セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 外部委託で開発した自社ECサイトのセキュリティで気を付けるべきポイント

外部委託で開発した自社ECサイトのセキュリティで気を付けるべきポイント

外部委託で開発した自社ECサイトのセキュリティで気を付けるべきポイント
目次
  • 今回の解説ニュース
  • 自社運用ECサイトから「モール型ECサイト」に移行する際のポイント
  • 自社と外部委託先、責任範囲の取り決めは?

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

個人情報保護委員会「ECサイトへの不正アクセスに関する実態調査」を公開、フォレンジック調査費用は100万円~500万円に

個人情報保護委員会は3月17日、「ECサイトへの不正アクセスに関する実態調査」を公開した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

不正アクセスの被害を受けたECサイトについての調査結果が発表されています。モール型ECサイトや外部委託で開発した自社ECサイトのセキュリティで気を付けるべきポイントについて説明します。

今回の調査は、個人情報の漏えい等の報告を提出したECサイト運営事業者の不正アクセス被害に関して、原因、再発防止策、損失について、調査結果を取りまとめたものです。不正アクセスの直接的な原因として、決済画面の改ざんを引き起こす脆弱性が37%、SQLインジェクション脆弱性が31%と、ECサイト脆弱性に対する不正アクセスが多くを占めています。なお、ヒューマンエラーによるECサイトの管理者画面へのアクセス制限不備が15%となっています。

不正アクセスの発生理由として、脆弱性についての理解不足が66%、技術的ノウハウの不足が59%と、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられました。不正アクセスによる損失として、約8割の事業者でECサイトを停止し、その期間として、半年以上1年未満の回答が最多となりました。具体的な損失金額は、1,000万円以上の損失が発生したと回答した事業者が4割以上あり、数億円の損失が発生した事業者もみられたということです。

不正アクセスを受けた後に、フォレンジック調査等を外部に委託した場合の費用としては、200~249万円が特に多い結果となりました。また、不正アクセスを受けて、93%の事業者でクレジットカード情報の漏えいが発生し、カード差し替えの手数料も大半の事業者が負担しており、その費用は1件あたり約2,000円との回答が6割で最多となっていたということです。

自社運用ECサイトから「モール型ECサイト」に移行する際のポイント

モール型ECサイトを利用する際のセキュリティで気を付けるポイントとして、ECサイトを更新するパソコンなどエンドポイントのセキュリティに気を付ける必要があります。

モール型ECサイトでは、そのプラットフォームやアプリケーションはモール型ECサイトを提供する事業者の責任で行われます。つまり、今回の調査で不正アクセスの直接的な原因として発表されている、SQLインジェクションやECサイトの脆弱性は、モール型ECサイトの事業者が対応を行う必要があります。

ただし、モール型でもECサイトの各ページを更新する作業は、店舗側が所有するパソコンで行う必要があります。そのパソコンがマルウェアに感染していた場合は、不正アクセスの被害にあう可能性がありますので、店舗側で対応を行う必要があります。

具体的には、ECサイトを更新する際に入力するIDやパスワードがマルウェアに盗聴されてしまい、そのアカウントが悪用されることで、顧客情報を窃取されてしまう可能性があります。対策として、パソコンのOSやソフトウェア、セキュリティ対策製品を最新バージョンへアップデートすることが店舗側に求められます。

自社と外部委託先、責任範囲の取り決めは?

自社ECサイトを外部委託先が開発する場合、脆弱性が発見された際の対応や、情報漏えいが発生した際の責任について、契約書で明文化しておく必要があります。

インシデント発生時の責任についての明示化を
自社ECサイトを開発する場合、外部の制作会社に委託することが多いのではないでしょうか。その際、発注時の要件として、脆弱性が発見された際の対応や、情報漏えいが発生した際の責任について、あらかじめ契約書に盛り込んでおくことが必要です。また、ECサイトのリリース後にインシデントが発生した際も、継続的に対応可能な保守契約を締結しておくことが有効です。
どのような要件を盛り込むべきか、参考資料も公開されている
具体的にどのような要件を盛り込むべきかについては、IPAが公開している「安全なウェブサイトの作り方」やJNSAが公開している「セキュアシステム開発ガイドライン」が参考になります。それぞれダウンロードできるURLを概要欄に書いておきますので、これから自社ECサイトなどを外部委託先で開発することを予定している方は参考にしてみてください。

今回は、モール型と自社ECサイトのセキュリティで気を付けるべきポイントについて説明しました。調査結果にもある通り、事故が起こってからでは多額の調査費用がかかってしまいますので、未然防止ができる範囲は漏れなく対策するようにしましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ