こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
近年、インターネット上でショッピングが可能なEC(電子商取引)サイトが急速に普及しています。経済産業省の「令和3年度デジタル取引環境整備事業(電子商取引に関する市場調査)」によると、2021年のBtoC-EC市場規模の総計は、20兆6,950億円で、前年の2020年から7.35%拡大しました。
しかし、このECサイトを狙った個人情報の漏えいなどの被害も増加しています。今回は、ECサイトが狙われる理由や、ECサイト運営者が取るべきセキュリティ対策について解説します。
ECサイトがサイバー攻撃の標的にされる理由
ECサイトがサイバー攻撃の標的にされる理由はいくつかあります。
その理由について、それぞれ見ていきましょう。
クレジットカードなど、顧客の「お金」に関わる情報が集まっている
ECサイトでは、顧客の支払いに関連するクレジットカード情報や銀行口座情報など、お金に関わる重要な情報が集まります。
ECサイト以外のサイトは、企業ホームページ・ブログやニュースのメディアサイト・コマーシャルなどのプロモーションサイトなどがありますが、いずれも顧客の直接的なお金に関する情報は持っていません。
そのため、攻撃者はクレジットカード情報や銀行口座情報を盗むために、ECサイトのサーバー内に侵入するのです。
世界中からECサイトが標的にされている
ECサイトは、海外からも日本の商品が購入されるというメリットがあります。しかし、逆に言うと、世界中からアクセスが可能であるため、攻撃の標的になりやすい状態です。
海外サーバーからのアクセスにより、日本の警察も調査・検挙が難しく、ECサイトのセキュリティ対策が不十分な場合、個人情報漏えいなどの被害が拡大する可能性があります。
次に、実際のECサイト被害例を見ていきましょう。
ECサイトによる個人情報漏えいの被害例
総務省「不正アクセス行為の発生状況」によると、2021年にIPAに届出のあったEC サイトを含むコンピュータ不正アクセス数は243件で、前年の2020年から56件増加しました。
また、帝国データバンクの「サイバー攻撃に関する実態アンケート」では、サイバー攻撃を「1年以内に受けた」と回答した企業は24.2%でした。
個人情報漏えい被害の具体例として、JNSA(日本ネットワークセキュリティ協会)の「インシデント損害額調査レポート 2021年版」によると、「ECサイトからのクレジットカード情報等の漏えい」の事例では、ECサイト運営会社の合計被害額が9,490万円となりました。
これは、実際のクレジットカードの不正利用に関する被害額は2,500万円でしたが、その後のサーバー対処費用や被害受付のコールセンター費用、利益損害と損害賠償を併せて9,490万円という被害額になってしまいました。
このように、ECサイトの個人情報漏えいなどのサイバー攻撃による被害はかなり高額となります。加えて、企業のブランド・信頼性の低下など将来的にも影響があるはずです。
それでは、ECサイトで個人情報漏えいなどのサイバー攻撃を防ぐためにはどのような対策が必要になるのでしょうか。
その前に、サイバー攻撃を防ぐセキュリティ対策をするためには、まずはECサイトの種類について理解する必要があります。
ECサイトによるセキュリティの違い
ECサイトは、サイトの基盤となるサーバーの構築方法によって、プラットフォーム型のECサイトとオープンソース型のECサイトの2種類に分けられます。
ECサイトの種類によってサイトの構築方法やセキュリティ設定方法が異なるため、次項では、その違いについて見ていきましょう。
プラットフォーム型ECサイトのセキュリティ
プラットフォーム型ECサイトは「Shopify」や「BASE」などが挙げられます。
プラットフォーム型ECサイトの特徴は、ユーザーはサーバーを準備する必要がなく、予め用意されたテンプレートやデザインを選んで自分のECサイトを作成します。
セキュリティ面では、プラットフォーム型ECサイトは運営会社がサーバー管理を行っており、利用者は全員同じサーバー環境・セキュリティ設定です。
そのため、ユーザー独自のセキュリティ設定などのカスタマイズが難しい点や、運営会社がセキュリティ対策を怠っていた場合に被害の巻き添えに遭うというデメリットがあります。
オープンソース型ECサイトのセキュリティ
オープンソース型ECサイトは「EC-CUBE」や「Magento」が挙げられます。
オープンソース型ECサイトは、インターネット上で無料公開されているオープンソースを利用したECサイトで、自分の作りたいデザインや機能を持ったECサイトを安く・柔軟に構築できます。セキュリティ面では、セキュリティ対策は利用者が自由に設定できます。しかし、自由に設定できる分、自身でセキュリティ対策やソフトウェアアップデートが必要です。
このようにECサイトでは、プラットフォーム型とオープンソース型に分けられており、プラットフォーム型ではセキュリティ面のコントロールはできません。オープンソース型では、自由にセキュリティ設定ができますが、自身で管理する必要があります。
それでは、オープンソース型ECサイトを運営している企業は、どのようにセキュリティ対策を実施すれば良いのでしょうか。
オープンソース型ECサイト運営者が取るべきセキュリティ対策
オープンソース型ECサイトを運営している場合、適切なセキュリティ対策が必要です。
継続的なプログラムアップデート
オープンソース型ECサイトの運営者は、サーバーに関するOSやソフトウェアなどのアップデートを継続的に実施し、セキュリティ強化を図る必要があります。
オープンソースソフトウェアは提供会社やコミュニティから定期的にアップデートが提供されています。これらのアップデートは、機能面の充実もありますが、セキュリティパッチやバグの修正も入っており、既知の脆弱性を修復することが目的です。また、ソフトウェア以外にもサーバーの基盤となるOSやミドルウェアも併せてアップデートする必要があります。
セキュリティホールを含む脆弱性診断
オープンソース型ECサイトの運営者は、セキュリティホールを含む脆弱性診断が必須です。
オープンソースはその名の通り、プログラムがインターネット上に公開されています。また、ソフトウェアのアップデートされたプログラムも公開されます。攻撃者がプログラムを解読し、プログラムからセキュリティホールが発見される場合があります。
そのため、ECサイト運営者は、日々のセキュリティホールや脆弱性情報のキャッチアップが欠かせません。また、定期的な脆弱性診断も必要です。プログラムのアップデート後に脆弱性診断を行い、最新プログラムが危険であると分かった場合には、アップデートしたソフトウェアをアップデート前の状態にバージョンダウンする作業が必要となります。
しかし、アップデートしたソフトウェアのバージョンダウン作業は、ノウハウが無かったり、他のソフトウェアも一緒にバージョンアップされて互換性の関係でバージョンダウンできない状態になることもあります。
そのため、上記のような場合はバージョンアップ以前のバックアップデータからの復元作業が最も安全な対応方法です。
ECサイトのセキュリティ対策は「クロジカサーバー管理」
オープンソース型ECサイトのセキュリティ対策は、個人情報漏えいなどの観点からも必須かつ失敗できない重要な役割です。
ECサイトを運営している皆さまは個人情報のセキュリティ対策ができていますでしょうか?
そこで、セキュリティ対策をする人手が足りない、詳しく分からないという方に、「クロジカサーバー管理」のご紹介です。
「クロジカサーバー管理」では、ECサイトのセキュリティアップデートはもちろん、OS・ミドルウェアのアップデートや、異常時の復元を可能とするバックアップの取得も対応しています。企業のブランドや信頼性を守るためにも、サーバーのセキュリティ対策は専門の会社に委託することをおすすめします。
「クロジカサーバー管理」では、上場企業や自治体、教育機関など、さまざまな企業さまへの導入実績があります。ぜひ、ご相談ください。
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
