セキュリティ対策について― サイバー攻撃による被害状況を受けて(通販企業向け)
情報セキュリティ被害の深刻化
近年、Webサイトへのサイバー攻撃の増加により、通販企業サイト(ECサイト)でも、サイバー攻撃による個人情報漏洩等が相次いでいます。
通販企業サイト(ECサイト)にとって「情報セキュリティ」は単なるIT管理ではなく、顧客信頼・ブランド価値・事業継続を左右する経営課題となっています。
統計データからも、年々その深刻さが確認できます。「大規模企業企業だけが狙わているのだろう」「これまでなにも起こらなかったから大丈夫」という認識はもはや通用せず、被害は消費者、そしてサプライチェーン全体に波及する時代へと変化しています。
IPA(情報処理推進機構)の2024年度の中小企業向け調査によると、サイバー攻撃や情報漏えいなどのインシデントを経験した企業の 約7割 が、「取引先や委託先にも影響が及んだ」と回答しています。EC事業では、決済代行会社・物流事業者・システムベンダーなどとの連携が密接なため、一社の被害が連鎖的に拡大する“サイバードミノ”現象が特に起きやすいと指摘されています。
また、同調査では、62.6%の中小企業が直近3年間でセキュリティ投資を行っていないと回答。投資額については「100万円未満」にとどまる企業が最多でした。一方で、ECサイトは個人情報・クレジットカード情報を扱うため、一般事業よりも高いセキュリティ基準が求められています。
「必要性を感じない」「費用対効果が見えない」といった理由で対策を先延ばしにすることは、事業停止や信用失墜という“見えないコスト”を招く結果につながります。
(出典:IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について(外部リンク))
まずはこの一歩!JADMAが推奨するECサイトへの対策
JADMAでは、Webサイトへの不正アクセス等による被害を防ぐため、2024年5月より、入会審査の必須要件として下記2点を新たに導入するとともに、既存会員へも積極的に導入を勧めています。
① 脆弱性診断の実施
脆弱性診断とは?
システムに潜むセキュリティ上の弱点を調べ、攻撃に悪用される前に修正するための検査です。JADMAでは基本的に有償のものをおすすめしています。
② クラウド型 WAF(Web Application Firewall)の導入
クラウド型WAF(Web Application Firewall)とは?
外部からの不正アクセスや攻撃をクラウド上で検知・防御し、WEBサイトを守ります。
セキュリティ対策はその範囲もとても広いものですが、まずはECサイトへの外部侵入を防ぎましょう。
\ JADMA賛助会員のセキュリティサービス事業者から選べる /
>脆弱性診断・クラウド型WAF サービス提供会社一覧
情報セキュリティに対する社内運用体制の整備
先に記載したIPAの調査では、ウイルス対策ソフト導入やシステム更新などの基本対策を実施している企業は 約7割。しかし、社内ルール整備や緊急時対応体制の構築といった運用・体制面の整備は4割前後にとどまっています。
ECサイト運営では、システム更新やWAF導入だけでなく、「権限の管理」「多要素認証」などの継続的な運用体制の整備が不可欠です。
運用体制構築の第一歩として、JADMAでは情報セキュリティーポリシーについてテンプレートを作成しています。
本ポリシーは多くの事業者がセキュリティ対策に取り組めるよう、まず対策の重要事項となる7つの項目に絞り、セキュリティ部署の担当者設置や、通信販売業で利用の多い業務委託の契約等についても記述をいれています。セキュリティポリシーを未設定の事業者は、自社のセキュリティ対策状況を振り返りながら、加筆・修正を加えて作成してください。
情報セキュリティポリシーとは?
組織が情報資産(データ・システム・ネットワークなど)を守るために定める基本方針やルールのことです。情報セキュリティ対策の「指針」となる文書で、社員や関係者が守るべき基準を示します。ポリシーの策定によって、社内全体のセキュリティ意識の向上につなげると共に、消費者の信頼を得ることに繋がります。
また、ポリシーの作成とともに「具体的な運用ルールや体制を明文化した文書・仕組み」を用意することが望ましいです。
「情報セキュリティ規程」や「インシデント対応規程」などポリシーを具現化するための文書(規程等)を用意するとともに、実際に社内で対応ができるよう、運用マニュアルや手順書を用意し社員ひとりひとりにセキュリティ意識を根付かせることも大切です。
参考)IPA「中小企業の情報セキュリティ対策ガイドライン」(外部サイト)
JADMAでは、サイバーセキュリティの学習サイト「サイバー衛生研修」もご用意しています。基本的なセキュリティを学ぶ教材として、ぜひご活用ください。
> 日本サイバー犯罪対策センター × JADMA 共同企画 セキュリティ対策学習『サイバー衛生研修』のご案内
> 学習サイト https://jadma.hygiene.jc3-learning.org/
こちらは、企業・団体でまとめてのお申込みも可能です。ご関心のある方は、ぜひ企業申込みフォームよりご申請ください。
自社のセキュリティ対策をアピール
JADMAでは、消費者に安心安全にネット通販を利用いただくため、セキュリティの一定基準を満たした事業者に付与する「データ保護マーク」の普及に努めています。
JADMAの2024年の通信販売利用実態調査によると、通販で経験したトラブルは全体の約3 割と減少する一方、利用の短所として「個人情報漏洩の心配がある」という回答が前年を大きく上回るなど、その信頼性や安全性への不安が見受けられます。
年々サイバー攻撃による被害の報道も増加しており、各事業者の対策が望まれています。
セキュリティ対策は直接売り上げにつながらない「守り」の部分ですが、この「守り」を強化することで、自社サイトが安心してお買い物ができる場所であることのアピールに繋がります。
データ保護マークとは?
JADMA認定個人情報保護団体では、eコマース業界で発生している個人情報漏洩を減らし、お客様に安心してお買い物できる環境づくりを進めるため、一定の基準を満たした事業者に限定して「データ保護マーク」の利用を認めています。
上記2点のセキュリティ対応等を行う事業者が対応となりますので、ぜひご活用ください。
