間によりばらつきがあり、なかには、数億円の損失金額が発生したECサイト運営事業者も見られます。(個情委調査)
最近被害を受けたECサイト運営事業者20社を対象とした調査によると、1社あたりの顧客情報の平均漏えい件数は、約3,800件です。また、そのうち19社を対象とした集計によると、1社あたりの平均被害額は、約2,400万円にのぼります。(IPA調査)
ーどのような特徴を持ったECサイトがサイバー被害に遭っている?ー
不正アクセスを受け、サイバー被害が発生したECサイト運営事業者の約97%が、自社構築サイト※です。(個情委調査)
※ECサイト構築パッケージ、または、スクラッチで自社サイトを構築することを自社構築サイトと定義します。
最近被害を受けたECサイト(20サイト)の75%が、OSS(オープンソースソフトウェア)を主とするECサイト構築パッケージやCMSの脆弱性を悪用されて被害が発生しています。(IPA調査)
※CMS(Contents Management System)は、Webサイト上で扱う画像やテキスト等のデジタルコンテンツに関する制作、編集、登録・公開等の作業を、管理者画面から簡単に行うことができるソフトウェアのことを指します。
参照元:
ECサイト構築・運用セキュリティガイドライン|IPA
情報漏洩の主な原因
サイバー攻撃
SQL インジェクション
アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーション が想定しない言語を入力・実行させることにより、データベースを不正に操作する 攻撃方法です。
出典:
安全なウェブサイトの作り方 – 1.1 SQLインジェクション|IPA
クロスサイトスクリプティング(XSS)
サイトに設置されたフォームにユーザーが情報を入力・送信する際に、埋められた悪質なHTMLスクリプトが実行され、入力された情報に加えCookie情報なども攻撃者に収集されてしまう等、Webサイトの脆弱性を利用したサイバー攻撃です。
出典:
安全なウェブサイトの作り方 – 1.5 クロスサイトスクリプティング|IPA
OS コマンド・インジェクション
Webサイト上で、不正なデータを入力し、Webサーバ側で想定していない動作をさ せるサイバー攻撃です。
出典:
安全なウェブサイトの作り方 – 1.2 OSコマンド・インジェクション|IPA
内部の人為的要因
ECサイトの情報漏洩というと、外部からのサイバー攻撃によるものをイメージする人が多いのではないでしょうか。
しかし、実際には内部の人為的要因によるものも多いのが実情です。
例えば、サイト運営に携わる担当者の以下のようなミスによって情報が漏れてしまうことがあります。
・顧客情報を含むデータを誤ってメールで送ってしまう
・顧客データをWeb上のアクセス制限が十分でない領域に置いてしまう
・顧客情報が入っているPCやスマホを持ち歩いてどこかに置き忘れてしまう
IPAが提唱する「ECサイト構築・運用セキュリティガイドライン」
「ECサイト構築・運用セキュリティガイドライン」は、ECサイトにおけるセキュリティ対策に関して、経営者が認識し、自らの責任で実践しなければならない事項について説明した「経営者編」とECサイトにおけるセキュリティ対策を実践する責任者および担当者が、講じるべきセキュリティ対策要件に関して認識し、ECサイトの安全な構築および運用を実践するうえで検討および確認すべき事項について説明した「実践編」の2部で構成されています。
「経営者編」では、IPAの「中小企業の情報セキュリティ対策ガイドライン」を基に、経営者が実行すべきセキュリティの基本対策を挙げるとともに、ECサイトの構築時及び運営時に、経営者が認識し、実務担当者に実施させるべき取組を整理しました。
「実践編」では、ECサイトの構築時及び運営時におけるセキュリティ対策要件をまとめるとともに、「経営者編」で挙げた実施すべき取組について、責任者および担当者が行うべき具体的な実践内容をチェックリスト形式でまとめています。
さらに、チェックリストに沿って、自社で対応可能な要件と対応困難な要件を分類するといった手順も詳しく解説しています。自社で対応困難な要件を外部委託先に依頼するうえでの契約上の確認事項や、さらには契約関係書類のひな型を付録に収録するなど、実践に必要な情報を一気通貫かつ全般的にまとめています。(1)「経営者編」
<セキュリティ基本対策及び実行すべき取組>
(2)「実践編」
<セキュリティ対策要件及び具体的な実践内容>
・ECサイトの構築時におけるセキュリティ対策要件一覧
・ECサイトの運用時におけるセキュリティ対策要件一覧
・新規にECサイトを構築する場合において実務担当者が実践すべき内容
・ECサイトを運営中の場合において実務担当者が実践すべき内容
出典: 「ECサイト構築・運用セキュリティガイドライン」を公開しました|経済産業省
特におさえたいセキュリティ対策のポイント
1. SSL/TLSによる通信の暗号化
顧客が入力する個人情報やクレジットカード情報などを安全に送受信するために、通信を暗号化します。
<具体的な対策>
・サイト全体でSSL/TLSを導入し、安全な通信を行う。
・証明書の有効期限を定期的に確認し、更新する。
<効果>
・通信の盗聴や改ざんを防ぎ、ユーザーが安全に利用できる環境を提供できる。
2. WAF(Web Application Firewall)の導入
サイバー攻撃からECサイトのウェブアプリケーションを保護するためのセキュリティ対策です。
<具体的な対策>
・WAFを導入して、リクエストの監視を行う。
<効果>
・SQLインジェクションやクロスサイトスクリプティング(XSS)、OS コマンド・インジェクションといった攻撃を未然に防ぎ、サイトの安全性を向上できる。
3. 不正ログイン対策
総当たり攻撃やリスト型攻撃による不正ログインを防止するための対策を講じます。
<具体的な対策>
・ログイン試行回数の制限を設定し、一定回数失敗後はアカウントを一時ロックする。
・reCAPTCHA※ を導入して自動ログイン攻撃を防ぐ。
・顧客や管理者に強固なパスワードの使用を推奨し、定期的な変更を促す。
・管理者やユーザーのログイン時にSMS等パスワード以外の認証方法を追加する。
・管理者アカウントにはIP制限を設定する。
※reCAPTCHAとはGoogleが提供する認証システムでbotによるスパムや不正ログインを防ぐことができます。
詳細については以下記事で解説していますので、よろしければ併せてご参考ください。
reCAPTCHAの特徴と導入方法
<効果>
・不正アクセスの成功率を大幅に低下させ、顧客情報やサイトの安全性を保護できる。
・パスワード漏洩時でも不正アクセスを防止できる。
4. セキュリティパッチの適用
CMSやプラグイン、サーバーソフトウェアの脆弱性を修正する更新プログラムを適用します。
<具体的な対策>
・定期的にシステムの更新を確認し、最新バージョンにアップデートする。
・使用していないプラグインや拡張機能を削除。
<効果>
・既知の脆弱性を突いた攻撃を防ぎ、セキュリティリスクを低減できる。
5. ASP型ECカートの利用
セキュリティ対策が施されたASP型のECカートを利用することで、自社でのセキュリティ管理の負担やリスクを軽減します。
<具体的な対策>
・SSL/TLS、WAF、不正ログイン対策などが標準で組み込まれているサービスを選ぶ。
・定期的にサービス提供元のセキュリティ対応状況を確認する。
<効果>
・サービス提供元によりセキュリティレベルが担保される。
・対応コストや管理工数を削減できる。
最新のセキュリティ対策を実施しているECカートでは、システム面のセキュリティアップデートが定期的にサービス提供元サイドで行われます。
そのため事業者は上記1~4のような技術的なスキルが必要とされる対応は必要なく、セキュリティレベルが担保され、安心して運用できます。
例えば、弊社の提供するクラウド型ECサイト構築ASP「
aiship
」では、
毎月2回バージョンアップによる最新のセキュリティ対策を講じるとともに、適切な運用方法の提示、レポートなど情報公開を通じて、中小企業のECサイト運営でのセキュリティ担保を実現し、そのためのコストを低減します。
またサーバーはセキュリティ世界最高水準のAWS(Amazon Web Services)を採用しています。AWSは、Amazon.comが提供するサーバーで、PCI DSS レベル 1、ISO 27001、FISMA Moderate、FedRAMP、HIPAA、SOC 1および SOC 2 監査報告書など、数々の第三者認証をクリアしています
aishipの最新セキュリティ対策の詳細はこちら
6. 定期的な脆弱性診断と従業員教育
定期的に脆弱性診断や従業員向けのセキュリティ教育、ルールの整備を実施します。
<具体的な対策>
・専門機関による脆弱性診断を年に1回以上実施する。
・従業員に向けてフィッシング詐欺やソーシャルエンジニアリングなど情報セキュリティ教育を実施する。
・重要な情報の管理方針や手順をマニュアル化し、ECサイト運営に関わる全員に周知する。
<効果>
・定期的に潜在的な脆弱性を発見・修正できる。
・人為的なミスによるリスクを低減できる。
これらのポイントをおさえてセキュリティ対策を継続的に実施することで、ECサイトのセキュリティを強化し、顧客に安全で安心な購買体験を提供できます。
2024年度末に脆弱性診断が義務化
経済産業省による脆弱性診断の義務化の背景
電子商取引及びキャッシュレス決済の普及もあり、不正アクセスや個人情報の漏洩、クレジットカード情報の悪用といった被害は後を絶たず年々増加傾向にあります。
このような状況を受け、経済産業省はECサイトにおけるセキュリティ強化を目的として、脆弱性診断の義務化を推進しています。
義務化の対象と施行時期
脆弱性診断の義務化は、個人情報やクレジットカード情報を取り扱う全てのECサイトが対象となります。
この規制は2024年度末までに対応することが求められており、すべての運営者が早急に対応を進める必要があります。
脆弱性診断の実施方法
脆弱性診断は、専門的な知識を持つ外部機関に委託するか、認定された診断ツールを使用して実施することが推奨されています。これにより、最新の脅威に対しても適切な対応が可能になります。
・外部専門機関
専門機関に依頼する場合は、これまでの実績や信頼性、対応可能な診断範囲をしっかり確認してください。診断だけでなく、結果に基づく改善案を提供してくれる業者を選ぶと効果的です。
・診断ツール
自社で診断を行う場合は、使いやすさや信頼性、価格を基準にツールを選びます。多くの企業が利用しているツールには、自動診断機能や詳細なレポート生成機能が含まれており、効率的に診断を進めることができます。
<外部専門機関と診断ツールの比較>
| 外部専門機関 | 診断ツール | |
|---|---|---|
| 診断の質 | 高い | 中程度(ツールによる) |
| 診断頻度(目安) | 最低でも年に一度 (理想は四半期に一度) |
月次や週次などの定期実施 |
| 診断にかかる時間 | 1ヶ月以上 | 数十秒~数分程度 |
| 実施手順 | 専門機関に見積もり・納期など確認後実施 | ツールの管理画面から実施 |
| コスト | 数十万~数百万円程度 | 無料~数十万円 |
診断は一度行っただけでは、次々に現れる新たな脆弱性に対応できません。定期的な診断を行い、常に最新のセキュリティ状態を保つことが重要です。
ASP利用と自社構築の脆弱性診断の違い
・ASP利用
ASP提供元がシステム(ECカート)自体の脆弱性診断を行うため、多くの場合は運営者自身の負担が軽減されます。
ただし、提供されたシステム外の部分は、自社での診断が必要です。
・スクラッチ/パッケージ等の自社構築
自社ですべてのセキュリティ対策を実施する責任を負います。
診断範囲が広くなるため、専門知識が必要であり、コストや時間がかかる場合があります。
義務化に伴う罰則やリスク
現時点では、脆弱性診断を実施しなかった場合の具体的な罰則は明確に定められていません。
しかし今後、個人情報保護法の改正等により、罰則が強化される可能性はあります。
また、診断を怠ることで情報漏洩やサイバー攻撃の被害を受けるリスクが高まり、結果として信頼失墜や経済的損失を被る可能性が高まります。
まとめ
ECサイトのセキュリティについて要点をまとめると以下になります。
・年々クレジットカード不正利用被害総額は増えている
・直近でも自社構築サイトを中心に改ざん等による情報漏洩が頻発している
・サイバー攻撃と内部の人為的ミスの両軸で対策をする必要がある
・IPA「ECサイト構築・運用セキュリティガイドライン」に基づいた網羅的な対策が推奨される
・ASP型ECカートを利用すれば技術的なスキル不要でセキュリティレベルを担保できる
・2024年度末に全ECサイトを対象に脆弱性診断が義務化されるため対応が急がれる
ECサイトを運営される事業者は自社の状況を正しく認識し、今回ご紹介した内容を参考にセキュリティ強化に取り組んでいただければと思います。
ただ、事業者のみで行える対策にはどうしても限界があります。利用するECカート自体のセキュリティの高さも重要となるので、ECサイト全体の最適化に向けて今一度利用サービスも含め見直しを検討してみてはいかがでしょうか。
先述の通り、弊社の提供するクラウド型ECサイト構築ASP「
aiship
」は毎月2回バージョンアップにより常に最新のセキュリティ対策実施に加え、セキュリティ世界最高水準のサーバー「AWS(Amazon Web Services)」上での稼働により安全なECサイト運営を担保しています。
セキュリティが万全なECサイト立ち上げや、セキュリティに課題がありリニューアルをご検討の事業者様は是非お気軽にご相談ください。
またECサイトの構築・リニューアルをご検討の際は以下の記事もご参考いただけますと幸いです。
ECサイト構築の方法と手順|立ち上げ時に注意すべきポイントとは?【成功事例付】
ECサイトリニューアル成功のポイント|売上40%増の成功事例から手順・費用まで解説
