EC業界では必須のセキュリティ対策！必要性や具体的な対策方法とは

2020/10/08

ECのミカタ編集部

インターネットの普及によってECビジネスの重要性がこれまで以上に大きくなっています。もっとも、ECビジネスにはいくつかリスクがあり、その最たるものがセキュリティです。以下では、セキュリティ対策の必要性に加えて、その対策方法を紹介しますので、ECビジネスに従事している方は、その内容を参考にしつつセキュリティ強化を検討されるとよいでしょう。

セキュリティ対策の必要性

最初に、ECビジネスを行うにあたって、なぜセキュリティ対策が必要になるのかを知っておく必要があります。ECビジネスを行うためには、企業と顧客との間をインターネットでつなぐことが必須となるのですが、このインターネットには何らかのセキュリティ上のリスクが内在されているケースが多くあります。そのため、脆弱なセキュリティをハッカーなどに狙われて、サイバーアタックを受けると、場合によっては大事な顧客情報や営業情報などが流出してしまうおそれがあるのです。

情報漏洩事案が発生すると、競合他社に自社の企業情報が知られてしまうだけでなく、顧客からの信頼が著しく毀損されるケースもあるため、そのような事態は何としても未然に防止しなければなりません。インターネットを利用する以上、いかなる企業もセキュリティ上の事故に見舞われる可能性はあり得ますので、セキュリティ対策に万全を期すことを経営上の重要課題として認識しておく必要があるというわけです。

セキュリティ対策方法

では次に、セキュリティ対策を行うにあたり、具体的にどのような方法をとればよいのかについて見ていくことにしましょう。

不正アクセスや内部ネットワークへの侵入を防ぐ

セキュリティを守るためには、何といっても企業内部の情報に部外者をアクセスさせないようにするというのがポイントとなります。アクセスを防ぐために考えられる方策には様々なものがありますが、その一つは、IDS/IPSの導入です。IDS/IPSの導入によって、無権限者による不正なアクセスをタイムリーに検知し、即座に遮断できるようになりますので、導入しない場合と比べて圧倒的に不正アクセスのリスクを低減できるでしょう。

また、内部への通信時にVPNを使ったり、インターネット上における通信にファイアウォールを適用して不自然なコンタクトがないかどうかをフィルタリングするという方法も有効です。これらは、どれらか一つを行えばよいというものではなく、様々な方法を取り入れることでより高度なセキュリティが実現できますので、可能なものはなるべく導入するようにするとよいでしょう。

セキュリティアップデート

企業へのサイバーアタックは、サーバーなどに搭載されているOSやミドルウェア、アプリケーションといった各種ソフトウェアの脆弱性を狙って行われる場合が多くあります。そのため、なるべくそれらのソフトウェアを脆弱な状態で放置しないようにすることが大切です。ソフトウェアのベンダーの多くは、自社の商品に脆弱性が見つかった場合に、直ちにそれを解消するためのアップデートプログラムを配信していますので、使用しているソフトについては定期的にアップデートを実施するのがセキュリティ強化を図るうえでは大切です。

なお、すでに保守サポートが切れてしまっているようなソフトウェアの場合、アップデートプログラムが提供されない可能性があります。使用していないアプリケーションなどは保守切れになっているケースも多いため、そのままサーバー上に置いておくのではなく、不要であれば削除するようにしましょう。

パスワードの設定

重要なデータのやり取りをする際には、パスワードを設定して、仮にそのデータを外部の人間が手に入れたとしても容易に中身を見れないようにしておくというのがセキュリティ対策においては大切です。もっとも、パスワードそのものが流出してしまうおそれもありますので、そういった場合でもなるべくセキュリティが破られないように、パスワードの設定方法についてはしっかりとしたルールを決めておかなければなりません。

例えば、もしパスワードが流出してしまっても新たなパスワードを設定することが無効にできるようにするために、定期的に変更を促す仕組みにしておくということが考えられます。また、複数のシステムのセキュリティが同時に破られるような事態が起きないようにするために、パスワードはシステムごとに異なるものを使用するよう徹底するのもよいでしょう。

パスワードの設定

アクセス制御

サーバーへのアクセスコントロールを適切に行うというのも、セキュリティ強化におけるポイントの一つです。アクセスを適切に制御できていない場合、社外の第三者が無断で未公開のファイルを閲覧したり、データを勝手に持ち出す可能性がありますので、そのようなリスクは徹底的に排除しなければなりません。

そのため、アクセス権限のある者を決めてID、パスワードを付与し、それ以外の人間はアクセスできないようにするといった対応が求められるのです。また、社内にあるパソコンを外部に持ち出した場合、それを利用して情報が漏洩してしまうおそれがありますので、業務上どうしても必要という場合以外に持ち出さないようにするために具体的にルールを整備して運用するとよいでしょう。

防犯・災害・事故の被害を防ぐ

セキュリティを強化する上では、物理的な対策もしっかりと施さなければなりません。いくらシステムを強化したところで、社内に侵入されてサーバーを破壊されたり、データが入った記録媒体を盗み出されてしまっては元も子もないからです。外部からの不法な侵入を防ぐためには、防犯カメラを設置したり、オフィスの施錠管理を徹底するといった方法が考えられます。

また、地震などの災害や思わぬ事故で大事なデータが入っているサーバーやパソコンが壊れないように対策を講じたり、万が一、壊れてしまった場合でも復旧可能なように定期的にデータのバックアップを取るようにするのもセキュリティ強化のためには効果的です。

セキュリティ対策の共有・社内認知

企業によっては、システム担当部署が中心にセキュリティ対策を講じているところがありますが、対策を徹底するためには、一部の部署だけが関わっているだけでは不十分です。

社内の人間がセキュリティ強化のための取り組みに協力できるよう、対策責任者や担当窓口を設けるなどして、社内の全員に対して細やかな情報共有を行ったり、何かあった場合に相談できる環境を整えるようにしましょう。また、これまでのセキュリティ対策に改善すべき点がないかどうかを確認するために、定期的にその内容を検証する仕組みも整備する必要があります。場合によっては、社外の専門家を交えて客観的に評価してもらうというのも有効です。

最近の被害が多い業種

セキュリティアタックを受けやすい業種は、時代によって変化しており、EC業界が狙われやすい傾向にあります。インターネットを利用して買い物を行うのは便利である反面、セキュリティ上のトラブルに見舞われるおそれがありますし、万が一、情報漏洩が起きた場合には大きな被害につながる可能性も低くはありません。IDやパスワードに加えて、クレジットカード情報などがやり取りされる頻度が高いうえに、利用者数も多いからです。そのため、EC業界で働く方は、顧客情報を保護するために、セキュリティ対策に万全を期すことを忘れてはなりません。

セキュリティ対策をして内部の情報を守ろう

以上で見てきたように、セキュリティ対策が不十分な状態でビジネスを行っていると、情報漏洩等によって致命的な損失を被るおそれがあります。リスクを完全になくすことは必ずしも容易ではありませんが、適切な措置を講じれば情報漏洩の危険性は大幅に低減できるはずですので、セキュリティ対策には万全を期すようにしましょう。