ECビジネスにおける
情報漏えいリスクとセキュリティ対策
前回はEC事業者が直面するリスクと、そのリスクを回避するための要件としてクレジットカードに関するセキュリティ対策を取り上げました。しかし取組むべきセキュリティ対策はカード情報の対策以外にもあります。個人情報の流出経路は内部からの故意または事故による漏えいやサイバー攻撃など多岐に渡るからです。そこで今回は情報漏えいの原因を突き止め、その対策についてもまとめてみます。
情報漏えいの原因とは?
Rawpixel.com - jp.freepik.com によって作成された business 写真
個人情報漏えいインシデント概要
JNSAセキュリティ被害調査ワーキンググループでは新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計し分析を行っています。そこでまとめられた『2018年 情報セキュリティインシデントに関する調査報告書』によると2018年の漏洩件数は443件、漏えい人数は561万3,797人となっています。業種別の漏えい件数では、「教育・学習支援業」の件数が2017年の60件から2018年は101件に大幅増加、「卸売業、小売業」は31件と2017年とほぼ同件数で推移しています。「卸売業、小売業」の件数が近年上位継続しているのは、オンラインショッピングの普及によるものと分析されています。EC事業者は個人情報の流出リスクが非常に高い業種と言えます。さらにレポートによると、一件あたり平均想定損害賠償額は6億3,767万円、一人あたり平均想定損害賠償額は2万9,768円にのぼります。高リスクにさらされたまま対策を放置すると、企業にとって非常に高額の賠償や社会的責任がかかってきてしまうことになります。
引用:https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
流出原因
さらに調査報告書では流出原因についてもまとめられています。上記の集計によると2018年の漏えい原因の第一位は「紛失・置忘れ」の116件で、2017年の84件から大幅に上昇しています。続いて「誤操作」の109件、そして「不正アクセス」の90件と続きます。「紛失・置忘れ」「誤操作」「不正アクセス」の3つで全体の約70%の原因となっています。
「紛失・置き忘れ」「誤操作」といった悪意のない漏えいは犯罪を目的とした悪意のある「不正アクセス」の件数を上回っていますが、「不正アクセス」は、一回で個人情報を大量に盗むよう周到に計画されています。実際2018年人数別のインシデントトップ10のうち、7件は不正アクセスによるもので200万人近い漏えい人数となっています。このことから、セキュリティ対策は「紛失・置き忘れ」「誤操作」といったミスを防ぐものと「不正アクセス」対策の両方に注力しなければいけないことがわかります。
ECショッピングがとるべき情報漏えい対策
ショッピングカードシステムやOSの脆弱性対策
オープンソースのショッピングカートシステムを利用してネットショップを構築した場合、脆弱性対策が十分になされていない場合があります。オープンソースのショッピングカートはカスタマイズ性が高いというメリットがありますが、機能追加のプラグインなどを使っていると、ソフトウェア自体のアップデートの際に、プラグインの部分が正常に作動しない可能性があります。その際、アップデート作業に費用をかけたくないため、古いバージョンのまま使い続けてしまうことが多いと言われています。
さらに社内で使っているパソコンの脆弱性についても注意が必要です。トレンドマイクロによる『企業におけるECサイトのセキュリティ実態調査 2016』では、49.1%が、ECサイトへのサイバー攻撃を受けた経験を「あり」と回答し、攻撃を受けた7割以上が情報漏えいなどの実害に繋がっている事実が明らかになっています。トレンドマイクロがECサイトのOSおよびミドルウェアへの修正プログラムの適用状況を調査したところ、OSについては17.3%、ミドルウェアに関しては19.7%が「適用していない」と回答していることが明らかになりました。多くのECサイトが脆弱性を狙った攻撃に晒されているにも関わらず、一方で多くのECサイトが、修正プログラムが適用されるまでの間に、脆弱性を突いた攻撃の脅威に晒されている状況が明らかになっています。脆弱性を突くサイバー攻撃からECサイトを保護するために、修正プログラムの適用やソースのアップデートを怠らず、脆弱性対策をしっかり行う必要があります。
管理ページやパスワードなどの厳重管理
サイトの管理画面にログインするためのIDやパスワードサイトの管理画面にログインするためのIDやパスワードの情報は厳重に管理する必要があります。IDやパスワードは英数字・記号を混ぜた複雑で推測されにくいものにした上で、定期的に変更するようにし、事前に登録した機器からしかアクセスできないIPアドレス認証と組み合わせるといった方法も考慮します。
社内のルール化と社員教育の徹底
個々のパソコンにデータが格納されている場合、そのパソコンを仕事で持ち出し、紛失すれば情報の漏えいにつながります。データのクラウド化やデータレス端末の導入などを検討し、データを一元管理することも有効な対策になります。セキュリティインシデントの多くは前項で説明したように内部の意識の不徹底や管理体制の不備によって発生しています。そうした不備を防ぐには、社内のルール化と社員教育を徹底することにより、日頃からセキュリティリスクについて従業員にも危機意識を共有しセキュリティへの意識を高めるおくことも大切でしょう。
監視システムの導入
サイバー攻撃への対策には24時間の監視(モニタリング)、日々のシステム上のデータやプログラムの動きや攻撃についてのパターンなどを解析し、新しい脅威への対策を継続的に行う体制の構築が必要です。サーバの侵入防御システム(IPS)や侵入検知システム(IDS)といったシステムでは、システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知を行ったり、検出後直ちにトラフィックを遮断するなどの防御措置を取ったりします。これらの最新の監視システムはファイヤーウォールだけでは防ぎきれない脅威への対処にも有効です。
「誤操作」の要因ともなるメールの誤送信なども、文面や添付ファイルのチェックを自動的に行い、問題を含むメールを発信させない仕組みや、内容を暗号化させるシステムにするほうが確実です。 「紛失・置き忘れ」「誤操作」といった人的ミスも、どうしても漏れがでてしまう部分が生じます。こうした人的にはカバーできない部分は、プログラムやソフトなどで抜けがないように管理することも重要になってきます。社内だけではこうしたシステムの導入や運用が難しい場合は、専門的な会社に相談することもお勧めします。
最後に
近年、だれもが簡単にネットショップを開業できる時代になったことで、ECが広がりました。その一方で多くのECサイトが脆弱性を狙った攻撃を受け、その結果情報漏えいなどの深刻な実害を被っていることが明らかにもなっています。今回2回に渡ってEC(ネット通販)事業者の抱えるリスクと取組むべきセキュリティ対策についてお届けしましたが、ここであげたようにカード情報についての対策はもちろんのこと、ECサイトやサーバの侵入防御システム(IPS)や侵入検知システム(IDS)の導入といった対策も併せてとることで、不正侵入や個人情報の漏えいといったリスクを軽減させることが可能です。
