「高額な費用をかけてまで、セキュリティ対策はすべきもの?」
「そもそもECサイトのセキュリティ事故や不正は増えてるの?」
と考えていませんか。
ECサイトを運営する際、不正アクセス被害やサーバー攻撃によってサイトの停止まで追い込まれることがあるため、セキュリティ対策は必須です。
しかし、セキュリティ対策といってもどのように対策をすればよいのかわからない方も多いのではないでしょうか。そこでこの記事では、
- ECサイトの運営企業がセキュリティ対策で悩むこと
- ECサイトのセキュリティ対策をする4つのポイント
の流れで、ECサイトのセキュリティ対策についてまとめて解説します。
また、記事後半で「セキュリティ対策の強化による売上低下の注意点」についても触れているので、ぜひ最後までお読みください!
なお、セキュリティ対策について漫画を元に解説した資料をご用意しています。これから本格的にセキュリティ対策に力を入れたい方は、ダウンロードのうえご活用ください!
これからセキュリティ対策を進めたい方へ!/
3匹の子豚で学ぶセキュリティ対策
▲無料ダウンロード資料
目次
ECサイトのセキュリティ対策で企業が悩む2つのこととは?
ECサイトでの不正アクセスや情報漏えい等は、毎年数十件以上発生しています。
そのためあなたのサイトが被害を被らないためにも、セキュリティ対策が必要です。
しかし、まだセキュリティ対策を行っていない場合、以下の点について頭を悩ませているのではないでしょうか?
- ECサイトのセキュリティ事故はそもそも多いの?
- 売上アップ戦略などを差し置いてまで、ECサイトのセキュリティ対策をすべき?
まずは、これらの疑問に回答し、なぜセキュリティ対策が不可欠なのか把握しましょう。
1.ECサイトのセキュリティ事故はそもそも多いの?
ECサイトでのセキュリティ事故は、大手企業でも多く発生しています。
過去には以下のような事故がありました。
| 企業 | 流出内容 | 流出件数 | おわび額(一人あたり) |
|---|---|---|---|
| T社 | 顧客の個人情報 | 5万件 | 3万5,000円 |
| L社 | ポイントカードの会員情報 | 56万件 | 500円 |
| B社 | 顧客のクレジットカード情報など | 約3,504万件 | 3,300円 |
| J社 | 顧客のクレジットカード情報 | 2,059人 | 1,000円 |
例として、T社とB社のセキュリティ事故の例について見ていきましょう。
賠償額が大きかったT社の事例
T社による個人情報漏洩事件は、過去に発生したECサイトの一人あたり賠償額が最高額になった事件です。
情報が流出した原因は、5万人分の個人情報が含まれたファイルを、アクセス制限していない状態で公開領域に置いてしまったからです。
個人情報には名前や住所など基本的な情報だけでなく、関心を持ったコース名やアンケート内容の回答など他人に知られたくない情報が含まれていました。その結果、賠償額が一人あたり3万5,000円となっています。
462人が損害賠償請求を起こしたB社の事例
2014年に発生したB社の事件では、関連会社の従業員が顧客情報をスマートフォンに転送したため、情報が流出しました。
顧客から「見に覚えのない会社から、ダイレクトメールや電話による勧誘の連絡が来るようになった」といった問い合わせが多く届いたため発覚します。
被害に遭った462人が損害賠償請求を起こし、B社は1人あたり3,300円の損賠賠償をしています。
これらの事件は、テレビや新聞などで盛んに報道され、企業ブランドに対する信用失墜となってしまいました。
このようなECサイトによる顧客情報の流出事件は、過去にもたびたび発生しており、2020年は年間10件、2021年も7月の時点で10件を超えています。
2.売上アップ戦略などを差し置いてまで、ECサイトのセキュリティ対策をすべき?
結論から言うと、可能な限り早くセキュリティ対策は実施すべきです。
なぜならせっかく立てた売上アップの戦略が全て水の泡になる可能性があるからです。
セキュリティ対策をしなければ、以下のような被害を受ける可能性があります。
- 不正利用したカードで注文される
- 個人情報漏洩によるブランドイメージの低下
不正利用したカードでの注文が相次ぐと、しばらくサイトの運営を停止せざるを得ない状況に追い込まれる可能性も。
実際に2019年に発生したECサイトのセキュリティ事故では、約7割がサイトのリニューアルをせざるを得なくなりました。
最悪のケースでは、事件の影響でそのまま休止状態に追い込まれたECサイトもあります。
そして、セキュリティ事故は「企業への信頼失墜」にもつながるため、売上が大幅に下落するリスクがあります。
ただ、セキュリティ対策にはさまざまな種類があるため、具体的にどのような点に注意すればわからない方もいるのではないでしょうか?
そこで、以下からはECサイトのセキュリティ対策で重要な4つのポイントを紹介します。
ECサイトのセキュリティ対策で重要な4つのポイント
ECサイトのセキュリティ対策を行う際には、重要なポイントが4つあります。
- セキュリティ上のリスクを把握する
- 管理者のセキュリティ教育を徹底する
- 脆弱性が見つかった場合の対応フローを決めておく
- 不正検知システムを導入する
順番にどのようなポイントがあるのか解説します。
【ポイント1】セキュリティ上のリスクを把握する
ECサイトのセキュリティ対策をするためには、まず、対策を怠るとどのような被害に遭うのか把握しておく必要があります。
例えば、以下のようなセキュリティ事故が発生します。
| セキュリティ事故 | 概要 |
|---|---|
| 不正注文 | 第三者が他人のカード情報を不正入手して注文する。 |
| チャージバック | カード情報を入手して不正に注文された結果、顧客に代金の返還をしなければならない。商品も戻ってこない。 |
| 不正ログイン | 不正にログインが行われ個人情報が流出する。 |
セキュリティ対策を怠ると、顧客情報やクレジットカードの情報を盗まれかねません。その結果、顧客が被害を受けるため賠償責任が発生します。
顧客からの信用も失墜するので顧客離れが発生し、売上が大幅にダウンしてしまうでしょう。加えて、セキュリティ対策に時間がかかるため、その間の売上が発生しなくなります。
最悪のケースでは、ECサイトを閉鎖せざるを得なくなるので注意しなければなりません。
【ポイント2】管理者のセキュリティ教育を徹底する
セキュリティ対策と聞くと、外部からのハッキング攻撃などだけに備えればよいと考えていませんか?
「2018年 情報セキュリティインシデントに関する調査報告書」によると、不正アクセスにより個人情報が流出したのは全体の2割程度。
むしろ、紛失や置忘れ(26.2%)、誤操作(24.6%)など従業員が原因で発生した事故が全体の5割を超えています。
| 原因 | 割合 |
|---|---|
| 紛失や置忘れ | 26.2% |
| 誤操作 | 24.6% |
| 不正アクセス | 20.3% |
| 内部犯罪や内部不正行為 | 2.9% |
| 不正な情報持ち出し | 2.3% |
| バグ・セキュリティホール | 1.8% |
※参考:2018年 情報セキュリティインシデントに関する調査報告書|JNSA
そのため、セキュリティ対策をするためには、管理者へのセキュリティ教育を徹底しなければなりません。
ルールを策定し、どのような行動が情報の漏洩につながりやすいのか周知してください。
また、そもそも、一部の管理者にしか顧客情報へのアクセス権限を付与しないようにしましょう。
このように対策することで、社員が大事な情報を社外に持ち出すリスクも減らせます。
【ポイント3】脆弱性が見つかった場合の対応フローを決めておく
ECサイトを運営しているシステムにサイバー攻撃につながるバグやセキュリティホールが見つかることがあります。
そのような脆弱性が見つかった際に、何も対処しなければ、不正アクセスにより、顧客情報が流出しかねません。
そのため、脆弱性が見つかったら、以下の手順に沿って速やかに対処をする必要があります。
- 影響範囲と対策の検討
- 対策を実施する
- 完了報告
まず、脆弱性を悪用された場合、システムにどのくらいの影響があるのか分析します。
そして、脆弱性対策も検討しなければなりません。主な対策としては、以下の3つがあります。
- 製品のバージョンアップ
- 修正プログラム(パッチ)の適用
- セキュリティ対策ソフトの導入
脆弱性が見つかったら、第三者に悪用される前に対処しましょう。
【ポイント4】不正検知システムを導入する
ECサイトのセキュリティ対策において、不正アクセスや不正注文などの不正を一貫して見抜くことができる不正検知システムの導入が、最も有効です。
不正アクセスをされると、顧客の個人情報が漏えいし、多額の損害賠償金の発生やブランドイメージの低下につながります。
また、不正注文が発生してしまうと、チャージバックの発生により商品も売上代金も戻ってこないなどの損失が発生する可能性があります。
いずれも自社への損失は非常に大きいため、不正アクセスと不正注文のどちらにも対応できる不正検知システムの導入が必要だということです。
不正アクセスや不正注文などの不正を一貫して見抜くことができるおすすめの不正検知システムは、次章で詳しく紹介していきます。
-4.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
【注意】セキュリティ強化のみ考えてしまうと、利便性が落ちてECサイトの売上が低下してしまう可能性も
昨今、第三者による不正アクセスやサーバー攻撃の手口も巧妙化しています。
不正アクセスからECサイトを守るためには、セキュリティを強化しなければなりません。
しかし、セキュリティを強化しすぎてしまうと「利便性が落ちてしまう」といったリスクがあることを忘れてはいけません。販売ページへアクセスが難しくなってしまうことで、ECサイトのユーザーが減ってしまう可能性も。
さらに、認証作業に手間や時間がかかりすぎてしまうと、購入手続きの途中で離脱するユーザーが多くなるでしょう。そうなれば、売上が大幅ダウンしかねません。
したがってセキュリティの強化は重要ですが、ユーザーの目線に立った対策が求められます。不正を検知するシステムの中で、ユーザーの利便性も考えた不正検知システムが「O-PLUX」です。
「O-PLUX」には、どのようなメリットがあるのか見ていきましょう。
ECサイトの不正検知ができるサービス『O-PLUX』とは?
O-PLUXを導入すれば、ECで起こる不正ログイン・不正注文をリアルタイムに検知し、個人情報漏洩やクレジットカードの不正利用、悪質転売などの不正被害を防止することができます。
※参考:かっこ株式会社
不正ログインを対策するツールと、不正注文を対策するツールをそれぞれ導入しようとすると、コストもかかり、運用も大変です。
その点O-PLUXは、不正ログインから決済までのECの不正を一貫して見抜くことができるので、O-PLUXを導入しておけば、ECサイトで行うべきセキュリティ強化は万全だと言えるでしょう。
また、先程ユーザーの目線に立った対策が必要だとお話ししましたが、O-PLUXは「リスクベース認証」により正常ユーザーには認証の手間がかからない仕組みを採用しています。
※参考:かっこ株式会社
ECサイトのセキュリティ対策として「O-PLUX」を導入してみたい事業者様は、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
セキュリティ対策をするならO-PLUXがおすすめ
ECサイトを運営するなら、費用がかかってもセキュリティ対策はしておくべきです。
なぜなら、不正アクセスやサイバー攻撃からECサイトを守ることで、ユーザーが安心して利用できるからです。
また、ECサイトではクレジットカードの不正利用被害も多発しています。
不正アクセスやサイバー攻撃からECサイトを守ることに加えて、クレジットカードの不正利用対策も併せて行う必要があります。
これらのセキュリティ対策を怠れば、企業ブランドの信用失墜につながり、多額の賠償費用を支払わなければならなくなる可能性もあります。
不正アクセスを未然に防ぎたい、不正アクセスだけではなく不正注文対策も抜かりなく行いたいなどとお考えであれば、弊社が開発・提供をしている「O-PLUX」までご相談ください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
