ECサイトへのサイバーセキュリティの現状

2015年情報セキュリティ10大脅威

ECサイトへのサイバー攻撃について少しお話ししますと、ますます脅威が深刻になっています。調べれば数多くの資料がでてきますが、例えば、IPAが毎年発表している、2015年情報セキュリティ10大脅威のうち4つがWebサイトへの脅威です。2014年版も4つ入っています。ECサイトへのサイバー攻撃は、ここ２、３年の大きな社会問題でありますし、また各ECサイト運営者が解決しなくてはいけない、大きな課題の一つといっても良いのではないでしょうか。

でも、実際にはまだまだECサイトのサイバーセキュリティが進んでいるとは言い難い状況です。

サイバーセキュリティが進まない２つの大きな要因

これは何故なのか？２つ大きな要因を挙げてみます。１つは、「セキュリティ対策に対する見解の違い」です。営業の現場では、ECサイト運営者の方には「ITベンダーに任せていて、セキュリティ対策をしてくれているから大丈夫」とよく言われ、ITベンダー側には「要件としてあがっていない事を勝手にはやれない」と言われる事が非常に多いです。私たちはECサイト運営者側にもITベンダー側にもそうではない事を強く伝えてきているのですが、理解して頂けない事も非常に多いです。

実際に私たちが営業の現場で数多く遭遇していますが、9月28日のITPROさんで「蔓延するセキュリティの勘違い、いま一度確認を」というタイトルで同じような内容が記事になっていました。ちなみに私たちが取材されて記事になった訳ではないので、様々なところで同様の事が数多く起きているのだと思います。

またその結果、サイバー攻撃を受けたECサイト運営者とシステム開発会社で争いになり民事裁判に発展したケースもあり、既に判例もでています。こちらについては、次回詳しく書きたいと思います。

もう１つの大きな要因としては、経営層のサイバーセキュリティに対する意識が非常に低いことです。日本企業は海外と比較して、サイバーセキュリティが重要な経営問題として位置づけられる割合が低い傾向にあります。図表は経済産業省のサイバーセキュリティリスクと企業経営に関する研究会のページでも引用されている資料ですが、「サイバー攻撃の予防は取締役レベルで議論すべきか」との設問に、海外企業が非常にそう思うが56%なのに対して、日本ではわずか13%です。非常に大きな課題ではないでしょうか。

これについては、国も大きな問題意識をもっており、2015年9月に閣議決定した「サイバーセキュリティ戦略」のなかでも、「セキュリティマインドを持った企業経営の推進」を柱の一つとしています。先ほどの設問の「非常にそう思う」を海外並みに引き上げるも大きな目標の一つとなっている様です。詳しくは内閣サイバーセキュリティセンターのホームページからサイバーセキュリティ戦略2015をダウンロードする事ができますので、興味をお持ちの方は見てみてください。今後の国のサイバーセキュリティの取組みが具体的に記載さえています。

まさに今、国を挙げてのサイバーセキュリティへの取り組みが始まろうとしています。今後ECサイトを運営していくなかで、サイバーセキュリティは付き合っていかなくてはならない分野ですが、正しい知識を持って付き合っていけば、怖がる必要は全くありません。

次回は上記に触れた判例の件。自社のECサイトへの攻撃を無料で可視化できる、弊社の新サービスについて書きたいと思います。