「ECの不正対策っていくらあればできる?」
「セキュリティ対策をしたいけど自社でできるの?」などと気になりますよね。
自社でEcサイトを運営しているのであれば、不正注文や登録している会員の個人情報を守るためのセキュリティ対策は必須です。
この記事では
- ECサイト運営で必要な不正注文・セキュリティ対策
- これに必要な費用
などについてまとめています。
ECサイトやそのユーザー、そして自社を守るためにのどれくらいのコストをかけて不正対策をすべきなのか、検討されている方の参考になれば幸いです。
\転売・チャージバック対策を業界最安値で/
不正チェッカーの資料DLはこちら
目次
ECサイトの不正被害ってどんあものがある?
ECサイトの不正被害には大きく、不正注文・不正アクセスによる情報漏洩の2つがあります。
この2つは特に強化して対策すべきです。
不正注文対策を強化すべき理由
ECサイトで不正注文の対策を強化すべき理由は、クレジットカードの不正利用被害(チャージバック)が年々増加しているからです。
チャージバックとは、クレジットカードの持ち主が決済に対して同意しない場合に、クレジットカード会社がその決済を取り消して持ち主に返金する仕組みのことで、不正に使われたクレジットカードの支払いを取り消すことができます。
つまり、クレジットカードの不正利用被害(チャージバック)が起こると、カード会社に返金(自社負担)しなければいけないし商品も返ってこないということです。
そして以下のように、日本クレジット協会によると、2022年1月~12月までのクレジットカード不正利用被害額は、残念ながら過去最高の436億円でした。(回答41社:前年同数)
この内訳は、
- 偽造カード被害額
- 番号盗用被害額
- その他不正利用被害額
となっています。
※引用:「一般社団法人日本クレジット協会」
上図でわかるように2022年のカード不正利用の被害額は、前年の同時期(2021)よりも約106億円増えています。
また、上図真ん中のカード番号盗用被害額については94%(411.7億円)という構成比です。(3か月に1度、本記事を更新していますが増加額は毎回過去最高額を記述している状況です..)
番号盗用されたクレジットカードは、非対面でのカード決済、番号を記入して利用できる場所で不正利用されるので、主にECサイトで不正に利用されています。
不正アクセスによる情報漏洩対策を強化すべき理由
次に、不正アクセスによる情報漏洩対策を強化すべき理由ですが、これはユーザー・自社を守り二次被害を防ぐために必要と言えます。
上記であげたECサイトのカードの不正利用などの大元の原因は、企業が不正者に個人情報を抜き取られていることです。
不正者が個人情報を狙う理由は、個人情報が売買できる・カードなどを不正に使うことで、これらでお金を稼ぐのが目的です。
また、情報漏洩を起こしてしまった企業はユーザー数が減る、ネットで悪評を流されるなどブランド価値低下にもつながります。
その参考としてマッチングアプリの「Omiai」の事例を紹介します。
よって、ECサイトを運営する事業者は不正アクセス・情報漏洩対策が必須と言えます。
ECサイトの不正注文・セキュリティ対策に必要なコスト
ここからは、上記で説明したECサイト運営で必須の不正注文・セキュリティ対策のコストについてお伝えします。
企業によって各人員・費用は異なるので概算にはなりますが参考にしてみてください。
▼ECサイトの不正注文・情報漏洩対策に必要なコスト
| 目的 | 内容 | 業務担当(人数) | 毎月のコスト |
| 不正注文対策 | 注文情報をもとに怪しい注文をチェック | 1~2人 | 20~30万/人 |
| 不正注文対策 | 不正な購入とみなした商品のキャンセル手続き | 1~2人 | 20~30万/人 |
| 不正注文対策 | 後払い決済の未払いの督促 | 1~2人 | 20~30万/人 |
| 不正注文対策 | 不正利用だったかどうか異議申し立ての対応を決定(受け入れるか反証をするか) | 1~2人 | 20~30万/人 |
| 情報漏洩対策 | ユーザーの本人確認をする (ブラックリストを用いて確認等) | 1~2人 | 20~30万/人 |
| 情報漏洩対策 | アカウントへ不正なログインをしていないかのログを確認する (ユーザーのモニタリング) | 1~2人 | 20~30万/人 |
※各社によって人員・コストは変わります。
不正な注文かどうかや不正なログインかどうか、などを人力で行うとすればこのような想定ができます。
ただし、これらを1人に1つずつ担当してもらうというのは難しいと思うので、不正注文対策に1~2人、情報漏洩対策に1~2人というような体制にしておきたいです。
そうすると自社のみで各セキュリティ対策をするには、毎月およそ20~60万円のコストがかかると想定できます。
補足ですが、人力でも不正注文の対策は可能ですが、不正アクセス/ログインはどうしても不正検知システムを使わないといけない部分があります。
不正注文に関しても人力ではミスが起こったり、その担当者が休みであれば業務が滞ってしまう可能性があります。
これから紹介する具体的な不正注文対策・情報漏洩対策を読んで、人力・現状での対策では厳しいと感じたら不正検知システムの導入を検討しましょう。
具体的な不正注文対策4つ
ECサイトを運営する事業者ができる不正注文対策は主に以下の4つです。
- 本人認証(3Dセキュア)の利用
- 券面認証(セキュリティコード)の利用
- 属性・行動分析(不正検知システム)の利用
- 配送先情報の蓄積と利用
それぞれ解説します。
1.本人認証(3Dセキュア)の利用
1つ目の対策は本人認証(3Dセキュア)の利用です。
3Dセキュアとはカード会社が契約者に提供する本人認証の仕組みです。
決済に必要なクレジットカード番号や有効期限に加えて、契約時等に設定した独自パスワードも照合することで、本人確認を行います。
カードに記載されていない情報のため、紛失や情報の漏洩による不正注文の減少が見込めます。
ですが、パスワードの照合という手順が増えることで、購入者が途中で購入をやめてしまう「カゴ落ち」のリスクが発生します。
また、3Dセキュアに対応していないカード会社も存在します。
2.属性・行動分析(不正検知システム)の利用
2つ目の対策は属性・行動分析(不正検知システム)の利用です。
不正検知システムを利用すると、
- 取引データ
- 検知システムそれぞれのノウハウ
といった情報から未然に危険性を判断できます。
不正検知システムによって詳細は異なりますが、
- 導入により不正者が敬遠するため根本的な不正注文の削減につながる
- 審査時間削減による工数・コスト削減
- 購入完了までのステップは変化しないため購入者への負担がない
などのメリットが見込めます。
例えば当サイトを運営するかっこが開発・提供している「O-PLUX」という不正検知システムは毎月30万円ほどで利用できます。
さらにかっこは月の注文数が少ない事業者でも利用しやすい「不正チェッカー」というシステムも扱っていて、不正チェッカーであれば月に最低4,000円から利用可能です。
不正検知システムについて、より詳しく知りたい方は以下の記事をぜひご一読ください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
3.券面認証(セキュリティコード)の利用
3つ目の対策は券面認証(セキュリティコード)の利用です。
クレジットカードに記載されたセキュリティコード(3桁もしくは4桁の数字)を決済時に照合することで、安全性を高めます。
セキュリティコードも含めて流出してしまった場合は確実ではありませんが、決済に必要な情報が増えることで一定の効果が見込めます。
4.配送先情報の蓄積と利用
4つ目の対策は配送先情報の蓄積と利用です。
これまでに不正利用に使われた配送先情報を蓄積し照合することで、商品の発送時に判断できます。
不正アクセスからユーザーを守るセキュリティ対策3つ
ECサイトやそのユーザーを不正アクセスから守るために必要なセキュリティ対策は、以下4つです。
- ECサイトの脆弱性の対策をする
- セキュリティに関する社内研修の実施する
- 不正アクセスを防ぐ仕組みを検討する
特に3番目の「不正アクセスを防ぐ仕組みを検討する」は、実際にきたサイバー攻撃を防ぐためにも重要です。
それぞれ順番に解説します。
1. ECサイトの脆弱性の対策をする
ECサイトのセキュリティに問題があると、次のようなリスクが高まります。
- 入力フォームなどサイトを改ざんされ、個人情報を盗まれる
- 不正アクセスにより、データベースに登録された情報が流出する
- 悪質なソフトウェアに感染し、システムのトラブルが起きる
したがって通販サイトのサイバー攻撃を未然に防ぐには、まずECサイトの脆弱性を認識・修正することが重要です。
とはいえ、ECサイトの脆弱性を認識するために、なにから始めたらよいかわからない方もいるでしょう。その場合、まずは個人情報漏洩のリスクを知り、対策することをおすすめします。
以下の資料では、個人情報漏洩を防ぐ対策について、わかりやすく解説しています。ぜひダウンロードのうえ、社内の共有資料としてもご活用ください。
セキュリティ対策はオペレーション・業務の見直しも
ECサイトを運営していく中で、誰がセキュリティ対策を検討するのか、実際に動かなければいけないのは誰なのか、と思う事業者様もいます。
ECサイトのセキュリティ強化を検討する時やバックオフィス業務を効率化させる時、どの業務でセキュリティ対策を強化すればよいかの判断をする時は以下の記事も参考にしてみてください。
体制構築・オペレーションについて
注文管理について
受注処理について
出荷管理について
発送処理について
まとめ
以上、ECサイトに必要なセキュリティ対策や方法、コストについてお伝えしました。
不正注文・不正アクセスによる情報漏洩対策をすることには、自社・ユーザーを守ることに加えて不正者からの狙いを避ける効果もあります。
対策の運用費はかかるとしても将来的な不正被害時の費用負担が不要となり、ECサイトの健全な運営にも繋がりますので、被害が発生する前に対策を実施することをおすすめします。
もし不正アクセスが起こってしまった場合、企業が負担する賠償額は毎月のセキュリティ対策の何倍もの金額になります。以下の資料はその時の費用の計算を参考にできるものなので気になる方はダウンロードしてみてください。
私たちはECサイトのセキュリティ対策は、被害が発生する前にしておくことをおすすめしています。なぜならその方が結果的にコストを抑えられ安全で信頼のあるECサイト運営ができるからです。
この記事がECサイトの健全な運営のお役に立てれば幸いです。
