はじめに:ECサイト、放っておいて大丈夫?
ネットショップ(ECサイト)を運営している方にとって、こんなニュースを耳にしたことはありませんか?
「脆弱性診断が義務化される」
「サイバー攻撃で顧客情報が流出」
「中小のECサイトが狙われている」
でも実際のところ、
- 何をどうすればいいのか?
- 今のままで大丈夫なのか?
- そもそも自分のサイトは対象なのか?
…そんな疑問を持っている方も多いと思います。
この記事では、「ITが苦手な方でもわかるECサイトのセキュリティ対策の基本」を、やさしくご紹介します。
なぜいま、対策が必要なの?
まず前提として、最近のECサイトをめぐるセキュリティ被害は深刻です。
- 被害に遭ったサイトの4割以上が1,000万円以上の損失
- 個人情報流出は平均3,800件、平均被害額は2,400万円
- 被害の97%は「自社構築」のサイトで発生
つまり、
「うちは小規模だし関係ない」
→ 実は一番狙われやすいんです!
そのため、経済産業省はIPAという組織と連携し、セキュリティガイドラインを出して注意喚起しています。
参考:「ECサイト構築・運用セキュリティガイドライン」を公開しました(経済産業省)
参考:ECサイト構築・運用セキュリティガイドライン(IPA)
脆弱性診断ってなに?
脆弱性(ぜいじゃくせい)とは、「攻撃者に狙われやすいシステムの穴(弱点)」のことです。
たとえば…
- 古いソフトをそのまま使っている
- 管理画面にパスワードロックがかかっていない
- 不正なプログラムが仕込まれていても気づかない
こういった状態を放置しておくと、
サイトが乗っ取られたり、クレジットカード情報が盗まれたりします。
脆弱性診断は、それを事前にチェックして防ぐための健康診断のようなものです。
脆弱性診断や対策が義務化される?
セキュリティ被害の増加や漏洩対策の強化といった背景から、政府ではECサイトにおける脆弱性対策について検討が行われています。
特に、「ECサイト構築・運用セキュリティガイドライン」では、脆弱性診断や対策が必須であるとされています。
また、経済産業省の検討会の報告書において、以下のような記述があります。
昨今のクレジットカード番号等の漏えい事案では、ECサイトの設定不備や既知の脆弱性の悪用事案が多いことから、クレジットカード決済網に参入するEC加盟店は、非保持化等の漏えい対策に加え、ECサイトの脆弱性対策を実施していることが必須である。
<当面の対応>
対応①:EC加盟店でのクレジットカード番号等の適切管理義務の水準の引き上げ
⇒基本的なセキュリティ対策として、EC 加盟店のシステム、EC サイト自体の脆弱性対策※を必須とする。
※システム上の設定の不備への対策(PW管理等)、脆弱性診断・対策、ウイルス対策等
【ガイドラインに追記】(2022年度末~2024 年度末)
引用元:クレジットカード決済システムのセキュリティ対策強化検討会 報告書
現段階では、ガイドライン違反に対する罰則などはありませんが、2022年の法改正で個人情報保護法違反時の罰金が最大1億円に引き上げられるなど、罰則強化の流れがあります。
そのため、今後、具体的な罰則も整備されていくのではないかと予想されます。
最低限やっておきたい5つのセキュリティ対策
難しいことをすべて覚えなくても大丈夫です!
まずは「これだけはやっておこう」という5つの対策を見てみましょう。
1. ソフトウェアを常に最新にしておく
ECサイトのシステム(OSやプラグインなど)は定期的な更新が必要です。古いままだと、攻撃されやすくなります。
2. サイトの“弱点”を定期的に診断・対策
専門のツールや外部サービスで、脆弱性(セキュリティの穴)がないかチェックします。脆弱性が見つかった場合は、その対策を行うことも重要です。
3. データの改ざんがないか監視する
サイトの内容が勝手に書き換えられていないか、自動チェックツールを使って監視するのが安心です。
4. アクセス履歴を残す
誰が・いつ・何にアクセスをしたか、記録(ログ)を残すことで、万が一のときの調査が可能になります。
5. 定期的にバックアップ
万が一の時に備えて、サイトのデータを定期的に保存しておくことで、素早く復旧・調査ができます。
できれば取り入れたい対策
以下は必須ではない対策ですが、導入することで安心感がぐっと増します。
・WAF(Webアプリケーションファイアウォール)
外からの不正アクセスや攻撃を自動でブロックしてくれるシステムです。多くのサイトで導入されています。
・サイバー保険
万が一被害にあった場合に備えて、損害をカバーしてくれる保険です。なかなか普及していませんが、ガイドラインにおいて加入が推奨されています。
まとめ:ECサイトも“定期診断”が必要な時代
昔は「サイトを作れば終わり」だったかもしれません。
でも今は、「作った後こそ大事」な時代。
- 顧客の信頼を守るため
- サイトの信用を守るため
- 自社のリスクを最小限に抑えるため
脆弱性診断は、“やって当たり前”の項目になりつつあります。
ご相談ください
「自分のサイト、何から手をつけていいかわからない…」
そんなときは、ITのプロに相談するのが一番早くて確実です。
当社では、「困った時に駆け込める、情報システムのかかりつけ医。」として、IT支援サービスを行っています!
- 現状の診断(無料相談OK)
- 必要なセキュリティ対策のご提案
- ソフト更新、バックアップ設定支援
- 外部サービスの導入支援
- その他お気軽にご相談ください!
おわりに
セキュリティ対策は、「攻撃された後」に考えると手遅れになることもあります。
まずは「今、うちのサイトは安全か?」を確認してみませんか?