「高額な費用をかけてまで、セキュリティ対策はすべきもの?」
「そもそもECサイトのセキュリティ事故や不正は増えてるの?」
と考えていませんか。
ECサイトを運営する際、不正アクセス被害やサーバー攻撃によってサイトの停止まで追い込まれることがあるため、セキュリティ対策は必須です。
しかし、セキュリティ対策といってもどのように対策をすればよいのかわからない方も多いのではないでしょうか。そこでこの記事では、
- ECサイトの運営企業がセキュリティ対策で悩むこと
- ECサイトのセキュリティ対策をする6つのポイント
の流れで、ECサイトのセキュリティ対策についてまとめて解説します。
また、記事後半で「セキュリティ対策の強化による売上低下の注意点」についても触れているので、ぜひ最後までお読みください!
なお、セキュリティ対策について漫画を元に解説した資料をご用意しています。これから本格的にセキュリティ対策に力を入れたい方は、ダウンロードのうえご活用ください!
これからセキュリティ対策を進めたい方へ!/
3匹の子豚で学ぶセキュリティ対策
▲無料ダウンロード資料
目次
ECサイトのセキュリティ対策で企業が悩む2つのこととは?
ECサイトでの不正アクセスや情報漏えい等は、毎年数十件以上発生しています。
そのためあなたのサイトが被害を被らないためにも、セキュリティ対策が必要です。
しかし、まだセキュリティ対策を行っていない場合、以下の点について頭を悩ませているのではないでしょうか?
- ECサイトのセキュリティ事故はそもそも多いの?
- 売上アップ戦略などを差し置いてまで、ECサイトのセキュリティ対策をすべき?
まずは、これらの疑問に回答し、なぜセキュリティ対策が不可欠なのか把握しましょう。
1.ECサイトのセキュリティ事故はそもそも多いの?
ECサイトでのセキュリティ事故は、大手企業でも多く発生しています。
過去には以下のような事故がありました。
| 企業 | 流出内容 | 流出件数 | おわび額(一人あたり) |
|---|---|---|---|
| T社 | 顧客の個人情報 | 5万件 | 3万5,000円 |
| L社 | ポイントカードの会員情報 | 56万件 | 500円 |
| B社 | 顧客のクレジットカード情報など | 約3,504万件 | 3,300円 |
| J社 | 顧客のクレジットカード情報 | 2,059人 | 1,000円 |
例として、T社とB社のセキュリティ事故の例について見ていきましょう。
賠償額が大きかったT社の事例
T社による個人情報漏洩事件は、過去に発生したECサイトの一人あたり賠償額が最高額になった事件です。
情報が流出した原因は、5万人分の個人情報が含まれたファイルを、アクセス制限していない状態で公開領域に置いてしまったからです。
個人情報には名前や住所など基本的な情報だけでなく、関心を持ったコース名やアンケート内容の回答など他人に知られたくない情報が含まれていました。その結果、賠償額が一人あたり3万5,000円となっています。
462人が損害賠償請求を起こしたB社の事例
2014年に発生したB社の事件では、関連会社の従業員が顧客情報をスマートフォンに転送したため、情報が流出しました。
顧客から「見に覚えのない会社から、ダイレクトメールや電話による勧誘の連絡が来るようになった」といった問い合わせが多く届いたため発覚します。
被害に遭った462人が損害賠償請求を起こし、B社は1人あたり3,300円の損賠賠償をしています。
これらの事件は、テレビや新聞などで盛んに報道され、企業ブランドに対する信用失墜となってしまいました。
このようなECサイトによる顧客情報の流出事件は、過去にもたびたび発生しており、2020年は年間10件、2021年も7月の時点で10件を超えています。
2.売上アップ戦略などを差し置いてまで、ECサイトのセキュリティ対策をすべき?
結論から言うと、可能な限り早くセキュリティ対策は実施すべきです。
なぜならせっかく立てた売上アップの戦略が全て水の泡になる可能性があるからです。
セキュリティ対策をしなければ、以下のような被害を受ける可能性があります。
- 不正利用したカードで注文される
- 個人情報漏洩によるブランドイメージの低下
不正利用したカードでの注文が相次ぐと、しばらくサイトの運営を停止せざるを得ない状況に追い込まれる可能性も。
実際に2019年に発生したECサイトのセキュリティ事故では、約7割がサイトのリニューアルをせざるを得なくなりました。
最悪のケースでは、事件の影響でそのまま休止状態に追い込まれたECサイトもあります。
そして、セキュリティ事故は「企業への信頼失墜」にもつながるため、売上が大幅に下落するリスクがあります。
ただ、セキュリティ対策にはさまざまな種類があるため、具体的にどのような点に注意すればわからない方もいるのではないでしょうか?
そこで、以下からはECサイトのセキュリティ対策で重要な5つのポイントを紹介します。
ECサイトのセキュリティ対策で重要な5つのポイント
ECサイトのセキュリティ対策を行う際には、重要なポイントが5つあります。
- セキュリティ上のリスクを把握する
- 管理者のセキュリティ教育を徹底する
- 脆弱性が見つかった場合の対応フローを決めておく
- 不正アクセスを検知するサービスを導入する
- 不正注文を防げるサービスを導入する
順番にどのようなポイントがあるのか解説します。
【ポイント1】セキュリティ上のリスクを把握する
ECサイトのセキュリティ対策をするためには、まず、対策を怠るとどのような被害に遭うのか把握しておく必要があります。
例えば、以下のようなセキュリティ事故が発生します。
| セキュリティ事故 | 概要 |
|---|---|
| 不正注文 | 第三者が他人のカード情報を不正入手して注文する。 |
| チャージバック | カード情報を入手して不正に注文された結果、顧客に代金の返還をしなければならない。商品も戻ってこない。 |
| 不正ログイン | 不正にログインが行われ個人情報が流出する。 |
セキュリティ対策を怠ると、顧客情報やクレジットカードの情報を盗まれかねません。その結果、顧客が被害を受けるため賠償責任が発生します。
顧客からの信用も失墜するので顧客離れが発生し、売上が大幅にダウンしてしまうでしょう。加えて、セキュリティ対策に時間がかかるため、その間の売上が発生しなくなります。
最悪のケースでは、ECサイトを閉鎖せざるを得なくなるので注意しなければなりません。
【ポイント2】管理者のセキュリティ教育を徹底する
セキュリティ対策と聞くと、外部からのハッキング攻撃などだけに備えればよいと考えていませんか?
「2018年 情報セキュリティインシデントに関する調査報告書」によると、不正アクセスにより個人情報が流出したのは全体の2割程度。
むしろ、紛失や置忘れ(26.2%)、誤操作(24.6%)など従業員が原因で発生した事故が全体の5割を超えています。
| 原因 | 割合 |
|---|---|
| 紛失や置忘れ | 26.2% |
| 誤操作 | 24.6% |
| 不正アクセス | 20.3% |
| 内部犯罪や内部不正行為 | 2.9% |
| 不正な情報持ち出し | 2.3% |
| バグ・セキュリティホール | 1.8% |
※参考:2018年 情報セキュリティインシデントに関する調査報告書|JNSA
そのため、セキュリティ対策をするためには、管理者へのセキュリティ教育を徹底しなければなりません。
ルールを策定し、どのような行動が情報の漏洩につながりやすいのか周知してください。
また、そもそも、一部の管理者にしか顧客情報へのアクセス権限を付与しないようにしましょう。
このように対策することで、社員が大事な情報を社外に持ち出すリスクも減らせます。
【ポイント3】脆弱性が見つかった場合の対応フローを決めておく
ECサイトを運営しているシステムにサイバー攻撃につながるバグやセキュリティホールが見つかることがあります。
そのような脆弱性が見つかった際に、何も対処しなければ、不正アクセスにより、顧客情報が流出しかねません。
そのため、脆弱性が見つかったら、以下の手順に沿って速やかに対処をする必要があります。
- 影響範囲と対策の検討
- 対策を実施する
- 完了報告
まず、脆弱性を悪用された場合、システムにどのくらいの影響があるのか分析します。
そして、脆弱性対策も検討しなければなりません。主な対策としては、以下の3つがあります。
- 製品のバージョンアップ
- 修正プログラム(パッチ)の適用
- セキュリティ対策ソフトの導入
脆弱性が見つかったら、第三者に悪用される前に対処しましょう。
【ポイント4】不正アクセスを検知するサービスを導入する
不正アクセスによる被害に遭わないためには、不正アクセスを検知するサービスの導入が必須です。
不正アクセスやサイバー攻撃には一定のパターンがあります。過去のパターンなどを踏まえて不正アクセスやサイバー攻撃の可能性があると判断されれば、通信を遮断するのです。
例えば不正アクセス検知サービス『O-MOTION』は、キーボードやマウスを押す動きで、不正アクセスを見抜きます。
キーを押してから指を離すまでの時間が明らかに不自然な場合、不正アクセスされていることがわかり、通信を遮断します。
自社で不正アクセスが発生しているのか、どのくらいの頻度で不正なアクセスがあるのか知りたい場合は、トライアルをしてみてはどうでしょうか?
不正アクセスレポートを作成して、リスク確認も可能!
今なら期間限定の初期費用キャンペーン中
O-MOTIONのトライアルはこちら!
【ポイント5】不正注文を防げるサービスを導入する
ECサイトでは、購入者の情報を偽装した不正注文が行われるケースがあります。
不正注文が多くなれば、売上だけでなく利益も大幅に減少する可能性も。たとえば、健康食品のECサイトでは、たびたびサンプル品を配っています。
第三者が複数のアカウントを作成し、これらのサンプル品を申し込んだ場合、オークションサイトなどで販売されてしまう可能性があります。
また、クレジットカード情報が漏洩した場合も、不正注文をされます。顧客からクレームが入れば返金手続きを行わなければならないばかりか、不正に購入された商品も戻ってきません。
そこで、不正注文を防げるサービスの導入が必要です。O-PLUXを利用すれば、不正注文かどうかの判断をシステムが分析して行います。
そのため、ポイントの不正取得やチャージバックなどさまざまな不正注文対策も可能です。O-PLUXについては、以下からお問い合わせください!
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
また、ECサイトで発生した不正注文の手口や具体的な対策は、以下の記事をご一読ください。
【注意】セキュリティ強化のみ考えてしまうと、利便性が落ちてECサイトの売上が低下してしまう可能性も
昨今、第三者による不正アクセスやサーバー攻撃の手口も巧妙化しています。
不正アクセスからECサイトを守るためには、セキュリティを強化しなければなりません。
しかし、セキュリティを強化しすぎてしまうと「利便性が落ちてしまう」といったリスクがあることを忘れてはいけません。販売ページへアクセスが難しくなってしまうことで、ECサイトのユーザーが減ってしまう可能性も。
さらに、認証作業に手間や時間がかかりすぎてしまうと、購入手続きの途中で離脱するユーザーが多くなるでしょう。そうなれば、売上が大幅ダウンしかねません。
したがってセキュリティの強化は重要ですが、ユーザーの目線に立った対策が求められます。不正を検知するシステムの中で、ユーザーの利便性も考えた不正検知サービスがO-MOTIONです。
O-MOTIONには、どのようなメリットがあるのか見ていきましょう。
ECサイトの不正アクセス検知ができるサービス『O-MOTION』とは?
O-MOTIONを使えば、疑わしいアクセスがあった場合に、本人確認のための二段階認証を実施するので、不正アクセスの検知が可能です。
加えて、既存の認証サービスと組み合わせることで、不正の疑いがないユーザーは、認証なしでスムーズに購入手続きへ進めます。
ユーザーは、複雑な認証手続きによりログインに失敗する心配がなくなります。ストレスもかからないので、購入完了までスムーズに進めるでしょう。
このようにO-MOTIONを導入すれば、セキュリティ対策による売上減少を避けられます。
そして、O-MOTIONの導入を迷っている方に朗報です。
現在、先着5社限定で無料でトライアル利用ができます。この機会に申し込んでみてください!
不正アクセスレポートを作成して、リスク確認も可能!
今なら期間限定の初期費用キャンペーン中
O-MOTIONのトライアルはこちら!
セキュリティ対策をするならO-MOTIONがおすすめ
ECサイトを運営するなら、費用がかかってもセキュリティ対策はしておくべきです。
なぜなら、不正アクセスやサーバー攻撃からECサイトを守ることで、ユーザーが安心して利用できるからです。
セキュリティ対策を怠れば、企業ブランドの信用失墜につながり、多額の賠償費用を支払わなければならなくなるでしょう。
自社のシステムが不正者に狙われていないか・不正アクセスを未然に防ぎたい、などとお考えであれば、弊社が開発・提供をしている「O-MOTION」までご相談ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
