[Security NEXT Special PR]

【特別企画】ECサイト運営者は要注意、「人まかせのセキュリティ」が招く危険

気づきにくい「デジタル世界」の攻撃や被害

ついつい陥りがちな「誤解」に付け込まれ、攻撃者に狙われたECサイトは数知れない。そもそもリアルな実世界に比べて、ウェブサイトなどのデジタル世界は侵害されても気付きにくい。そのため対策が遅れ、被害が拡大していくこともある。

もし実店舗で何者かが社員通用口のドアの鍵をこじ開けようとしていたり、立入禁止の事務室から顧客ファイルがなくなるなど異変があればすぐに気づき、警察へ通報して被害状況を調べるだろう。

ECサイトも同様、インターネット越しに次から次へと犯罪者によって攻撃がしかけられ、場合によっては被害も生じている。しかしそうした現状は、監視を行うなどあえて可視化しない限り実感することは難しい。

気づかぬ間にECサイトが侵害され、数カ月、場合によっては数年経過してから、実は個人情報が漏れていたと判明するケースがあとを絶たない。

ひとたび事故が発生すると、調査や謝罪などの対応費用、被害の賠償はもちろん、事業が停止することによる機会損失など多大な被害が発生してしまう。大切な顧客との信頼も失ってしまいかねない。事故が発生する前にリスクを低減する対策を講じておくことが重要だ。

何をすべきか。ECサイト向けガイドラインがカギ

セキュリティ対策を放置しておくことに大きなリスクがあることはわかったが、具体的にどのような対策に取り組むべきか。

まず2025年3月に改訂されたクレジット取引セキュリティ対策協議会の「クレジットカード・セキュリティガイドライン」を押さえておきたい。同ガイドラインは割賦販売法における「実務上の指針」でもある。

同ガイドラインでは、クレジットカード情報の保持、非保持関係なく、すべてのEC加盟店において、委託先も含めたウェブサイトのセキュリティ対策強化を求めている。ウェブアプリケーションにおける脆弱性対策だけでも、定期的な脆弱性診断やペネトレーションテストをはじめ、入力フォームのチェック、ソースコードのレビューなど、かなり踏み込んだ内容となっている。

より具体的な対策を知りたければ、経済産業省との連携のもと情報処理推進機構（IPA）が2023年3月に公開した「ECサイト構築・運用セキュリティガイドライン」を参考にするのがよいだろう。実践すべきセキュリティ対策が具体的にまとめられている。

同ガイドラインでは、経営者に求められる行動と、具体的に実施すべき要件が示されている。経営者のリーダーシップが必要不可欠であり、セキュリティの確保に向けて組織全体で対応方針を決め、予算や人材の確保といった体制の整備や実践編にある内容を、責任を持って実行することを求めている。

（提供：ユービーセキュア - 2025/03/24 ）ツイート

[Security NEXT Special PR]

【特別企画】ECサイト運営者は要注意、「人まかせのセキュリティ」が招く危険

気づきにくい「デジタル世界」の攻撃や被害

何をすべきか。ECサイト向けガイドラインがカギ

関連リンク

PR

関連記事