ECサイトのセキュリティ対策は？トラブルから対処法まで解説！！（2/2）

経営者視点で見ると、企業としてのセキュリティ対策に対する方針を決め、予算を設定し、対応できる人材を確保する必要があります。その後、現場に具体的な対策を立てさせて実行させるともに、さまざまな不正アクセスの方法が新たに生まれつつある現状を踏まえ、対策を適宜アップデートしていきましょう。加えてインシデントが発生した際の対応や復旧に至るまでの体制を整備することも必要です。

外部に委託する場合は委託先をしっかり選定し、コミュニケーションを密にとり、セキュリティに対する内容と責任を明確化しておきましょう。IPAによれば「セキュリティ対策をお願いしたはずができていなかった」という理由でサイバー攻撃にあったケースもあったそうです。

一方、ECサイトを運用し、セキュリティ対策を実施する責任者や担当者など現場レベルで講じるべき対策は以下の7点です。

１．サーバや管理端末等のOSを最新の状態にする

ECサイトの構築方法はいくつかありますが、オープンソースやパッケージ、フルスクラッチによって自社でECサイトを構築している場合、自力でサーバのOSを最新版にバージョンアップしたり、セキュリティパッチを適用し、迅速にアップデートしたりしなければなりません。放置すると、第3者にサイトの脆弱性をつかれてセキュリティインシデントが発生する可能性が高まります。

2．ECサイトの脆弱性診断を実施する

ECサイトを運用しているうちに脆弱性が見つかったり、カスタマイズをした際に新たな脆弱性が作られたりと、様々なケースが考えられます。定期的にWEBアプリなどで診断をおこない、安全性を確認しておきましょう。新機能の追加やシステム改修の際、診断は必須です。

3．不正アクセスやサイト改ざんを検知するサービスの導入

不正アクセスやECサイト改ざんを検知するサービスを導入しましょう。自社のメンバーで人的に監視することはもちろん可能ですが、人的コストやチェック漏れが発生する可能性を考えると、ツールに頼ったほうが確実です。
また、あわせて不正アクセスやサイト改ざんが発覚した際の業務フローも確認し、いざというときに慌てないようにしておきましょう。

4．サイバー攻撃対策のツールの導入

セキュリティソフトやウイルス対策ソフトに加え、各サイバー攻撃に対応できるソフトウェアやツールを導入しましょう。一般的な不正アクセスに対応できるソフトがほとんどですので、必ず導入しておきましょう。

5．不正ログイン対策を講じる

不正ログイン対策として、ユーザ側のログイン方法を工夫しましょう。IDとパスワードのみでログイン・決済ができてしまうと、手あたり次第パスワードを入力する総当たり攻撃（ブルーフォースアタック）や、他のウェブサービスから手に入れたアカウントやパスワードをもとにおこなわれるリスト攻撃の被害にあう可能性があります。
不正ログイン対策としては、IDとパスワードを入力したのち、合言葉などを求める「二段階認証」や、パスワードによる認証ののち、登録したスマートフォンにワンタイムコードを送信し、そのコードを入力して認証を完了する「二要素認証」などがあります。ただし、やりすぎるとユーザビリティが損なわれますので注意しましょう。
決済に関しては3Dセキュアの導入がおすすめ。カード決済の際の本人認証のことで、もともとはユーザが事前に登録しておいた専用パスワードを正しく本人認証画面に入力した場合のみ決済できる仕組みでした。筆者も何度か利用したことがありますが、とっさにパスワードが出てこなかったり、面倒だったりと何度か「カゴ落ち」した記憶があります。
ところが近年バージョンアップした「3Dセキュア2.0」が登場。こちらはECサイトでクレジットカードが不正利用された可能性が高いときのみ本人認証画面を表示する「リスクベース認証」が可能。本人認証も生体認証やワンタイムパスワードなどが利用できるようになり、利便性が向上しました。

6．SSLサーバ証明書を取得する

SSL（Secure Sockets Layer）とは、インターネット上でのデータ通信を暗号化して送受信させる技術や仕組みを指します。暗号化により第3者がデータを閲覧したり改ざんしたりするのを防ぐためのもので、ECサイトではSSLサーバ証明書は必ず取得すべきものです。
SSLを使用しているサイトはURLの冒頭が「https」になるとともに、インターネットブラウザのURLの横に鍵のマークがでます。使用していない場合、例えばGoogle Chromeでは「保護されていない通信」と注意書きが出るため、ユーザに余計な不安を抱かせないためにも導入しておきましょう。

7．セキュリティ対策に関する教育の徹底

セキュリティ対策を担当するスタッフのみならず、従業員全体のセキュリティ教育はとても重要です。なぜならヒューマンエラーによる情報漏えいもありうるからです。従業員のミスにより情報が漏えいすることはあり得ますし、個人情報が入った端末機器を不用意に持ち出し紛失してしまった、というニュースは後を絶ちません。また、不審なメールを開き、不用意にリンクをクリックした結果、パソコンをマルウェアに感染させてしまったケースもあります。社員全体のセキュリティに関する意識を高めておきましょう。
また、顧客情報やクレジットカード情報など、重要な情報にアクセスできる権限を持つものを限定するとともに、アクセス権限者のパスワードをわかりにくいものにして定期的に変更する、不用意に他のスタッフに共有しないなどの対策も重要です。

現場レベルではさまざまなサービスをうまく使いつつ、スタッフ同士のセキュリティ意思息の向上も重要になってきます。コストと手間がかかりはしますが、セキュリティ対策はとても重要。しっかり取り組み、ユーザが安心して利用できるECサイトをめざしましょう。