ECサイトを狙ったサイバー攻撃により、個人情報やクレジットカード情報の流出が多発する近年、サイト運用者は常に適切なセキュリティ対策を講じることが求められています。ひとたびセキュリティインシデントによる被害が発生すれば、サイトの閉鎖や被害補償など、経済的損失は免れません。この記事では、ECサイトにおけるセキュリティ対策の基本や、EC‐CUBEのセキュリティサービスについてご紹介します。

◎ECサイトにおけるセキュリティ対策の重要性

ECサイトにおいて、サイバー攻撃による情報漏洩事案は年々増加し深刻な状況です。2022年にはクレジットカードの不正利用被害が436億円にも上りました。情報漏洩によるさまざまな被害は、情報漏洩された個人に対するものだけではありません。ECサイト運用者にも多大な被害を及ぼします。万が一自社が運用するECサイトから個人情報やクレジットカード情報が漏えいした場合、原因調査のためサイトの長期間閉鎖や、捜査費用、補償費用の負担が生じます。

実際に、経済産業省のIT政策実施機関であるIPAの発表によると、ECサイトの閉鎖期間における売上高の平均損失額は1社あたり約5,700万円、事故対応費用の平均額は1社あたり約2,400万円とされています。被害者の数や漏えいした情報の内容によっても異なりますが経済的損失は大きく、個人事業主や中小企業にとっては大きな痛手となることは間違いありません。それと共に、顧客の信用を失い、ブランドイメージも傷つき、売上高の大幅減少や事業継続困難などといった事態に発展する可能性もあります。

これらの情報漏洩による被害が発生する要因の多くは、サイト運用者が基本的なセキュリティ対策を実施していないことです。つまり、ECサイト運用者が常に適切なセキュリティ対策を講じていれば、防げた被害も多数あったといえます。ECサイトを運用する前に、セキュリティ対策を怠り脆弱性を放置したECサイトの多くが、サイバー被害に遭っていることを認識することが重要です。

ECサイトにおける脆弱性とは、コンピューターやOS、ソフトウェアにおいて、プログラムの不具合や設計上のミスが原因で発生したセキュリティ上の欠陥を指します。攻撃者は、この脆弱性を狙い不正アクセスやサイトの改ざんなどに悪用します。脆弱性を完全に排除することは困難であり、対策を重ねても新たな脆弱性が発見されるのが現状です。そのため、ECサイト運用者は定期的に脆弱性のチェックを行い、早期に検知することが求められます。問題が発見された場合はその都度対応しリスク管理を徹底することで、脆弱性による影響を最小限におさえることが可能です。

◎ECサイト運用者に求められるセキュリティ対策の基本

多くのECサイトにおけるサイバー被害は、最新版へのバージョンアップ等によるアップデートの未実施や設定の不備、セキュリティパッチの未適用など、脆弱性を放置した結果生じています。サイバー攻撃者は、ECサイトの規模に関わらずセキュリティ対策が不十分なECサイトを探し攻撃します。まずは、セキュリティ対策を行わなければサイバー攻撃により多大な損害が発生するという意識を持つことが重要です。

ECサイトのセキュリティ対策は1度すれば終わりではありません。構築時はもちろん、運用時においても継続的なセキュリティ対策が求められます。まず、ECサイトを構築する前に、セキュリティ対策や運用コストを含めたトータルコストを考え、ECサイトの構築形態や外部委託先の活用などを検討します。とくに、ECサイト構築パッケージやスクラッチを利用し自社でサイト構築を行う場合は注意が必要です。その理由は、サイバー被害を受けたECサイトの約97％が自社構築サイトだからです。これは、構築パッケージやスクラッチの問題ではなく、ECサイト運用者がセキュリティ対策に十分な費用をかけず、本来すべきセキュリティ対策が未実施だったことが原因とされています。

自社でECサイトを構築する場合、集客や収益にばかり目がいきやすく、セキュリティ対策がおろそかになりがちです。その結果、自社構築ECサイトの脆弱性に対するアップデートが不十分となり、サイバー被害に遭っているのが現状です。サイト構築パッケージやCMS等の設定不備も脆弱性の原因となり、攻撃対象となるケースも少なくありません。脆弱性に対する修正プログラムであるセキュリティパッチの適用や、適切な設定、アップデートにより未然に防げた被害も多数あったといえます。しかし、ECサイトの管理・運用に関する知識が乏しく、自社で安全なECサイト構築やセキュリティ対策が困難な場合も少なくありません。その場合、サイト構築や管理・運用を外部委託することも検討が必要です。

ECサイトの構築を外部委託する場合、構築時のセキュリティチェックはもちろん、構築後のセキュリティや運用、保守も併せて契約可能か確認しておくと安心です。過去に、ECサイト構築を外部委託した企業がセキュリティ運用に関する契約を結んでいないにも関わらず、外部委託しているからとセキュリティ対策を怠り、サイバー被害に遭った事例もありました。外部委託先へ丸投げするということは危険であり、契約時に必要なセキュリティ対策も明記し、契約通りに納品、運用されているか事業者自身が確認することが重要です。近年、EC市場の激化に伴い外部委託先の数も増えているため、信頼できる委託先を探すことからはじめます。セキュリティに詳しくない事業者でも安心して活用できるよう、セキュリティ情報をわかりやすく、網羅的に公開しているECサイト構築パッケージが適しています。

IPAでは、自社構築サイト向けに、構築時・運用時におけるセキュリティ対策要件を公開しています。　このセキュリティ対策要件を、自己点検の評価項目として活用できます。セキュリティ対策要件を確認し、自社で対応可能な要件と対応困難な要件を分類したうえで、外部委託先を選定することも可能です。

◎EC-CUBEのセキュリティサポート

EC-CUBEは、無料で利用できる日本初のオープンソースECパッケージです。ECサイトのカスタマイズや開発も自由に行えるため、独自性のあるECサイトを構築できます。EC-CUBEにより、企業やブランドのイメージに合ったアイデアを自由に具現化できることで、競争が激化するEC市場でも他社と差別化することが可能です。現に、月商1,000万円以上のネットショップ利用数はEC‐CUBEがNo,1を誇ります。カスタマイズ性に優れたEC-CUBEは、売上や集客にメリットがあるだけでなく、セキュリティサポートが充実していることも特徴です。

◯クレジットカード・セキュリティガイドラインにもとづくセキュリティチェックサービスの提供

クレジットカードセキュリティガイドラインとは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード決済に関係する事業者が実施すべきセキュリティ対策を取りまとめたものです。2024年に改訂された最新版ガイドラインにおいて、クレジットカード決済に関係するすべてのEC加盟店がセキュリティ・チェックリストにあるセキュリティ対策を実施するよう求めました。EC加盟店は、セキュリティ対策を実施したうえで、その状況をカード会社や決済代行業者に申告し、契約を締結することが求められています。EC加盟店がセキュリティガイドラインによって求められている対策を実行しない場合、カード会社から加盟店契約の解除や、加盟店契約が結べないといった、収益に直結する多大なリスク・損失が発生する可能性があります。

EC-CUBEが提供する公式セキュリティチェックでは、EC-CUBEで作られたECサイトのセキュリティチェックを、クレジットカードセキュリティガイドラインにもとづき実施します。カード会社や決済代行会社へ提出する申告書のサポートも可能です。EC-CUBEのセキュリティチェックは、セルフチェックプランとWebヒアリングプランの2種類から選べます。セルフチェックプランは、イーシーキューブ社が開発したセルフチェックツールを利用し、自サイトのセキュリティチェックを行うものです。各チェック項目に関して丁寧な解説もあり、セキュリティ知識が乏しい事業者にも安心です。このセルフチェックプランは、所有者登録をすることで無料で利用できます。所有者登録自体も無料かつ、登録後は一般公開前の脆弱性情報をイーシーキューブ社からいち早く知らせるサービスもあります。確実なセキュリティ情報を早期に得られ、対策できることがメリットです。

Webヒアリングプランは、EC-CUBEを利用し自社構築したECサイトのセキュリティ対策状況を、イーシーキューブ社によるWeb会議の対面ヒアリングによって確認できます。Webヒアリングプランの販売価格は100,000円ですが、対面でセキュリティ対策状況の確認ができるため、セキュリティに関する専門知識を有しない事業者も安心のサービスです。Web対面で、クレジットカード・セキュリティガイドラインにもとづく申告書チェックも受けることもできます。

◯セキュリティチェックの結果を踏まえた対策

EC-CUBEが提供するセキュリティチェックでは、脆弱性などの問題点抽出だけでなく、具体的な対策法の提案などアフターフォローも充実していることが特徴です。セキュリティチェックの結果を踏まえ、WAF導入支援や保守、イーシーキューブ社製プラグイン導入による対策、ULファイル制限など、対象サイトの状況に合った対策を提案しています。脆弱性と自社サイトの特性に合ったセキュリティ対策を講じることで、セキュアな環境の構築が可能です。セキュリティチェックにより問題点が明確となっても、具体的な対応方法がわからないといった事業者にも安心のサービスです。現状と対策が明確となり、効率的に自サイトの安全を守ることができます。

◯専門的なセキュリティ診断の提供

株式会社イーシーキューブと、EGセキュアソリューションズの協業により専門的なセキュリティ診断を提供しています。EC-CUBEを利用しカスタマイズしたサイトであっても、セキュリティの専門家が全項目手診断することで脆弱性を洗い出すことが可能です。脆弱性の指摘だけでなく、対象サイトの特性に合わせた対策方法も提案してくれます。スタンダードパック600,000円、リピーターパック300,000円で利用可能です。脆弱性を放置しサイバー攻撃の被害が発生した場合の平均損失額数千万円を考えれば、大きなメリットがあるサービスといえます。

◯ECサイト構築時・運用時に活用できるセキュリティチェックシートと脆弱性情報

EC-CUBEの公式ページでは、セキュリティチェックシートと脆弱性リストを公開しています。セキュリティシートは、EC-CUBEのバージョン毎にセキュリティ状況の確認ができる仕様になっており、対応優先度「必須」とされている項目に対応することで、セキュリティ環境を整えることができます。脆弱性リストでは、既知の脆弱性情報はすべて公開され、バージョン毎に異なる対応や対策も網羅的に確認できるようになっています。事業者は手順に沿うだけで適切なセキュリティ対策が可能です。

◎パートナー制で信頼できる外部先が見つかるEC-CUBE

事業者自身で安全なECサイトの構築やセキュリティ管理が困難な場合、外部委託することも可能です。しかし、委託先によって知識や技術力、コストにおいて差があるうえに、EC市場の激化に伴い外部委託先の数も増えているため、事業者が信頼できる委託先と出会うのは容易ではありません。そのような現状を考えると、EC-CUBEのパートナー制度の活用が安心です。EC-CUBEでは、インテ―グレーとパートナーとよばれる企業が150以上存在します。インテグレートパートナーとは、EC-CUBEを利用し安全でオリジナリティあるECサイト構築やデザインを実現する企業です。

EC-CUBEは、導入店舗が豊富なため、多数の企業がEC-CUBEの構築やサポート、開発に携わっています。経験や実績が豊富なインテグレーパートナーにより、安心してEC-CUBEを利用したサイト構築ができます。150社以上のインテグレートパートナーには、EC-CUBEの基準にもとづき実績に応じたランクが設定されており、信頼できる外部委託先の選定に迷うこともありません。また、EC-CUBEは日本初のECサイト構築パッケージであるため、管理運用に関する情報を日本語で収集できます。セキュリティ管理に不安がある事業者も、即座に日本語で対応方法を調べることができるため安心です。

◎まとめ

ECサイトを運用することは企業にとって大きなメリットがある一方、セキュリティ対策を怠れば深刻な損害を招きかねません。安全なサイト構築やセキュリティ対策に不安がある事業者は、外部委託することも必要です。EC-CUBEでは、150以上のインテグレートパートナーが存在し、信頼できる委託先に出会うことができます。EC-CUBEを利用したECサイト構築に関するご相談は、EC-CUBEゴールドランクの認定パートナーである当社にお問い合わせください。