ECサイトのセキュリティ対策は必須！事故例・対策法・費用別診断サービスもご紹介

ECサイト・ネットショップ

2021.12.22 2022.04.19

『ECサイトでセキュリティを強化する方法を知りたい』
『運用しているECサイトのセキュリティが心配』

ECサイトの運用では、セキュリティ対策が必須です。
なぜなら、ECサイトは決済や個人情報など、顧客の貴重な情報を管理する立場にあるからです。

もし、ECサイトのセキュリティ対策を怠れば、サイト閉鎖の危機になることもあります。
そのため、ECサイトの運営者は、セキュリティ対策についてよく知る必要があります。

今回は、ECサイト運営者なら必ず知るべき「セキュリティ対策」について、実際の事故例と共に、セキュリティ対策法から費用別セキュリティ診断サービスもご紹介致します。

※今回のコラム記事でご紹介しているセキュリティ診断サービスの料金は記事公開（2021年12月22日）時点の情報です
最新情報は各公式のWebサイトをご覧ください

1. ECサイトにセキュリティ対策が必須の理由
2. ECサイトのセキュリティ事故の実例
3. ECサイトのセキュリティで注意すべきポイント
4. ECサイトセキュリティガイドラインから学ぶ対策法5選
5. ECサイトのセキュリティ診断サービス4選【費用別】
6. まとめ

ECサイトにセキュリティ対策が必須の理由

ECサイトにセキュリティ対策が必須の理由は3点あります。

ECサイトは狙われやすい特性あり
社会的信用失墜・サイト閉鎖のリスク
関係者の多さ・外注頻度の高さ

ECサイトは狙われやすい特性あり

ECサイトでセキュリティ対策が必須である一番の理由は、ECサイトが「狙われやすい」特性をもつメディアであるからです。

そもそもECサイトとは、以下2つの貴重な情報を取り扱う立場にあります。

決済情報
個人情報

ECサイトで最もよく利用される決済手段といえばクレジットカードですが、言い換えればECサイトはクレジットカード不正利用の標的にされやすい温床です。

次にECサイトは、多くの顧客の氏名、住所、メールアドレスなどの多くの個人情報を預かる特性もあわせ持ちます。

特定の商品やサービスを利用する顧客名簿は換金性が高く、ECサイトの個人情報を狙うサイバー攻撃の手口は年々巧妙になっていることから、近頃では中小規模のサイトでさえも標的になるほどです。

社会的信用失墜・サイト閉鎖のリスク

セキュリティ対策を怠り、情報漏洩トラブルを起こしたECサイトは、社会的信用を失墜させ、サイト閉鎖に追い込まれる可能性があります。

ECサイトで安定的に売上を出すには顧客からの信頼獲得が必須ですが、ひとたび情報漏洩トラブルを起こしただけで、それまで獲得した信頼が一瞬にして失われ、顧客離れが加速する事態は避けられません。

サイバー攻撃は紛れもなく犯罪行為のため、本来ならサイト運営者側も被害者のはずですが、理不尽なことに顧客側はトラブルに対する責任の所在をサイト運営者に求めてくることになります。

とくに知名度の高い人気サイトほど失った信用の代償は大きく、情報漏洩事故の責任問題の解決に、どれほどの時間、費用、労力を割くことになるのかは計り知れません。

関係者の多さ・外注頻度の高さ

EC業界ならではの、関係者の多さや外注頻度の高さも、セキュリティ対策を強化すべき理由の1つです。

ECサイトの運営は、Web制作や出品、更新などやるべきことが煩雑なため、社内や外注問わず、多くの関係者が自ずと関わることになります。

サイト運営に関わる人数の多さは、IDやパスワードなど機密情報が漏洩しやすいことを意味しており、セキュリティリスクと常に隣り合わせにあることも事実です。

実は、ECサイトを狙ったセキュリティトラブルは、面識のない第三者によるサイバー攻撃よりも、内部スタッフや外注業者など、関係者の犯行による割合も少なくありません。

ECサイトを安全、円滑に運営するためには、管理者がサイト運営に関わる関係者全員に危機管理対策を徹底することも必要なのです。

ECサイトのセキュリティ事故の実例

ここでは、近年起こったECサイトのセキュリティ事故の実例を、3つほどご紹介しましょう。

服飾資材を扱うBtoBサイト

服飾資材を扱うBtoB向けECサイト「ApparelX（アパレルIX）」によると、2020年11月27日から12月9日において、外部不正アクセスによるクレジットカード情報流出の可能性があることを発表しています（※）。

法人顧客195名分のクレジットカード情報が流出した可能性があり、一部が不正利用された可能性があることが分かっています。

また、同時に住所やメールアドレスなどを含めた顧客の個人情報も流出した可能性が取り沙汰されています。

同社サイトを狙ったサイバー攻撃の手口は、決済ページのファイル改ざんです。

決済ページ上のクレジットカード入力フォームが偽装され、外部サイトへ転送するファイルを設置されたとのこと。

ファイルアップロード機能の脆弱性が突かれた結果となり、同社は顧客にメールにて謝罪と報告を行っています。

※参考：弊社サイトへの不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ | ApparelX公式ブログ

ヘアアクセサリーのBtoCサイト

ヘアアクセサリーをメインとするBtoCサイト「THE HAIR BAR TOKYO（ザ・ヘアバートーキョー）」によると、2021年8月に第三者の不正アクセスが発覚したと発表しています（※）。

一般顧客4,538名分のクレジットカード名義人名、カード番号、有効期限、セキュリティコードなど、クレジットカード情報が流出した可能性が取り沙汰されています。

不正アクセスの手口は前述の「ApparelX」の例と同じく、ECサイトアプリケーションファイルの改ざんです。

※参考：クレジットカード情報流出に関するお詫びとお知らせ | THE HAIR BAR TOKYO

アニメキャラクターグッズBtoCサイト

記事執筆時点で最新の実例が、2021年11月に起こった人気アニメキャラクターグッズBtoCサイト「EVANGELION STORE（オンライン）」によるセキュリティトラブルです。

EVANGELION STORE（オンライン）を運営する株式会社グランドワークスによると、一般顧客17,828名のクレジットカード情報とログイン情報が流出した可能性を公式サイトで発表しています（※）。

サイバー攻撃の手口は、犯人がECサイト内部に侵入し、ペイメントアプリケーションに侵入し、改ざんによるものです。

2021年12月現在、運営元の株式会社グランドワークスは、サイト運営を休止する緊急措置を取っています。

※参考：「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお知らせ

ECサイトのセキュリティで注意すべきポイント

ECサイトのセキュリティで注意すべきポイントは、以下の5つです。

情報セキュリティポリシーを策定
オープンソースを使ったECサイト構築
常に最新バージョンにアップデート
管理者・社員のセキュリティ教育を徹底
サイバー保険への加入を検討

情報セキュリティポリシーを策定

まず、自社の情報セキュリティポリシーを策定します。

情報セキュリティポリシー策定にあたっては、社内で責任者と担当者を選出し、対応にあたる人材を組織化しましょう。

ECサイト運用において、自社の情報資産の対象範囲や期間、各々の事例についてのリスク分析と具体的な対策を明確化していきます。

情報セキュリティポリシーの策定方法や基準がわからない場合は、後述する電子商取引協議会が提唱する「ECサイトセキュリティガイドライン」を参考にしましょう。

オープンソースを使ったECサイト構築

オープンソース型CMSを使ってECサイトの構築を行う場合は、とくにセキュリティ対策に細心の注意を払う必要があります。

オープンソース型CMSのほとんどは、誰でも無料でインストールが可能なことから、操作に慣れている人の割合も多く、セキュリティが脆弱なことで知られているからです。

オープンソースCMSにもセキュリティ対策用のプラグインはありますが、無料でインストールできるレベルのプラグインには、さほど大きなセキュリティ対策効果は期待できません。

そのため、オープンソースCMSを使ってECサイト構築や運用を行う場合は、必ず何らかの形で別途有料にてセキュリティ対策を強化しましょう。

常に最新バージョンにアップデート

ECサイトのセキュリティ対策は、システムを常に最新バージョンにアップデートしておくことも必要です。

サイバー攻撃の手口は年々巧妙になっていることから、現状のセキュリティ対策が「100%万全な状態である」とはいい切れず、新手のサイバー攻撃の手口に対応できる「セキュリティ対策研究」の努力を惜しむべきではありません。

顧客に自社のECサイトを安心して利用してもらうためにも、常にシステムのバージョン・アップデートを行い、最新のセキュリティ対策を施していく配慮を怠らないようにしましょう。

管理者・社員のセキュリティ教育を徹底

管理者・社員のセキュリティ教育の徹底も、ECサイトのセキュリティ対策において重要なポイントといえます。

前述のように、現在取り沙汰されているセキュリティトラブルの多くは、社内スタッフや外注スタッフなどの「内部関係者の過失」によって引き起こされるケースも少なくないからです。

内部の過失とは、必ずしも刑事事件に該当するような悪質なレベルの事例ばかりでなく、パスワードが書かれたメモを、デスクの上にうっかり置いたまま席を外してしまうような日常的な事例も含まれます。

社員の過失を未然に防ぐには、日頃から管理者や社員のセキュリティ教育を徹底する以外に道はありません。

自身が引き起こした「うっかりミス」が、会社の根幹を揺るがす大問題に発展する恐れがあることを、ECサイト運営に携わる関係者全員にセキュリティ教育を徹底することが求められるでしょう。

サイバー保険への加入を検討

サイバー保険への加入を検討することも、有力な選択肢となります。

サイバー保険とは、サイバー攻撃により顧客の個人情報や決済情報の漏洩によって起こった実害を、一定の範囲内で補償してくれる保険のことです。

サイバー保険のくわしい補償内容は、保険商品によってことなりますが、損失した利益額、顧客への損害賠償費用、事故調査費用などは、ある程度カバーできます。

ただし、サイバー保険だけで、セキュリティトラブルの実害を全額補償してもらえる訳ではないため、日頃からセキュリティ対策を徹底するに越したことはありません。

もちろん、保険金が支払われることにより、トラブル発生時に顧客へ迅速な対応を行える可能性は上がりますので「備えあれば患いなし」という観点でサイバー保険の加入を検討してみましょう。

ECサイトセキュリティガイドラインから学ぶ対策法5選

電子商取引協議会の「ECサイトセキュリティガイドライン」が提唱するセキュリティトラブル・対策法は以下の5つです。

なりすまし被害
商品表示・取引条件・やり取りの改ざん
取引の否認
個人情報や取引情報の漏洩
システムの破壊および運用の妨害

なりすまし被害

「なりすまし被害」とは、字のごとく第三者になりすまし、架空の取引を成立させる手口で、大きく分けて2つのパターンがあります。

1つ目は、消費者にとって馴染みのあるショップを装い、ホームページのフォーマットを盗用し、消費者にあたかも馴染みのあるショップで買い物をしているかのように錯覚させ、本人の意図しない取引を成立させてしまう手口です。

2つ目は、他人のIDやパスワードを使い、あたかも本人が利用しているかのようにして商品やサービスを購入する手口です。

なりすまし被害向けの対策としては、ログイン情報の二重認証など、本人確認に関わるセキュリティ対策の強化やセキュリティ管理情報の保護などが挙げられます。

ショップ側にとっても、顧客にとっても見過ごせない実害を被る事態に発展します。

商品表示・取引条件・やり取りの改ざん

商品表示や取引条件とは、商品表示や取引条件のページを改ざんし、トラブルを招く手口です。

商品表示や取引条件の文言を改ざんされてしまうことで、ショップ側にとっても、消費者にとっても、自身が意図しない取引が成立してしまう可能性があります。

やり取りの改ざんとは、顧客とショップ側のメッセージのやり取りを第三者によって改ざんされる手口です。

双方のメッセージのやり取りを改ざんされることにより、ありもしないクレームのでっち上げや、同じく双方意図していない架空の取引が成立してしまう恐れがあります。

対策としては、システムへの不正アクセス対策の徹底、セキュリティホール対策の徹底が挙げられます。

取引の否認

取引の否認とは、購入申し込みを行ったものの、第三者により取引の事実が否認され、売買取引が正常に行われないケースの手口です。

消費者側にとっては取引を否認されることで、商品の確保ができなくなる実害、ショップ側にとっては商品の準備をしたものの、取引自体の損失をまねく実害が発生します。

消費者にとっては商品が正常に届かないことで購買の機会が失われる実害、ショップ側にとっては消費者からの不信感や、販売機会損失という意味での実害が想定できます。

取引の否認は、一見すると、実害レベルとしては低いようですが、会社に何からの恨みをもった元社員や、競合他社の「嫌がらせ」の事例も見受けられます。

対策としては、システムへの不正アクセス対策の徹底、セキュリティホール対策の徹底の他に、社内のセキュリティ教育、関係者のID、パスワード管理の徹底などが挙げられます。

個人情報や取引情報の漏洩

個人情報や取引情報の漏洩とは、顧客情報や取引情報など、本来第三者に公開すべきでない機密情報漏洩の手口です。

顧客のログイン情報などが漏洩した場合は、前述の「なりすまし」による購入被害や、顧客名簿の転売など、さまざまな被害に発展するケースがあります。

また、BtoB（企業間同士）のECサイトなどでは、取引情報に関する機密事項が競合他社に知られてしまうなど、金額に置き換えられない実害をかぶる可能性も否定できません。

対策としては、システムへの不正アクセス対策、セキュリティホール対策の徹底、運用上におけるセキュリティ情報の厳格な取り扱いなどが挙げられます。

システムの破壊および運用の妨害

システムの破壊および運用の妨害とは、ECサイトの運用を妨げる、システムやデータベースの破壊を行う手口です。

主な手段としては、アクセス制限の不備や、管理者権限の不正取得、セキュリティホールをついた攻撃が多く見受けられます。

不正取引処理の実行や、顧客の個人情報、取引情報の漏洩などのトラブルはもちろん、新たな他システムの攻撃への踏み台にされる恐れもあります。

対策としては、不正アクセス、セキュリティホール対策の徹底の他、不要なサービスの除去あるいは停止、ウイルス対策の徹底、データベースの攻撃対策など、総合的な対策が求められます。

ECサイトのセキュリティ診断サービス4選【費用別】

ECサイト向けセキュリティ診断のおすすめサービスは、以下の4つです。

▼スマホの場合は横にスクロールしてご覧ください

サービス名	費用の目安	サービス種別
VULS	無料	オープンソース型
エレシークVA	■レギュラー：12万円 ■ビジネス：30万円 ■プロ：50万円～	自動/手動あり
SCT SECURE	要問合せ	クラウド型
バルテス	40万円（税抜）～128万円（税抜）	自動/手動あり

各サービスの詳細を紹介していきます。

VULS

出典：VULS

VULS（VULnerability Scanner）とは、オープンソース型の脆弱性診断ツールです。

オープンソース型脆弱性診断ツールは、海外製で英語対応のみが大半を占めますが、VULSはセキュリティ脆弱性診断ツールのなかで数少ない日本語対応が可能です。

無料でダウンロードできるため、セキュリティ対策のコストを抑えたい、個人や小規模事業者に向いています。

無料でありながら、多種多様なデータベースに基づいて診断を行ってくれるため、精度の高さには定評があります。

エレシークVA

出典：エレシークVA

エレシークVAとは、株式会社コーボー・ホールディングスが提供するセキュリティ脆弱性診断サービスです。

診断方法は、ツール診断や技術担当者による手動診断などがあります。

とくにECサイト向けのセキュリティ診断には定評があり、小規模事業者向けから大企業向けまで、サイト規模に応じたセキュリティ脆弱性診断を行うことができるもの特徴です。

導入費用は12万円～50万円と、行ってほしいセキュリティ診断内容、自社の予算に応じ、システムに負荷をかけず、適切なプランを提案してくれます。

SCT SECURE

出典：SCT SECURE

SCT SECUREとは、三和コムテック株式会社が提供する、クラウド型の自動脆弱性診断サービスです。

SCT SECUREは、ECサイト向けサービスとしても定評があり、脆弱性がないと診断されたサイトには安全証明マークを配信してくれるため、顧客にも「安全なECサイト」であることがアピールできます。

クラウド型サービスのため、ベンダーの管理画面にログインし、世界中の「脆弱性データベース」を元に、発覚した脆弱性が管理画面から簡単に確認が可能です。

システムは24時間リアルタイムに更新され、毎日スキャンし、安全性を報告してくれます。

導入費用は要お問い合わせですが、ハイエンドなECサイト向けのセキュリティ対策に最適です。

バルテス

出典：バルテス

バルテス株式会社は「IT関係者が推奨するセキュリティ診断支持率」4年連続1位を獲得している、脆弱性診断サービス提供会社です。

日本最大級のECサイトなど数多くの実績を誇っており、サービスの信頼性や安定性は抜群です。

サービスの大きな特徴としては、業種別プランを適用し、最大補償1,000万円までのサイバーリスク保険を診断完了1年後まで無料で提供してくれる点です。

導入予算は40万円（税抜）のエントリープランから、128万円（税抜）のスタンダード、192万円（税抜）のプレミアプランまで、予算とサービス内容に応じて選ぶことができます。

まとめ

今回は、ECサイトのセキュリティ対策について、実際の事故例と共に、セキュリティ対策法についてお話させて頂きました。

まとめますと、ECサイトにセキュリティ対策が必須の理由は以下の3点です。

ECサイトは狙われやすい特性あり
社会的信用失墜・サイト閉鎖のリスク
関係者の多さ・外注頻度の高さ