お役立ち情報 ECサイトのセキュリティ脅威と10の対策

はじめに

ECサイトはその特性上、何十万人に及ぶ顧客や取引先の個人情報を管理する必要があります。さらに、毎日といった高頻度で顧客のメールアドレスにメルマガ等の情報を配信しています。そのため情報漏えいやメールの誤送信などのセキュリティリスクの発生確率が高く、必要十分なセキュリティ対策を施さなければセキュリティインシデントが発生する危険性があります。

今回はECサイトと深い関わりがある個人情報漏えいについて実際の被害事例を参照しながら、個人情報漏えいの手口と、ECサイト運営会社が行う必要のあるセキュリティ対策を見ていきます。

個人情報漏えいの主な原因と概要

株式会社東京商工リサーチが2023年に発表した「2022年『上場企業の個人情報漏えい・紛失事故』調査」によると、上場企業の個人情報漏えいの原因の中で55.1％と半分以上を占めたのが、「ウイルス感染・不正アクセス」であり、「誤表示・誤送信」が26.0％、「紛失・誤廃棄」が15.1％と続きました。

この3つの原因について、それぞれ詳しく見ていきます。

不正アクセスによる個人情報漏えいについて

不正アクセスといってもその手法は様々なものがありますが、ECサイトで特に狙われやすいものはSQLインジェクションやWebスキミングなどが挙げられます。

SQLインジェクション

SQLインジェクションとは、システムのデータベースを管理するソフトウェアを操作・制御することが目的である、SQLというデータベース言語に不正なプログラムを注入、挿入し、情報の漏えいや改ざん、消去などを可能にするサーバー攻撃のことを指します。

実際に2022年6月、株式会社SODAの運営するECサイトにてSQLインジェクションにより約275万件の個人情報が漏えいした可能性があるという事件が発生しています。

Webスキミング

Webスキミングとは、本物のECサイトと同じフォームなどを使用した巧妙な偽サイトを作成し、そこにユーザーを誘導し個人情報を入力させ情報漏えいさせる手法のことを指します。

Webスキミングは近年で流行し始めた不正アクセスの手法であり、特徴的な点は、本物のWebサイトと見た目が似ているだけではなく、動作フォームまで同一なことです。これによってユーザー側で検知することが困難であると言われています。

こちらも2022年6月に、井上商事株式会社の運営するECサイトにてWebスキミングにより約7,400名の個人情報が漏えいした可能性があるという事件が発生しています。

誤表示・誤送信および紛失・誤廃棄における個人情報漏えいについて

次に、誤表示・誤送信や紛失・誤廃棄などの、原因の多くが人的ミスにより漏えいする事例についてです。

誤表示・誤送信

誤表示・誤送信により発生する個人情報漏えいの多くは、メールの誤送信によるものです。そしてそういったメールの誤送信は、ほとんどが人的ミスにより引き起こされています。

実際に2021年9月、株式会社Looopにて約3,700件の個人情報をメールで第三者に誤送信してしまった事例が報告されています。

また、誤表示による個人情報漏えいも過去に存在しており、株式会社CBCテレビが2022年4月に、同社サービスのマイページにて自身とは関係のない他会員の個人情報が表示される不具合を報告した事例もあります。

紛失・誤廃棄

業務PCを会社から持ち出し、紛失したことで会社の個人情報が漏えいした事例をニュースなどでお聞きしたことがある方もいらっしゃるかもしれません。

こうした情報機器の紛失による個人情報漏えいも後を絶たず、JIPDECが2022年に発表した「2021年度『個人情報の取扱いにおける事故報告集計結果』」によると、2021年の紛失事故が起きた件数は380件となっています。

こうした人的ミスによるインシデントにも、組織は対策していかなければなりません。

個人情報漏えいに対する対策

前述した個人情報漏えいの原因については、次のような対策が有効です。

不正アクセスへの対策

• ECサイト公開前に脆弱性診断を行う
• 不正ログイン対策を実施する
• 管理者画面や管理用ソフトウェアへ接続する端末を制限する
• ドメイン名の正当性証明とTLSの利用を行う
• サイト利用者の個人情報に対して安全管理措置を講じる

人的ミスへの対策

• 情報資産の持ち出しを制限する
• 情報資産の管理者を決め、管理を徹底する
• 従業員に対し情報セキュリティの教育を行う
• 従業員が故意に情報漏えいを起こした場合の処置を事前に定める
• インシデントを起こした場合の連絡経路を明確にする

ECサイト運営会社が行う必要のあるセキュリティ対策については、IPAが「ECサイト構築・運用セキュリティガイドライン」を公開していますので、そちらも参考にしてみてください。

以上のような対策が個人情報漏えいに対しては有効ですが、企業にとって全ての対策をいきなり実施するのは簡単ではありません。適切かつ網羅的に対策を行うためには、情報セキュリティの第三者認証を取得し、審査機関から自社のセキュリティ状況を定期的に評価してもらうことも効果的です。

ISMS認証を取得し、情報セキュリティ体制を万全にする

ここまで個人情報漏えいの原因、事例、対策を見ていきました。原因の多様化に伴い、企業が取るべき対策も非常に幅広い種類が存在しています。もちろん、想定され得る全ての対策を実施できるのが理想ではありますが、自社だけで最新のセキュリティ脅威を把握し、対策を行い、その対策を運用・アップデートし続けるのは、企業によっては難しい側面もあります。

ISMS規格やプライバシーマーク制度は、自社が抱えるリスクを網羅的に検討し、必要な対策を実施するための手引きとして利用することが出来ます。それぞれの認証を取得すれば、外部に対して社内の情報セキュリティ体制が整っていることの証明にもなります。

例えばISMS規格では、マルウェア対策を社内で実施することや、個人情報を含む情報資産の正しい管理、従業員に対する情報セキュリティ教育などが求められており、それらの実施は不正アクセスや人的ミス防止の一因になり得ます。一方でISMSでは要求事項に対し、各組織でその要求事項に対してどのように取り組んでいくかを決めることができます。そのため、各組織の成長フェーズや業務形態に適した対応方法を採用することができるため、不要な負担をかけずにセキュリティ対策を行うことが可能です。

まとめ

顧客の個人情報を大量に扱うECサイト運営会社の情報セキュリティの重要性、そしてISMS認証などの情報セキュリティ認証の効果についてイメージいただけましたでしょうか。

ECサイト運営会社が個人情報を適切に扱い、健全で継続的な事業成長を遂げるための組織体制整備の一環として、ISMS認証取得などを利用し情報セキュリティ体制を整えていくことがお勧めです。

LRM株式会社では、ISMS/ISO27001認証取得コンサルティングをはじめとした情報セキュリティ体制構築支援を行っています。高い専門性と豊富な実績をもとに、各組織の実態に合わせたルール・運用を提案し、社内に浸透しやすい「現場で活きるセキュリティ」を提供します。ISMS認証取得をご検討されている方や自社の情報セキュリティ運用にお悩みの方は、お気軽にご相談ください。