「ECサイトで情報漏洩の対策をしたいけど、何をすればいいのか分からない」
「ECサイトで情報漏洩が起こったとき、企業が被るリスクとしては何があるの?」
と思うことはありませんか?
ECサイトを運営していると、サイトの管理や個人情報など気をつけなければいけないことが多くあります。中でも気をつけなければいけないのが、情報漏洩です。
個人情報が漏洩してしまうと、それをきっかけに悪質な手口に利用されてしまう可能性もあります。その出どころが自社のECサイトとわかれば、会社として大きなリスクを被ってしまうことも。
そこで今回は
- ECサイトで情報漏洩が起こった場合に企業が被るリスク
- ECサイトの情報漏洩対策4選
についてお伝えします。
ECサイトの情報漏洩対策に力を入れたい方は、ぜひご一読ください。
なお、セキュリティ対策について漫画を元に解説した資料をご用意しています。これから本格的にセキュリティ対策に力を入れたい方は、ダウンロードのうえご活用ください!
これからセキュリティ対策を進めたい方へ!/
3匹の子豚で学ぶセキュリティ対策
▲無料ダウンロード資料
目次
ECサイトで情報漏洩が起こった場合に企業が被るリスクとは?
「情報漏洩するのは問題」と思っている方は多いとおもいますが、具体的には以下の3つのリスクがあります。
- 億単位の賠償金
- 社会的信用の失墜
- 長期的なブランド棄損
実際に情報漏洩してしまい、利用者や企業が被害を受けた事例も多いです。
| 2021年5月 某フリマアプリの情報漏洩事故 |
|---|
| サイバー攻撃を受け、約2万7000件以上の個人情報の流出。利用者の口座番号から住所、電話番号などの連絡先まで幅広い情報が流出してしまった。専門家の助言のもとすでにセキュリティ強化を行うと発表されています。 |
| 2021年3月 某大手航空会社の情報漏洩事故 |
|---|
| 不正アクセスが発生し、会員情報およそ100万件分が流出。多くの個人情報が流出してしまいましたが、幸いクレジットカードやパスポートなどの情報は流出はありませんでした。すでに不正アクセスへの対応は済んでいるとのこと。 |
上記のように情報漏洩が起きてしまうと、利用者の不信感や不安につながってしまいます。中には重要な個人情報が漏洩してしまい、数千万円や億単位の賠償金が請求された事例も。
また情報漏洩させてしまった企業は、利用者への慰謝料に数百億円もかけなくてはいけなくった事例もあります。では、どういった対策をすれば良いのでしょうか。詳しく見ていきましょう。
企業ができるECサイトの情報漏洩対策4選
ECサイトの情報漏洩対策として効果的な方法は、大きく分けて次の3つあります。
- ECサイトそのもののセキュリティを強化する
- EC担当者のセキュリティリテラシーを高める
- 悪質なログインを防ぐ仕組みを検討する
上記の3点を踏まえつつ、具体的に行うべき対策は下記のとおりです。
- 【対策1】ECサイトのサーバーのOSを最新に保つ
- 【対策2】関係者や従業員のセキュリティ教育を徹底する
- 【対策3】重要情報を担当者以外閲覧できない場所に保管する
- 【対策4】二要素認証などログインに関する不正対策を強化する
それぞれ詳しく紹介します。
【対策1】ECサイトのサーバーのOSを最新に保つ
外部のサービスを利用してECサイトを構築している場合は、ECサービス事業者がサーバーの状態を最新に保っています。そのためサーバーに脆弱性が見つかった場合でも、対応がしやすいといった点があります。
しかし自社でECサイトを構築している場合は、サーバーのOSアップデートなどの対応を自社でやらなければいけません。放っておいてしまうと脆弱性を突いた攻撃から不正ログインにつながってしまうことも。
そのためアップデートの通知を確認し、検証用のサーバーなどで検証する仕組みを準備しておく必要があります。もしも自社にECサイトのサーバーがある場合は、OSアップデートの対応準備をしておきましょう。
【対策2】関係者や従業員のセキュリティ教育を徹底する
サーバーのOSを最新の状態に保つ以外にも、関係者や従業員のセキュリティ教育も重要です。というのも情報漏洩が起きる原因の一つは人為的ミスにより起きているからです。
例えば、
- 従業員が不審なメールを開いてしまいマルウェアに感染し漏洩
- 情報の入った端末機器の紛失や持ち出しによる漏洩
- 従業員の誤操作・作業ミスによる漏洩
などがあげられます。
これらのミスで情報漏洩を起こさないためにも、日頃からしっかりと関係者や従業員のセキュリティ教育を行うことが重要です。上記の例以外にも気をつけるべきことを下記の記事にてまとめていますので、ぜひご一読ください。
また一般社団法人日本クレジット協会が、セキュリティガイドラインを作っています。セキュリティ教育の際には、このガイドラインも参考にすることをおすすめします。セキュリティガイドラインについては、以下記事をご参考ください。
【対策3】重要情報を担当者以外閲覧できない場所に保管する
3つ目にあげられる対策は、重要情報を担当者以外閲覧できない場所に保管するということです。
というのもセキュリティに対するリテラシーが高くても、管理者のパスワードなど重要な情報が誰でも見れるような状態で管理してしまうと情報漏洩のリスクが高まります。つまり情報を閲覧できる人数が多ければ多いほど、同時に人為的ミスが起こる可能性も上がってしまうということです。
ですがあらかじめ管理者を決めていれば、万が一ミスが起きた時も誰が操作をした時にミスが発生したのかなど原因の追求や対処もしやすくなります。
特にECサイトの運営管理は企業側だけでなく利用者の重要情報も扱うため、あらかじめ担当者を決め、他の従業員が閲覧できないよう管理するのがおすすめです。
【対策4】二要素認証などログインに関する不正対策を強化する
最後に紹介する対策は、二要素認証などログインに関する不正対策を強化する方法です。
ECサイトのログインをする際、IDとパスワードのみだと
- ブルートフォースアタック:手当たり次第に入力し不正アクセスする方法
- リスト型攻撃:アカウントとパスワードのリストを入手し不正アクセスする方法
などで不正にログインされてしまう可能性があります。
上記のような不正アクセスを防止するには、二要素認証が効果的です。
二要素認証とは、利用者本人しか持ち得ない「知識」「所有」「生体」のうち二つを必要とする認証方法です。
例えば
- 本人しかしらない暗証番号やパスワード(知識)
- 本人しか持っていないスマホに届くワンタイムパスコード(所有)
- 本人の指紋や静脈などの生体認証(生体)
などがあげられます。
万が一パスワード自体が漏れても、本人しか持ち得ない情報と組み合わせた二要素認証を採用していれば不正アクセスを防止できます。そのため、情報漏洩対策には非常に有効です。
二要素認証については、下記の記事にて詳しく紹介していますのでぜひご参考ください。
売上低下につながる「かご落ち」への対策も、セットで考えることが重要
二要素認証を取り入れると、セキュリティ強化はできます。しかし利用者側からしてみれば、追加で認証方式が必要となり手間がかかってしまいます。
またログイン情報を忘れた場合の確認にも時間がかかってしまうと、何か購入しようと思っていても途中で諦めてしまうことも少なくありません。
この利用者が購入まで至らずに終わってしまうことを「かご落ち」といい、かご落ちがおこると売り上げの低下に繋がってしまいます。そのため二要素認証などを取り入れセキュリティの強化をする場合は、かご落ちへの対策も同時に行うことをおすすめします。
例えば不正アクセス検知サービス「O-MOTION」なら、画像のように「商品を購入したい利用者」と「情報を取得しようとしている不正者」を区別できます。そして、不正者のみ追加の認証画面を出し、不正アクセスの防止が可能です。
また利用者のUI/UXには影響が出ないうえ、JavaScriptタグを記載するだけで手軽に導入できます。利用者にはもちろん、事業者にも負担をかけずにセキュリティ強化が可能です。
O-MOTIONの詳細については、以下からお問い合わせください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
不正ログインを前提とした、不正注文への対策も強化するのがおすすめ!
いくらECサイトの運営側が情報漏洩を防ぐ仕組みを強化しても、以下の点からログイン情報が漏れてしまう可能性があります。
- 利用者自身がログイン・パスワードなどの管理を怠っている
- フォームジャッキングなどのログイン情報を入手するため手口に引っかかる
フォームジャッキングとは、画像のような公式サイトとそっくりな画面を用意しログインIDとパスワードを抜き取る手口です。
このように知らないうちにログインIDやパスワードが抜き取られ悪用されてしまうこともあるので、不正ログインを前提とした不正注文への対策を行っておきましょう。
また先ほど紹介した、万一不正ログインをされてしまっても不正注文などの実害を出さないようにするための対策を強化したい!という方はぜひ下記の資料をご一読ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
なお不正注文への対策をするときは、具体的な原因や手口を知っておくのがおすすめです。詳細については、以下をご一読ください。
ECサイトの情報漏洩対策は、不正アクセスの検知が重要
ここまで、ECサイトの情報漏洩対策でできることを紹介してきました。最後に、情報漏洩してしまった場合のリスクと合わせて対策をおさらいします。
情報漏洩してしまった場合のリスクは、以下の3つがあげられます。
- 億単位の賠償金
- 社会的信用の失墜
- 長期的なブランド棄損
上記のような被害を出さないためにも、情報漏洩の対策をしっかりと行う必要があります。対策としては、以下の3つがありました。
- ECサイトそのもののセキュリティを強化する
- EC担当者のセキュリティリテラシーを高める
- 悪質なログインを防ぐ仕組みを検討する
ですが上記の対策を行っても、完全に情報漏洩を完璧に防ぐことはできません。そのため不正者を検知する仕組みが重要です。
O-MOTIONでは不正アクセスを検知し不正注文などを防ぐため、被害を最小限に食い止めます。またセキュリティ強化した際にログインがしづらくなるといった利用者の利便性をさげてしまうことや「かご落ち」が発生し売り上げに影響が出てしまうこともありません。
さらに先着5社限定で無料でトライアル利用ができます。ぜひお問い合わせください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
