セキュリティの
学び場

今回の解説ニュース

ECサイトのセキュリティを確保するためのセキュリティ対策についてまとめられたガイドラインが公開されています。今回は、ECサイトのセキュリティで気を付けるべきポイントについて説明します。

今回のガイドラインは、ECサイトの構築や運用に必要なセキュリティ対策とその実践方法について、経済産業省とIPAがまとめて解説しています。本ガイドラインでは、第一部に図表やイラストを用いて経営者向けのメッセージを掲載、ECサイトのサイバー被害が経営に及ぼす影響やセキュリティ対策の重要性をデータで示したうえで、セキュリティ確保のために経営者が実行すべきセキュリティ対策の基本を7項目で明示しています。

1社あたりの顧客情報の平均漏えい件数は約3,800件、さらに事故対応費用を支出した19社ではその平均額が約2,400万円であることが判明しました。サイバー攻撃の被害を受けた企業の75％がECサイト構築プログラムやCMS等の脆弱性を放置あるいは最新版へのアップデートを怠っていたことや、90％が保守など運用時のセキュリティ対策を実施していませんでした。

第二部では実務者向けに、ECサイトの構築時、運用時におけるセキュリティ対策要件を示し、付録としてチェックリストとして利用できるようにしています。構築時のセキュリティ対策要件は14、運用時のセキュリティ対策要件は7つで構成され、「必須」、「必要」、「推奨」の3段階の区分が記載されています。

ECサイトへのセキュリティ対策が追い付いていないと・・・

ECサイトへのセキュリティ対策が追いついていない場合、ECサイトに保存されている個人情報が漏洩してしまうリスクがあります。顧客が入力した大切な個人データが、漏えいしてしまうリスクが潜在していることになります。

何ら対策をせずにすべてのリスクへ対応することは困難ですが、SaaSを活用することで、リスクをある程度まで軽減することは可能です。

以前にも「クラウドサービスの責任共有モデル」についてお話しさせていただきました。ECサイトもSaaSを利用することで、OSやネットワーク、アプリケーションはクラウド事業者の責任でセキュリティが担保されます。ただし、データへのアクセス制御や設定周りはユーザの責任で行う必要がありますので、引き続き注意が必要です。

ECサイトの利用者である皆さんには、クレジットカードを含む個人情報を渡す先として、そのECサイトが適切であるかを十分に考えていただきたいと思います。例えば、メールに書かれた90%オフのセールに誘導され、初めてアクセスしたECサイトに、何のためらいもなく個人情報を渡すことはリスクがあると言わざるを得ません。

フィッシング詐欺などの可能性も考慮しつつ、ネットショッピングを楽しんでいただければと思っています。