ECサイトのセキュリティ対策とは？知っておきたいリスクや具体的な対策を解説！

ECサイト運営において、セキュリティ対策は重要な課題となっています。
インターネットでの買い物が当たり前になった今、クレジットカードの不正利用などサイバー攻撃のリスクが年々高まっているのです。
この記事では、ECサイトが直面する主なセキュリティリスクと、その具体的な対策方法を解説します。

僕のECサイトにはセキュリティ関連の事故は起こらないからきっと大丈夫！

そうやって何も対策しないサイトが狙われているんですよ！セキュリティ対策は、事業を続けていく上で必須なのでちゃんと学びましょう。

ECサイトのセキュリティ事故の現状
ECサイトにセキュリティ対策は必須？行わないとどうなる？
ECサイトのセキュリティ問題の種類
ECサイトのセキュリティ問題が起こる原因は主に2パターン
外部要因への具体的な対策
内部要因への具体的な対策
自社での対策が難しければASPカートがおすすめ
まとめ

ECサイトのセキュリティ事故の現状

近年、企業のサイトからの情報流出やサイバー攻撃によるサービスダウンなどのニュースを耳にしますが、実際にセキュリティに関する事故（セキュリティインシデント）はどのような状況なのでしょうか。

総務省が発表した令和5年版情報通信白書によりますと、国立研究開発法人情報通信研究機構（NICT）が運用している、サイバー攻撃観測・分析・対策システムであるNICTERのサイバー攻撃関連の通信数は2015年の8.3倍となっているそうです。
つまり、約10年前に比べてセキュリティインシデントが確実に増えているといえます。

また、経済産業省が発表した「クレジットカードのセキュリティ対策について」によると、2023年のクレジットカードの不正利用の被害総額は約541億円と過去最高となっており、そのほとんどが抜き取られたクレジットカード番号を利用したECサイトでの不正利用だとされています。

このように、Webサイトのセキュリティインシデントは増えており、その中でもECサイトの被害が増えています。

ECサイトは狙われやすい？

Webサイトの中でもECサイトは外部からのサイバー攻撃の対象として狙われやすいといわれています。

経済産業省が公表している独立行政法人情報処理推進機構（IPA）の「ECサイト構築・運用セキュリティガイドライン」によると、その理由としては以下のような点が挙げられます。

・誰でも手軽にECサイトを構築できるようになったこと
・セキュリティ対策をしていない自社構築のECサイトがあること

また、ECサイトはクレジットカード情報や住所といった機密性の高い情報が豊富であったり、誰でもアクセスしやすかったりということも、サイバー攻撃の対象となりやすい理由だそうです。

ECサイトにセキュリティ対策は必須？行わないとどうなる？

サイバー攻撃などによるセキュリティインシデントが増えていることがわかりました。
ではもし、セキュリティ対策を怠ってインシデントが起きてしまったとすると、どうなってしまうのでしょうか。
主に考えられるリスクを解説していきます。

信用の低下にともなう顧客離れ

もしもECサイトでセキュリティ事故が発生し、顧客情報が漏洩したり、不正利用されてしまったりすると、ショップへの信頼は大きく損なわれてしまいます。

一度事故が起こってしまうと顧客は不安な気持ちになり、そのECサイトを今後も利用しようと思わ
なくなるでしょう。

信頼を失ってしまったECサイトは、新規顧客の獲得や既存顧客の維持が難しくなり、売上減少へとつながってしまいます。

一度離れてしまった顧客の心を再びつかむには、多くの時間と努力が必要であるため、セキュリティ事故による顧客離れは、企業にとって大きな痛手です。

賠償金のなど事故対応費の支払い

ECサイトでセキュリティ事故が発生すると、その対応のために多額の費用が発生します。

例えば顧客情報が漏洩した場合、その情報が悪用されて金銭的な被害が発生してしまうと、ECサイト側は被害を受けた方に対して賠償金を支払わなければならないでしょう。

また賠償金の他に、事故対応には以下のような費用が発生する可能性があります。

・セキュリティ事故の原因を調べたり、被害状況を調査したりするための費用
・事故の後、再び事故が起こらないようセキュリティを強化するための費用
・事故による企業のイメージダウンを回復するための費用　など

また、費用がかかるだけでなく、事故対応のためECサイトを停止したことで販売機会（売上）の損失も起こるでしょう。
セキュリティインシデントによる損失は、漏洩した件数が多いと数億円規模に膨らむ可能性もあります。

ECサイトの閉鎖

ECサイトのセキュリティ事故が起こると、最悪の場合、サイトを閉鎖せざるを得なくなるかもしれません。

顧客離れによる売上の減少や、セキュリティ事故によるECサイトの停止期間中の売上喪失、さらに賠償金をはじめとする金銭的な対応など、インシデントが起こると売上が立たないにもかかわらず、支出ばかり増えてしまします。

このような費用が経営を圧迫し事業継続が困難になり、最終的にECサイトを閉じなければならないケースも考えられます。

今まで築き上げてきた信頼や売上、ECサイト自体が無くなるのを防ぐためにも、セキュリティ対策はECサイトを運営していく上で必須といえるでしょう。

ECサイトのセキュリティ問題の種類

セキュリティインシデントの種類は、実際にどのようなものがあるのでしょうか。
ここでは主なものをご紹介します。

企業・個人情報の漏洩

ECサイトにおけるセキュリティ事故で特に深刻なものが、企業・個人情報の漏洩です。
個人の場合、氏名や住所、電話番号、メールアドレス、クレジットカード情報といった顧客情報、企業側の場合は顧客情報データベース、売上データ、取引先情報などが流出することがあります。

情報漏洩の原因としては、不正アクセスやウイルス感染などといった外部からのサイバー攻撃だけでなく、人為的なミスにより情報漏洩となるケースも多いです。

情報漏洩が発生してしまうと、顧客からの信頼を失うだけでなく、賠償金の支払い、損害賠償請求訴訟、行政処分など企業にとっての計り知れないダメージでしょう。

ECサイトの改ざん

ECサイトの改ざんとは、悪意のある第三者がECサイトのシステムに不正にアクセスし、サイトの情報を書き換えたり、不正なプログラムを埋め込んだりする行為です。

ECサイトが改ざんされると、顧客情報やクレジットカード情報などの重要なデータが盗み取られる危険があります。

また、商品購入画面が偽物に差し替えられ、顧客が偽サイトで決済情報を入力することで、金銭的な被害が発生してしまうこともあるでしょう。

ECサイト運営の妨害

その名の通り、ECサイト運営を妨害する攻撃のことを指し、「DoS攻撃」や「DDoS攻撃」が代表的なものとして挙げられます。

DoS攻撃とは、特定のサーバーに対して大量のデータを送りつけ、サーバーをダウンさせる攻撃で、DDoS攻撃は、無関係な複数のコンピュータを悪用してさらに大きな負荷をかけてサーバーダウンさせる攻撃です。

これらの攻撃によって、ECサイトにアクセスが集中すると、一般のユーザーがサイトを閲覧できなくなったり、商品購入などのサービスが利用できなくなったりする可能性があります。

ECサイトのマルウェア（ウイルス）感染

マルウェアとは、悪意のある動作をするソフトウェアの総称であり、ウイルスもその一種です。

マルウェアに感染すると、顧客の個人情報が盗み取られたり、ECサイトの内容が書き換えられたりなどの被害が発生します。
最悪の場合、ECサイトが完全停止に追い込まれる可能性もあるでしょう。

ECサイトがマルウェアに感染する経路はさまざまで、従業員がメールの添付ファイルやリンクを開いてしまったり、PC上に警告文が表示されて偽のセキュリティソフトをダウンロードしてしまったり、サイトの脆弱性を突かれて感染してしまうことが多いです。

ECサイトのセキュリティ問題が起こる原因は主に2パターン

さまざまなセキュリティインシデントがありますが、そもそも起こってしまう原因は2パターンに分かれます。

外部からの悪意のある攻撃や不正アクセス

セキュリティインシデントの主な原因の1つが悪意のある第三者によるものです。
東京商工リサーチが発表したデータによると、2023年に上場企業とその子会社が公表した個人情報の漏洩や紛失のうち、53.1％が不正アクセスやウイルス感染によるものということです。

前述のとおりECサイトは特に狙われやすく、金銭目的や情報窃取だけでなく、ブランドのイメージダウンやいたずらといった理由などで、サイバー攻撃が行われます。
近年では、その手口が巧妙化しているため、ECサイトは適切な対策を行う必要があるのです。

また、その他の外部要因として、自社のシステムやサイトに問題は無くても、外部委託先・取引先のセキュリティ対策が不十分だったり、提携している他社サービス（API）の脆弱性が原因で攻撃されたりという場合もあります。

内部の人為的なミスや不正行為

主に情報漏洩においては、外部要因に匹敵するくらい多いのが社員や委託先によるミスや、不正行為など内部要因によるものです。

前出の東京商工リサーチのデータでは、約53％が外部要因によるもので、残りの約47％が、誤表示や誤送信、不正持ち出しが情報漏洩・紛失の原因でした。

実際に、2023年に起きた情報漏洩・紛失事故で漏洩した件数が多い事故は、内部の社員による不正な持ち出しやミスによるものです。

引用：東京商工リサーチ

そのため、外部からのサイバー攻撃への対策だけでなく内部のスタッフや委託会社に対しても、何かしらの対策を講じる必要があるでしょう。

外部要因への具体的な対策

ECサイトを狙ったサイバー攻撃自体がなくなることはおそらく無いでしょう。
ですが、セキュリティ対策をしっかりと行うことで、外部からの攻撃のリスクを大幅に減らすことができます。ここでは、ECサイト運営者が実施すべき具体的なセキュリティ対策を解説していきます。

定期的な脆弱性診断

ECサイトのサーバーやプログラムの脆弱性（不具合や設計ミス）などを突いて攻撃されると、顧客情報漏洩やサイトの改ざんによるサービスの停止などのセキュリティインシデントが起こります。

このようなリスクを回避するために、定期的な脆弱性診断を通じて潜在的な脅威を早期に発見し、適切な対策を講じることが重要です。

ECサイトの定期的な運営者を対象に、ECサイトの定期的な脆弱性診断が義務化されるという話もあります。

脆弱性診断は、大きく分けて脆弱性診断ツールなどを用いて自己診断する方法と専門の企業に依頼して診断する方法の2パターンあります。

どちらの方法で実施するかは、自社の予算やシステム規模、セキュリティレベルなどを総合的に判断する必要があるでしょう。

ちなみにカラーミーショップでも、サービスの脆弱性診断を定期的に行っています。
詳しくは「カラーミーショップのセキュリティ対策って？(vol.1）」の記事をご覧ください。

常時SSLの導入

ECサイトのセキュリティ対策として重要なものの1つに、常時SSLの導入が挙げられます。
SSLとは、顧客が入力する個人情報やクレジットカード情報などを保護するため暗号化して送受信する仕組みのことです。

SSLには、特定のページのみを暗号化する「部分SSL」と、Webサイト全体を暗号化する「常時SSL」の2種類があります。

ECサイトにおいては、すべてのページで顧客情報を取り扱う可能性があるため、常時SSLを導入することが推奨されています。

常時SSLを導入するには、SSLサーバ証明書を取得し、Webサーバに設定するといった方法があります。
またカラーミーショップなどのASPを利用していれば、基本的に常時SSLを設定できるようになっています。

パスワードの安全性維持の徹底

運営者側がシステムにログインするためのパスワードの管理が甘いと、不正アクセスなどのリスクが高まります。
パスワードは定期的に変更する、英数字や記号を含めて複雑なものにする、使い回さないなど、パスワードを安全に保つような行動を徹底しましょう。

また、ECサイトを利用する顧客にも、推測されにくいパスワードを使ってもらう必要があります。
そのため、ユーザーのパスワード設定に関してのガイドラインである「パスワードポリシー」を設けましょう。

パスワードの最低文字数、必ず入れるべき文字の種類、定期的な変更などをルール化することで、顧客アカウントの不正アクセスリスクを減らせるはずです。

ですが、あまりに複雑なパスワード設定を求めてしまうと、ユーザーが面倒に感じて新規登録をやめてしまい、カゴ落ちなどにつながるので注意しましょう。

3Dセキュア2.0の導入

3Dセキュア2.0とは、ECサイトにおけるクレジットカード決済のセキュリティを強化し、不正利用されないための認証の仕組みです。
3Dセキュア2.0では従来の固定パスワード認証だけではなく、ワンタイムパスワードや生体認証などが利用できるため、なりすましによる不正利用を防げます。

実は、ECサイト運営者は、2025年3月31日を目処に3Dセキュア2.0への対応が義務付けられています。

なお、3Dセキュア2.0はクレジットカード決済におけるセキュリティ対策なので、そもそもクレジットカードではなく、他の決済方法を導入するというのも1つの手です。

例えば、世界水準のセキュリティシステムに管理されているAmazon Payを使うことは不正利用対策にもなります。

Amazon Payは顧客が情報入力をしなくて済むので、顧客にとってもメリットがあり人気の決済方法です。

カラーミーショップであればAmazon Payの導入・月額利用が無料のため、費用を抑えてAmazon Payを導入したい方は、ぜひカラーミーショップへECサイトの引越しをご検討下さい。

3分でわかるカラーミーショップの資料ダウンロードはこちら＞

不正検知システムの導入

ECサイトは誰でもアクセスできるため、悪意を持って不正にアクセスを試みる人も存在します。

不正検知システムとは、そのような怪しいアクセスや不正なアクセスを自動で見つけ出したり、不正アクセスを防いだりするようなシステムです。

例えば、いつもと違うログイン方法や場所からアクセスしていたり、短時間で何度もIDやパスワードを間違えて入力していたりすると、不正アクセスとみなされます。

不正アクセスされてしまうと、顧客情報の流出やECサイトの改ざんにつながってしまうでしょう。

具体的には、Webアプリケーションへの攻撃を遮断する「WAF（Web Application Firewall）」や、不正なアクセスを検知する「IDS/IPS（侵入検知・防御システム）」などの導入が挙げられます。

内部要因への具体的な対策

内部スタッフや委託先の社員のセキュリティインシデントも、何らかの対策を行うことで発生するリスクを抑えることができます。
ここからは、具体的な内部対策を見ていきましょう。

セキュリティに対する社員教育

情報漏洩の原因の約半分が内部の社員によるミスや不正であったことからもわかるように、関係者のセキュリティに対する意識の低さも、セキュリティインシデントの根本原因となっています。

そのため、自社のECサイトに関わる全ての人がセキュリティの重要性を認識し、適切な行動を取れるように教育することは、インシデントを防ぐことにつながります。

セキュリティ意識を高めるには具体的に、以下のような内容について説明します。

・パスワード管理の重要性を理解させ、定期的な変更や複雑なパスワード設定を徹底させる
・マルウェア感染の手口やリスクを具体的に説明し、不審なメールやサイトへの対応方法を周知する
・機密情報を含むデータの取り扱いについて規定を設け、適切な管理方法を伝える　など

一度伝えたからといって、全ての人がすんなり理解し、徹底してくれるわけではありません。
そのため、これらの社員教育は定期的に実施しましょう。

サイトへのアクセス権限の厳重化

内部的な要因によるセキュリティインシデントは単なるミスではなく、意図的に不正を働く社員が引き起こすこともあります。
そのため、顧客情報やショップ情報といった情報資産が保管されているシステムに誰でも簡単にアクセスできる状態にしておくのは大変危険です。
制限をかけ、許可された者だけがアクセスできようにしましょう。

ECサイトのアクセス権限を厳重化するには、必要最低限の担当者にのみアカウントを発行し、アカウントごとに権限を制限するといった方法があります。

例えばカラーミーショップには副管理者設定という機能があり、副管理者はメインの管理責任者によって許可された範囲でのみ操作できるような機能です。
制作会社などに何らかの業務を委託する際、ショップの機密情報にはアクセスできないよう制限をかけられます。

また、多要素認証の導入も有効な対策です。
パスワードに加えて、スマートフォンアプリや生体認証などを組み合わせた多要素認証を導入することで、セキュリティレベルを高めることができます。

カラーミーショップでは、副管理者機能だけでなく、システムのログインの二要素認証も可能です。

二要素認証について「カラーミーショップのセキュリティ対策って？（vol.3）」の記事で詳しく紹介していますので、ぜひご覧ください。