ECサイトのセキュリティ対策はどこまで行えばいいのか分からず、お悩みではありませんか。自社ECサイトだけでなく、ECモールやASPカートシステムを利用する場合など、ECサイトの運用形態によっても、セキュリティ対策の内容は異なります。
本記事では、ECサイトにおけるセキュリティの重要性を解説した後に、セキュリティの現状把握の方法およびセキュリティ対策の方法について紹介します。
中小企業のセキュリティ対策を成功させるポイントや、ECサイトのセキュリティ相談におすすめのフリーランスも紹介していますので、ぜひ参考にしてください。
目次
ECサイトのセキュリティリスクと対策の重要性
ECサイトのセキュリティ対策は、一般的なWebサイト以上に求められます。その理由と対策の重要性について、以下3つの観点から解説します。
- 個人情報など重要情報を預かるECサイトは規模に関係なく狙われやすい
- 情報漏えいによる賠償請求など経済的損失のリスク
- 社会的信用低下によりサイト閉鎖のリスク
各内容を把握して、セキュリティ対策の重要性について再確認してください。
1. 個人情報など重要情報を預かるECサイトは規模に関係なく狙われやすい
ECサイトで取り扱う顧客の情報は、住所氏名などの個人情報や、クレジットカード情報など金銭に関わる情報など、いずれも重要な情報ばかりです。これらの情報は悪用されやすく、ECサイトは常にサイバー攻撃の標的にされています。
「自社のECサイトは小規模なので大丈夫」という考えは要注意です。サイバー攻撃はECサイトの規模に関係なく、機械的に攻撃を仕掛けてくるケースも少なくありません。ECサイトを運営している限り、セキュリティ対策を行うことが重要です。
2. 情報漏えいによる賠償請求など経済的損失のリスク
ECサイトで扱う顧客情報が漏えいすると、お客様のクレジットカード番号や住所などが悪用される可能性があります。ほかにも、ECサイトを停止して調査・対応を行う間のビジネス停止や事故対応費用などの「直接被害」による損失額は少なくありません。
また、純利益や時価総額への影響など、間接的な影響も計り知れません。
⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会によりまとめられた、サイバーリスクの数値化
モデルは以下の通りです。(年商1,000億円企業の例)
| 被害の種類 | 被害内容 | 想定すべき損失額 |
| 直接被害 | 個人所不応漏えいによる金銭被害 | -80億円 |
| ビジネス停止による機会損失 | 5営業日あたり-20億円 | |
| 法令違反による制裁金 | -40億円 | |
| 事故対応費用 | -0.6億円 | |
| 間接被害 | 純利益への影響 | -10.5億円 |
| 時価総額への影響 | -300億円 |
参考:⼀般社団法⼈⽇本サイバーセキュリティ・イノベーション委員会「取締役会で議論するためのサイバーリスクの数値化モデル」より
また、サイバーインシデント発生後は、株価が平均約10%下落し、純利益は平均約21%減少したという調査結果も出ています。純利益減少の原因は、事故対応費用や再発予防費用を特別損失として計上するためです。
3. 社会的信用低下によりサイト閉鎖のリスク
サイバー攻撃による情報漏えい事故が発生すると、社会的な信用低下を引き起こします。早期復旧が難しい場合は、事業の継続も困難になり、最悪の事態としてECサイト閉鎖に追い込まれるリスクもあります。
例えば、2021年6月に、オンラインショップのクレジットカード情報が流出するという事件がありました。流出件数は約2,000件です。被害を受けた企業は、被害ユーザに個別連絡するとともに、オンラインショップのサイトを閉鎖しました。
このように、セキュリティインシデントが発生すると、ECサイト運営に留まらず、企業経営に甚大な影響があることを想定しておく必要があります。ECサイトのセキュリティ対策は、最優先で行うべき施策といえます。
自社ECサイトのセキュリティは大丈夫?まずは現状把握から
すでにECサイトを運営している場合は、自社ECサイトのセキュリティ対策がどこまでできているか「現状把握」が必要です。そこで、手軽にできる現状把握の方法についてご紹介します。
IPA提供の「情報セキュリティ診断」を利用
IPA(情報処理推進機構)では、情報セキュリティ対策支援サイトを運用し、企業のセキュリティ対策を支援しています。このサイトに掲載されている「情報セキュリティ診断」の以下のツールを利用することで、自社の情報セキュリティ対策を自己診断可能です。
| ツール名 | 概要 |
| 5分でできる!自社診断 | 設問に回答することで、情報セキュリティの基本的対策・従業員としての対策・組織としての対策がどこまでできているか、自社の現状を把握できます。 |
| 情報セキュリティ対策ベンチマーク | 情報セキュリティ対策と自社の事業内容に関する設問に回答することで、情報セキュリティ対策のベンチマークテストができます。 |
| サイバーセキュリティ経営可視化ツール | 設問に回答することで、自社がサイバーセキュリティについて考慮した経営をどこまでできているかが可視化できます。 |
まずは、本サイトの利用者登録を行い、ツールの診断結果を保存することをおすすめします。上記3ツールを実施して、自社がどこまで情報セキュリティ対策できているかを確認してください。
セキュリティ診断の結果より必要な対策を抽出
診断ツールを実行すると、診断結果と参考資料・ツールの一覧が表示されます。以下は、「5分でできる!自社診断」を実施した結果の画面です。
診断の結果は、点数とグラフで表示されます。
円グラフの診断結果では、ユーザ登録をしていれば過去の診断結果と比較できます。さらに同業他社や全企業平均との比較ができ、自社のセキュリティ対策の弱点も確認可能です。
円グラフの下には推薦する資料やツールの一覧があるので確認しましょう。これらの資料やツールを活用して、不足する部分の情報セキュリティ対策を進めていきます。
同様に「情報セキュリティ対策ベンチマーク」「サイバーセキュリティ経営可視化ツール」も実行し、自社に必要な情報セキュリティ対策を確認してください。
ECサイトのセキュリティ対策の手順3ステップ
前述のセキュリティ診断ツールで自社の現状を把握した後は、実際にセキュリティ対策を進めていきます。一般的なセキュリティ対策の流れは、以下のとおりです。
- 必要なセキュリティ対策の洗い出し
- 情報セキュリティポリシーの策定
- セキュリティ担当者の任命と作業内容の規定
既に自社の情報セキュリティポリシーがあり、セキュリティ対応の体制が整っている場合は、手順1のみの対応で問題ありません。
では、上記の流れに合わせて、ECサイトのセキュリティ対策を順番に解説します。
1. 必要なセキュリティ対策の洗い出し
ECサイトにはさまざまな運用形態があり、形態によって必要なセキュリティ対策が異なります。以下は、ECサイトの運用形態別に、必要なセキュリティ対策を網羅した一覧表です。
| セキュリティ対策項目 | 運用形態 | ||||||
| 区分 | 分類 | 代表的対策例 | ECモール ASP SaaS | PaaS/IaaS レンタルサーバ | ハウジング | オンプレミス | |
| システムセキュリティ対策 | 技術的対策 | 物理 | ・サーバ室の設置 ・入退室管理 | 〇 | |||
| ネットワーク | ・FW ・IDS/IPS ・WAF ・VPN ・ウイルス対策製品 ・サンドボックス型製品 ・DDoS対策 | △ | △ | 〇 | |||
| アプリケーション | ・改ざん検知 ・認証 ・アクセス制御 ・データ保護 | 〇 | 〇 | 〇 | |||
| 運用管理的対策 | セキュリティパッチ | ・パッチ適用 ・仮想パッチ適用 | △ (アプリ) | 〇 | 〇 | ||
| 監視 | ・ログの収集・分析 | △ | 〇 | 〇 | |||
| インシデント対応 | ・バックアップ ・切り分け ・抜線 | △ | 〇 | 〇 | |||
| 人的対策 | 要員教育 | ・ポリシー教育 ・技術教育 | △ | 〇 | 〇 | ||
| 業務セキュリティ対策 | 社員教育 | ・リテラシー教育 | 〇 | 〇 | 〇 | 〇 | |
| ユーザ・顧客管理 | ・ポリシー教育 ・情報取扱い規則 | 〇 | 〇 | 〇 | 〇 | ||
| コンテンツ管理 | ・コンテンツ更新ルール | 〇 | 〇 | 〇 | 〇 | ||
参考:IPA(独立行政法人情報処理推進機構)「ウェブサイト開設等における運営形態の 選定方法に関する手引き ~組織の実情にあったウェブサイトを 構築・運用するために~」より
上表の「◯」「△」は以下の意味です。
- ◯ … サイト運営者の対応検討が必要
- △ … サイト運営者の一部対応の検討が必要
運用形態別に、どのようなセキュリティ対策が必要かを順番に見ていきます。
ECモール・ASP・SaaSの場合
ECモール・ASP・SaaSの場合、ECサイトの動作環境やアプリケーションなど、ベンダー提供のサービスを利用します。そのため、システム部分のセキュリティ対策はベンダー任せで、ご紹介する運用形態の中では、セキュリティ対策の負担は最少です。
ただし、業務上のセキュリティ対策として、社員教育や顧客管理、コンテンツ管理などは実施が必要です。
PaaS/IaaS・レンタルサーバの場合
PaaS/IaaS・レンタルサーバでは、ECサイトアプリケーションの動作環境を運用する必要があります。そのため、システム的なセキュリティ対策として、アプリケーションセキュリティパッチ適用は最低限必要です。
そのほか、PaaS/IaaS・レンタルサーバを提供するベンダーのセキュリティ対応の状況に合わせて、不足する部分をカバーする対策が必要になります。
ハウジングの場合
データセンターの中にサーバを設置する「ハウジング」の場合、ハードウェア、ソフトウェア両面のセキュリティ対策が必要です。ただし、サーバ室設置や入退室管理などの物理的な対策は、データセンター側の管理となります。ネットワークに関しては、基本的に自社で対応しますが、データセンター側のサービスを利用できる場合もあり、個々の状況に合わせて要検討です。
オンプレミスの場合
自社内でECサイトのサーバ環境を構築するオンプレミスの場合、一覧表に挙げたすべてのセキュリティ対策の検討が必要です。ご紹介した運用形態の中では、もっとも多くのセキュリティ対策が求められます。
各セキュリティ対策の具体的な内容は、「ウェブサイト開設等における運営形態の 選定方法に関する手引き ~組織の実情にあったウェブサイトを 構築・運用するために~」に詳細内容があるためご参照ください。
ここまでで、自社に必要なセキュリティ対策の内容が洗い出せます。
2. 情報セキュリティポリシーの策定
次に自社の情報セキュリティポリシーを作成し、漏れのないセキュリティ対策を推進できるようにします。IPAの「中小企業の情報セキュリティ対策ガイドライン」や東京都「中小企業向け サイバーセキュリティ対策の極意」を活用し、情報セキュリティポリシーを策定してください。情報セキュリティポリシーの作成手順は以下のとおりです。
| No | 手順 | 作業内容 |
| 1 | 情報資産管理台帳の作成 | リスク分析シート(Excel)の「情報資産管理台帳」シートに、記入例に従い情報資産を記載します。 |
| 2 | リスク値の算定 | 情報資産を記載した後、リスク分析シートの「脅威の状況」シートの内容を記載します。記載内容は「情報資産管理台帳」シートをご確認ください。 |
| 3 | 情報セキュリティ対策を決定 | リスク分析シートの「対策状況チェック」シートへ現在の対策状況を記載します。すると、「診断結果」シートに対策するべき情報セキュリティポリシーが表示されます。 |
| 4 | 情報セキュリティポリシーを策定 | 「診断結果」シートに表示された情報セキュリティポリシーを「情報セキュリティ関連規程(サンプル)(Word)」の中から選択して、自社の状況に合わせて編集してください。さらに、手順1で洗い出したセキュリティ対策の内容も盛り込みます。 |
情報セキュリティポリシーの策定まで完了したら、次に社内でセキュリティ対策を進めるための体制と運用ルールを決定して、日々の作業内容に反映します。
3. セキュリティ担当者の任命と作業内容の規定
セキュリティ対策を推進するには、セキュリティ対策の担当者任命が必要です。また、セキュリティ対策として、具体的な作業内容を規定して、運用ルールとして定めます。セキュリティ対策の作業内容は、主に以下のとおりです。
| 作業項目 | 作業内容 |
| 通常時の作業 | OSやソフトウェアの脆弱性対策情報を収集し、必要に応じてセキュリティパッチを適用します。さらに、ログ収集と分析など、攻撃を感知・防御する体制や仕組みを整えます。 |
| セキュリティインシデント発生時の対応手順 | セキュリティインシデント発生時に備えた対応手順を定め、いざというときに対応できるように訓練します。バックアップデータからのシステム復旧や問題の切り分け、問題のマシンを抜線して被害拡大を防ぐなどがあります。 |
| 委託先業者の監督 | 委託先がある場合は、セキュリティ対策の内容を明確にしたうえで契約します。定期的に、委託先に対してセキュリティ監査の実施と報告を求め、確認することも重要です。 |
中小企業がセキュリティ対策を成功させる4つのポイント
経営資源に限りのある中小企業が、ECサイトのセキュリティ対策を成功させるためにはいくつかの工夫が必要です。ポイントは以下の4点です。
- 経営者自身もサイバーセキュリティ経営を率先して実行
- 外部委託できる部分は可能な限り委託
- セキュリティインシデントは「発生するもの」と考えて体制を整備
- 自社で対応しきれない場合は専門家への依頼も検討
セキュリティ対策を行う上で必要な工夫の詳細を順番に解説します。
1. 経営者自身もサイバーセキュリティ経営を率先して実行
サイバーセキュリティ対策は、直接利益を生み出す業務ではありません。そのため、経営者自身がリーダーシップを発揮してセキュリティ対策を進めなければ、なかなか浸透しないことが懸念されます。セキュリティ対策にどこまで費用をかけるかという問題もあります。以下は、経営者が率先して進めるべきサイバーセキュリティ経営の重要な10項目です。
| 作業の種類 | 作業内容 |
| リーダーシップの表明と体制構築 | 1. サイバーセキュリティリスクの認識とリストアップ、 組織全体での対応の策定と周知 2. サイバーセキュリティ管理体制の構築 |
| リスク管理の枠組み決定 | 3. リスクの把握と対応計画の策定 4. PDCAサイクルの実施と対策状況の開示 5. 系列企業・ビジネスパートナーの対策実施および状況把握 |
| 攻撃を防ぐための事前の対策 | 6. 予算確保・人材配置および育成 7. ITシステム管理の外部委託 8. 情報収集と情報共有 |
| 攻撃を受けた際の準備 | 9. 緊急時対応体制の整備とトレーニングの実施 10. 被害発覚後の必要な情報の把握、開示体制の整備 |
参考:東京都「中小企業向け サイバーセキュリティ対策の極意(P.98:経営者がやらなければならないサイバーセキュリティ経営の重要10項目)」より
セキュリティ対策にどこまでコストをかけるかの判断も、経営者にしかできないことです。セキュリティ対策にコストをかけ過ぎて、想定被害額を上回ってしまっては意味がありません。
下記はセキュリティ対策費を見積もる際の考え方です。
- 「セキュリティ侵害による想定被害額(経済的損失、社会的信用の失墜)」よりも「セキュリティ対策費」のほうが安い
- 「セキュリティ侵害発生時に支出可能な対策費」よりも「残留リスクによる想定被害額」のほうが安い
セキュリティ対策費と想定被害額のバランスを考え、予算内で可能なセキュリティ対策を選択するようにご検討ください。
2. 外部委託できる部分は可能な限り委託
社内にECサイト環境を構築しているオンプレミスの場合、多岐にわたるセキュリティ対策が必要です。
SaaS型のクラウドサービスやASPカート・ECモールの方が、システム部分のセキュリティ対策が不要な分、セキュリティ対策の作業負荷が激減します。現在運営しているECサイトの運用形態の変更が可能な場合は、システムのセキュリティ対策をベンダーに委託できる運用形態を選ぶこともご検討ください。
ただし、ASPなどの外部サービスがどのようなシステムセキュリティ対策を行っているかの確認や、業務上のセキュリティ対策は必要な点は要注意です。
3. セキュリティインシデントは「発生するもの」と考えて体制を整備
「まさか自分の会社は被害に遭わないだろう」と思っていると、サイバー攻撃を受けたときの対応に大きな遅れが出て、被害が大きくなりかねません。セキュリティインシデントは、発生する前提で体制や対応マニュアルを策定し、定期的に訓練するよう検討してください。天災に対する防災訓練と同じで、日ごろの備えが重要です。
4. 自社で対応しきれない場合は専門家への依頼も検討
セキュリティインシデントの対応には、専門知識が必要です。自社で対応しきれない場合の相談先をいくつか紹介しますのでご活用ください。
| 目的 | 相談先 |
| 脆弱性の報告 | IPA 「ウェブサイト運営者のための脆弱性対応ガイド」 |
| 専門家に支援を頼む | IPA 「情報セキュリティ対策支援サイト」 IPA 「情報セキュリティ安心相談窓口」 JPCERT/CC 「インシデントの報告」 |
また、ECサイトのセキュリティに関して相談する場合は、フリーランスのセキュリティエンジニアに依頼する方法もあります。
専門スキルを身につけたエンジニアなら、ピンポイントでサイバーセキュリティの相談や対策の委託も可能です。自社ではECサイトのセキュリティ対策までは難しいという場合は、ぜひフリーランスの活用もご検討ください。
ECサイトのセキュリティを依頼できるフリーランス2選
ランサーズには、ECサイトのセキュリティに関する相談やセキュリティ対策を依頼できるフリーランスが在籍しています。ここでは、セキュリティの相談ができるフリーランスを2名ご紹介します。
- セキュリティ対策を依頼するなら「株式会社 進角」
- サイバーセキュリティの相談なら「Ryoさん」
1. セキュリティ対策を依頼するなら「株式会社 進角」
「株式会社 進角」は、サーバ・インフラエンジニアとして、セキュリティ対策も依頼できる企業です。ECサイトのセキュリティ対策でお悩みの場合や、セキュリティ対策要員が確保できずお困りの場合には、ぜひ一度お声がけください。
2. サイバーセキュリティの相談なら「Ryo」さん
「Ryo」さんは、サイバーセキュリティのコンサルタントとして活躍中のフリーランスエンジニアです。情報セキュリティ関連の専門スキルを持ち、さまざまなプラットフォームの経験もあり、自社ECサイトのセキュリティに関する相談にも乗ってもらえます。対応すべきセキュリティ対策が多くどこから着手すればいいかお困りの場合など、セキュリティのお悩みを相談してみてはいかがでしょうか。
ECサイトのセキュリティ対策は重要!現状把握をしてから必要な対策を
ECサイトのセキュリティ対策は、ECサイトの年商規模に関わらず重要です。大切な顧客の個人情報やクレジットカード情報が流出すると、経済的な損失や社会的信用低下など、事業継続も危うくなる可能性があります。
セキュリティ対策を進める前に、自社サイトのセキュリティ対策の現状を把握し、必要なセキュリティ対策を実施することをご検討ください。
ECサイトのセキュリティ対策を進めるには、IT技術やセキュリティに関する深い知識が必要です。自社の担当者だけではセキュリティ対策が難しい場合は、専門家に相談しましょう。
ランサーズにも、サイバーセキュリティにくわしいフリーランスが在籍しています。セキュリティに関する相談やセキュリティ対策の委託など、必要に応じてぜひご活用ください。
