ネットショップ(ECサイト)を運営している会社にとって、セキュリティ対策は避けて通れない課題です。IPAが公開している「ECサイト構築・運用セキュリティガイドライン」の要点を、かんたんな言葉でまとめました。
目次
なぜECサイトのセキュリティが重要なのか
ECサイトには、お客様の名前・住所・クレジットカード番号といった大切な情報が集まっています。IPAによると、情報漏えい被害の大半は中小企業が自社で作ったECサイトで起きています。
ひとたび被害が起きると、こんなことが起こります。
- サイトの長期閉鎖:原因調査のあいだ、販売ができなくなる
- 売上の大幅な減少:閉鎖中はもちろん、再開後もお客様の信頼回復に時間がかかる
- 多額の費用:原因調査、お客様への補償、弁護士費用などが一気にのしかかる
ガイドラインの中身を3行でまとめると
- 経営者が知っておくべきこと(なぜ対策が必要か、何を指示すべきか)
- サイトを作るときに守るべきこと(14のセキュリティ要件)
- 運用中にやり続けること(日々の点検とログの管理)
経営者が押さえるべき3つのポイント
1. 「うちは小さいから大丈夫」は通用しない
攻撃者はサイトの規模を選びません。むしろ対策が手薄な小さいサイトほど狙われやすいのが現状です。
2. セキュリティは「コスト」ではなく「保険」
被害が出たあとの費用は、事前対策の何倍にもなります。サイトを閉鎖している期間の売上損失だけでも深刻です。
3. 制作会社に「お任せ」は危険
制作を外注していても、セキュリティの最終責任は運営会社にあります。「何をどこまで対策しているか」を把握しておく必要があります。
14のセキュリティ要件(やさしく解説)
ガイドラインでは、ECサイトに必要なセキュリティ対策を14の項目に整理しています。大きく4つのカテゴリに分けて紹介します。
サイトの土台を守る
- サイトの仕組み(プログラム)に弱点がないか定期的に検査する
- サーバーや管理用パソコンのソフトを常に最新の状態にする
- 管理画面には決まった場所からしかアクセスできないようにする
お客様の情報を守る
- 不正ログインを防ぐ仕組みを入れる
- お客様のログイン時に2段階の本人確認を導入する
- 個人情報やカード情報を適切に保護する
異変に気づける体制を作る
- 「いつ・誰が・何をしたか」の記録(ログ)を残す
- ログやバックアップを安全な場所に保管し、改ざんされないようにする
日々の運用で気をつけること
- 管理用パソコンのウイルス対策を最新に保つ
- パスワードは長く複雑にし、使い回さない
- 退職者のアカウントはすぐに削除する
まず何から始めればいいか
IPAがチェックリスト(Excel)を無料で公開しています。まずはこれを使って、自社サイトの現状を確認するのが第一歩です。
- 上のリンクからチェックリストをダウンロード
- 自社のECサイトの状況を項目ごとに確認
- できていない項目を洗い出す
- 優先度の高いものから対策を実施
「チェックしてみたけど、よくわからない」方へ
チェックリストを見ても、技術的な内容は判断が難しい項目が多いのが正直なところです。特に「サイトの仕組みに弱点がないか」は、専門知識がないと自分では確認できません。
弊社でも、ECサイトの運営者様から「チェックリストを埋めようとしたが、半分以上わからなかった」というご相談をよくいただきます。わからない項目が多いほど、実は対策が手薄になっている可能性が高い状態です。
自社だけで判断が難しい場合は、専門家に相談することをおすすめします。
