ECサイト増加の中で知っておきたいトラブルとは?2022年には繰り返したくない!セキュリティ事件簿
経産省発表データでは、コロナ禍以降、EC市場規模は飛躍的な成長を遂げています。一方で、セキュリティ対策が万全ではないサイトも多くみられ、 日本クレジット協会によると、カード番号盗用による被害額は21年9月までで223億9000万円となり、20年の被害額(223億6000万円)を上回りました(※一般社団法人日本クレジット協会:「クレジットカード不正利用被害額の発生状況」)。ますます増え続けるECサイトの情報漏えいに、どのような対策を打てばいいのか。クレジットカードのセキュリティ事情に詳しい株式会社リンクの滝村享嗣が、セキュリティコンサルタントとして活躍する株式会社CISOの那須慎二さんにお話を伺いました。
1.2021年のECサイトセキュリティ事件簿
滝村 リンクでECサイトの事業者向けにクレジットカードセキュリティのクラウドサービスを提供する部署で責任者をしています。那須さんはセキュリティコンサルタントとして活躍されていますが、2021年を振り返ってみて印象に残っている情報漏えい事件はありましたか?
那須 ECサイトではないのですが、恋活・婚活マッチングアプリを提供する事業者がサイバー攻撃によって171万件の情報を抜き盗られる事件がありました。クレジットカード情報は無事だったのですが、運転免許証や健康保険証といった非常にセンシティブな情報がこれだけ多く漏えいしたという意味で、とても大きな事件でした。
情報漏えいの多くは提携しているクレジットカード会社などから「情報が漏れていませんか?」と連絡があってから気付くケースがほとんどです。ただこの事件の場合は不審な挙動を自社で発見し、情報漏えいに気がついたのは不幸中の幸いでした。そうでなければさらに被害は大きくなっていたかもしれません。
滝村 ここ数年、クレジットカードの情報漏えいも非常に多くなっています。2021年は全国に出店している大手ドラッグストアやアパレルメーカーからも情報が漏えいし、クレジットカード番号盗用の被害額が過去最高額になりました。これだけ増えている原因はどこにあるのかというと、基本的なセキュリティ対策ができていないからなんですよね。
那須 まったくその通りです! 今回私がこの対談をお受けしたのも、セキュリティの大切さをしっかりと認識してほしいからです。2020年に出版した『with コロナ時代のためのセキュリティの新常識』という本の中にも書きましたが、セキュリティで一番大切なのは基本対策の徹底に尽きます。ただ、これは声を大にして言いたいんですけど、その基本対策が全然できていません。
滝村 もう何年も前のソフトウェアをアップデートせずに使用していたり、特に多いのが古いバージョンのeコマースプラットフォームのまま、サイトを運営しているケースです。お客さまから発注を受けたときに、事業者が必要なセキュリティ対策について提案をしていれば、半数以上は防げたのではないかと思っています。
那須 滝村さんがおっしゃったように総じてセキュリティに対する意識がまだまだ低いという点は非常に大きいですね。彼らはWebサイトをきれいにデザインしたり、検索で上位に表示されるようにするSEO対策には長けていますが、セキュリティについては高い専門性を持っていないことが多いなと思います。
私達はWebサイトの安全性を測るときにセキュリティ診断を実施します。クラウドのネットワークからパソコンやスマホといったエンドポイント、Webサイトのセキュリティまですべてをチェックしますが、この中で一番低いのがWebサイトのセキュリティです。インターネット上にECサイトを開いた以上、世界中につながっているわけです。ところが、セキュリティ対策は全然できていない。一昔前は田舎の親戚の家に行くと鍵をかけないで普通に生活していましたけど、それが世界規模で行われていることに気づいていないところに怖さを感じます。
滝村 ECサイトをつくるのであれば、脆弱性診断を実施して、セキュリティ対策がきちんとできているのを確認した上でお客さまに納品する。そういったサービスまで含めた提案が、eコマース事業者に求められますね。
那須 本当にびっくりしますよね。制作会社を使わずWebサイトを内製している会社では一度も脆弱性診断を実施したことがないケースがざらにあります。
どのソフトウエアに問題があるかというのは、日本で流通・利用されているソフトウェアの脆弱性に関連する情報を集めて公開している「脆弱性対策データベース」というホームページを見るだけで分かります。そういった情報ををチェックするという習慣もないのかもしれませんね。そのためアプリケーションの脆弱性を突いて攻撃する「SQLインジェクション」で情報漏えいした会社がいまだに存在しているのです。まずは基本的なセキュリティ対策からでも始めてほしいですね。
那須 ECサイトではないのですが、恋活・婚活マッチングアプリを提供する事業者がサイバー攻撃によって171万件の情報を抜き盗られる事件がありました。クレジットカード情報は無事だったのですが、運転免許証や健康保険証といった非常にセンシティブな情報がこれだけ多く漏えいしたという意味で、とても大きな事件でした。
情報漏えいの多くは提携しているクレジットカード会社などから「情報が漏れていませんか?」と連絡があってから気付くケースがほとんどです。ただこの事件の場合は不審な挙動を自社で発見し、情報漏えいに気がついたのは不幸中の幸いでした。そうでなければさらに被害は大きくなっていたかもしれません。
滝村 ここ数年、クレジットカードの情報漏えいも非常に多くなっています。2021年は全国に出店している大手ドラッグストアやアパレルメーカーからも情報が漏えいし、クレジットカード番号盗用の被害額が過去最高額になりました。これだけ増えている原因はどこにあるのかというと、基本的なセキュリティ対策ができていないからなんですよね。
那須 まったくその通りです! 今回私がこの対談をお受けしたのも、セキュリティの大切さをしっかりと認識してほしいからです。2020年に出版した『with コロナ時代のためのセキュリティの新常識』という本の中にも書きましたが、セキュリティで一番大切なのは基本対策の徹底に尽きます。ただ、これは声を大にして言いたいんですけど、その基本対策が全然できていません。
滝村 もう何年も前のソフトウェアをアップデートせずに使用していたり、特に多いのが古いバージョンのeコマースプラットフォームのまま、サイトを運営しているケースです。お客さまから発注を受けたときに、事業者が必要なセキュリティ対策について提案をしていれば、半数以上は防げたのではないかと思っています。
那須 滝村さんがおっしゃったように総じてセキュリティに対する意識がまだまだ低いという点は非常に大きいですね。彼らはWebサイトをきれいにデザインしたり、検索で上位に表示されるようにするSEO対策には長けていますが、セキュリティについては高い専門性を持っていないことが多いなと思います。
私達はWebサイトの安全性を測るときにセキュリティ診断を実施します。クラウドのネットワークからパソコンやスマホといったエンドポイント、Webサイトのセキュリティまですべてをチェックしますが、この中で一番低いのがWebサイトのセキュリティです。インターネット上にECサイトを開いた以上、世界中につながっているわけです。ところが、セキュリティ対策は全然できていない。一昔前は田舎の親戚の家に行くと鍵をかけないで普通に生活していましたけど、それが世界規模で行われていることに気づいていないところに怖さを感じます。
滝村 ECサイトをつくるのであれば、脆弱性診断を実施して、セキュリティ対策がきちんとできているのを確認した上でお客さまに納品する。そういったサービスまで含めた提案が、eコマース事業者に求められますね。
那須 本当にびっくりしますよね。制作会社を使わずWebサイトを内製している会社では一度も脆弱性診断を実施したことがないケースがざらにあります。
どのソフトウエアに問題があるかというのは、日本で流通・利用されているソフトウェアの脆弱性に関連する情報を集めて公開している「脆弱性対策データベース」というホームページを見るだけで分かります。そういった情報ををチェックするという習慣もないのかもしれませんね。そのためアプリケーションの脆弱性を突いて攻撃する「SQLインジェクション」で情報漏えいした会社がいまだに存在しているのです。まずは基本的なセキュリティ対策からでも始めてほしいですね。
2.狙われるECサイトをどう守る?
滝村 ウクライナ情勢に関連して、日本の大手企業がサイバー攻撃を受ける事件が起こり、経済産業省がセキュリティ対策の強化についての注意喚起を行いました(※2022年2月23日経済産業省発表)。これまで政府がメディアを通じて大々的にセキュリティについて言及することはあまりなかったので、国としてもセキュリティ対策を重視しているなと強く感じました。ところが中小のECサイト事業者からは、「うちのECサイトは大手ほど大規模なものではないので、外部から狙われることはない」という声が聞こえてきます。やはり私達専門家がメディアやセミナーを通じてセキュリティの重要性を発信していく責任があるのかなと思います。
那須 さきほどWeb制作会社の話をしましたが、発注するeコマース事業者としてはWeb制作会社は当然セキュリティにも詳しいと思っています。でも実際はセキュリティ対策に関して、経験や知見が乏しいWeb制作会社が多いですね。その結果、セキュリティは野放しにされ、ほとんど鍵のかかっていないようなECサイトが生まれます。
滝村 クレジットカードセキュリティでいうと、クレジットカード情報の漏えいを防ぐために決済代行事業者はECサイトに対して、サーバでクレジットカード情報を保管、処理、通過しない「クレジットカードの非保持化対策(非保持化)」を推奨しています。そのために決済代行事業者は、様々なソリューションを提供しています。よく、ECサイトでクレジットカード情報を入力しようとすると、急に画面が切り替わりますよね。あれが「非保持化」のための工夫で、決済代行業者が用意しているページは世界的なクレジットカードセキュリティ基準であるPCI DSSに準拠しているので安全です。にもかかわらず、このソリューションを導入しているECサイトからも結構な量が漏えいしています。
なぜなら、ECサイトが脆弱なため、コンテンツごと書き換えられてしまっているからです。決済代行事業者が用意している正規の決済ページに飛ぶはずのリンクを偽の決済ページへのリンクと張り替えられてしまったら打つ手がありません。「非保持化」を導入しても、自社のECサイトのセキュリティ対策ができていないと情報が漏れてしまいます。
那須 さきほどWeb制作会社の話をしましたが、発注するeコマース事業者としてはWeb制作会社は当然セキュリティにも詳しいと思っています。でも実際はセキュリティ対策に関して、経験や知見が乏しいWeb制作会社が多いですね。その結果、セキュリティは野放しにされ、ほとんど鍵のかかっていないようなECサイトが生まれます。
滝村 クレジットカードセキュリティでいうと、クレジットカード情報の漏えいを防ぐために決済代行事業者はECサイトに対して、サーバでクレジットカード情報を保管、処理、通過しない「クレジットカードの非保持化対策(非保持化)」を推奨しています。そのために決済代行事業者は、様々なソリューションを提供しています。よく、ECサイトでクレジットカード情報を入力しようとすると、急に画面が切り替わりますよね。あれが「非保持化」のための工夫で、決済代行業者が用意しているページは世界的なクレジットカードセキュリティ基準であるPCI DSSに準拠しているので安全です。にもかかわらず、このソリューションを導入しているECサイトからも結構な量が漏えいしています。
なぜなら、ECサイトが脆弱なため、コンテンツごと書き換えられてしまっているからです。決済代行事業者が用意している正規の決済ページに飛ぶはずのリンクを偽の決済ページへのリンクと張り替えられてしまったら打つ手がありません。「非保持化」を導入しても、自社のECサイトのセキュリティ対策ができていないと情報が漏れてしまいます。
那須 きちんと対策ができているかチェックをするのに、私がお勧めしている方法が2つありまして、一つはソースコードを見て書き換えや不審な挙動がないかをチェックすること。もう一つは外から実際に攻撃をして侵入できるかどうか試すことです。この二つが社内でできないのであれば、セキュリティのスキルを持っている専門事業者に依頼し、安全を確認してから運用をするべきだと思います。
コロナ禍になり、ECビジネスが急成長したことで、多くの企業がECサイトを作っています。しかし、彼らはいかにお客さまを増やすかとか、いかに売上を拡大させるかには力を入れますが、セキュリティにはあまり興味がありません。でも個人情報を預かっている以上ECサイトを運営する会社はセキュリティまで含めた運営をすることが最低限の責任だと思います。
滝村 私達の会社ではAWSでPCI DSS準拠をサポートする「PCI DSS Ready Cloud」というサービスを提供しています。これはハードルが高いクレジットカードのセキュリティ基準であるPCI DSSをコストも手間も抑えながらお客さまに運用していただくために開発したものですが、ここ数年、ECサイトを運営している会社に採用いただく機会が増えています。例えば北海道でECサイトをいくつも運営している北の達人コーポレーションさんは、以前から様々なセキュリティ対応を行うとともに、「非保持化」ソリューションも導入していました。それでもさらに万全を期すために「PCI DSS Ready Cloud」を導入されています。ECサイトを運営している会社は、大事なお客さまの個人情報をどうやったら守れるかを考え、専門家に相談してしっかりとした対応をしていかないと、情報漏えいは決してなくならないですよね。
那須 実は私もリンクの「PCI DSS Ready Cloud」を対談の前に初めて知って、これめちゃくちゃいいじゃないかって驚いたんですけど。恐らく多くのECサイト事業者さんはPCI DSSという言葉すら知らないし、その言葉を知らなければ便利なサービスにも行き着かない。結局知らないことには手の打ちようがないということですよね。だからこそ我々としても常に情報発信をしていかなければならないですし、ECサイトの担当者さんにはすべてを制作会社に丸投げするのではなく、ぜひセキュリティ対策に興味を持ってほしいと思います。
コロナ禍になり、ECビジネスが急成長したことで、多くの企業がECサイトを作っています。しかし、彼らはいかにお客さまを増やすかとか、いかに売上を拡大させるかには力を入れますが、セキュリティにはあまり興味がありません。でも個人情報を預かっている以上ECサイトを運営する会社はセキュリティまで含めた運営をすることが最低限の責任だと思います。
滝村 私達の会社ではAWSでPCI DSS準拠をサポートする「PCI DSS Ready Cloud」というサービスを提供しています。これはハードルが高いクレジットカードのセキュリティ基準であるPCI DSSをコストも手間も抑えながらお客さまに運用していただくために開発したものですが、ここ数年、ECサイトを運営している会社に採用いただく機会が増えています。例えば北海道でECサイトをいくつも運営している北の達人コーポレーションさんは、以前から様々なセキュリティ対応を行うとともに、「非保持化」ソリューションも導入していました。それでもさらに万全を期すために「PCI DSS Ready Cloud」を導入されています。ECサイトを運営している会社は、大事なお客さまの個人情報をどうやったら守れるかを考え、専門家に相談してしっかりとした対応をしていかないと、情報漏えいは決してなくならないですよね。
那須 実は私もリンクの「PCI DSS Ready Cloud」を対談の前に初めて知って、これめちゃくちゃいいじゃないかって驚いたんですけど。恐らく多くのECサイト事業者さんはPCI DSSという言葉すら知らないし、その言葉を知らなければ便利なサービスにも行き着かない。結局知らないことには手の打ちようがないということですよね。だからこそ我々としても常に情報発信をしていかなければならないですし、ECサイトの担当者さんにはすべてを制作会社に丸投げするのではなく、ぜひセキュリティ対策に興味を持ってほしいと思います。
3.2022年のセキュリティ対策を考える
那須 攻撃側はWebサイトを巡回するソフトウェアを使い、常に世界中から情報を集めています。たまたま攻撃を受けた不運なWebサイトだけが情報を盗まれたという話ではなく、完全に侵入できると分かった上で攻撃しています。ただ順番が後になっているだけで、やがて攻撃を受けるという認識は持っておかないといけません。少しでも不安に思うのであれば、まずはセキュリティの専門家に相談をすることをおすすめします。
滝村 那須さんのお話にもありましたけど、セキュリティ対策をとったからといって直接売り上げにつながるわけではありません。ただ、自分たちが運営しているECサイトで情報漏えいが起きると、どれだけの損害が発生するのかという視点で、ぜひ過去の事例を検索してほしいと思います。
例えば1万件のクレジットカード情報が漏れた場合、ECサイト事業者が受ける損害は大きなものになります。まずクレジットカード決済が停止されるので、その分の売上が下がります。さらに漏えいした1万件のクレジットカードに対して再発行手数料、ユーザからの問い合わせ対応するためにコールセンターを増設した費用がクレジットカード会社から請求されます。さらに盗まれたカード情報を使って買い物されたその金額も対象で、すべて合わせると何千万という費用がかかります。もちろん社会的な信用も失うわけですから、そこまで考えた上でセキュリティにどれだけのコストをかけるべきなのかを考える必要がありますよね。
那須 多くの企業は情報漏えいが起こって、初めてセキュリティの大切さに気がつきます。それでは本当に手遅れです。ぜひ、問題が起きる前にセキュリティ対策をとってほしいです。セキュリティは難易度が高いので、社内に分かる人がいないのであれば、やはりプロに任せた方がいい。長年ノウハウと経験を蓄積している会社に頼むのがベストだと思います。
Webを含めたサイバーセキュリティは特殊なスキルが必要なので、専門家でないとどのような対策をしているのか分かりません。それを逆手にとった詐欺に近いような会社も多くあります。情報漏えいが起こったからすぐに対策をしなくてはならないと、慌ててホームページで見つけた業者に依頼したら法外な金額を請求されたというケースも後を絶ちません。そうならないためにも事前に業者としっかりと話をして、内容もコストも納得できるところに依頼するべきだと思います。
滝村 そうですね。セキュリティ専門の会社であれば、きちんとした説明ができるはずです。私達も、クレジットカードセキュリティを高めるサービスを提供している以上、きちんとした形でサービスを提供するよう常に気をつけています。だからこそお客さまにリンクという会社や「PCI DSS Ready Cloud」というサービスを信用していただいていて、サービスの導入につながっていると感じています。
那須 ヨーロッパでもアメリカでも、個人情報の保護がどんどん強化されています。そこにならって日本でも2022年4月に改正個人情報保護法が施行されます。個人情報をどう守っていくのかは世界の流れになっています。ECサイトの事業者は、日本のマーケットで戦っているつもりかもしれませんが、インターネットを繋いだ瞬間にグローバル化します。EC事業に参入するということはセキュリティの面でもグローバル化しなくてはならないということです。
経営的に見るとECサイトというのは攻めですが、攻めるだけではダメで、しっかりとした守備も大切です。多大な費用をかける必要はありませんが、きちんと優先順位付けして最低限の守りとしてセキュリティ対策をしっかりとしてほしいと切に願いますし、セキュリティの大切さを今後もっと広めていきたいです。
滝村 この対談を読んで、ECサイトのセキュリティ対策に悩んでいる担当者の参考になれば嬉しいですよね。今日はありがとうございました。
滝村 那須さんのお話にもありましたけど、セキュリティ対策をとったからといって直接売り上げにつながるわけではありません。ただ、自分たちが運営しているECサイトで情報漏えいが起きると、どれだけの損害が発生するのかという視点で、ぜひ過去の事例を検索してほしいと思います。
例えば1万件のクレジットカード情報が漏れた場合、ECサイト事業者が受ける損害は大きなものになります。まずクレジットカード決済が停止されるので、その分の売上が下がります。さらに漏えいした1万件のクレジットカードに対して再発行手数料、ユーザからの問い合わせ対応するためにコールセンターを増設した費用がクレジットカード会社から請求されます。さらに盗まれたカード情報を使って買い物されたその金額も対象で、すべて合わせると何千万という費用がかかります。もちろん社会的な信用も失うわけですから、そこまで考えた上でセキュリティにどれだけのコストをかけるべきなのかを考える必要がありますよね。
那須 多くの企業は情報漏えいが起こって、初めてセキュリティの大切さに気がつきます。それでは本当に手遅れです。ぜひ、問題が起きる前にセキュリティ対策をとってほしいです。セキュリティは難易度が高いので、社内に分かる人がいないのであれば、やはりプロに任せた方がいい。長年ノウハウと経験を蓄積している会社に頼むのがベストだと思います。
Webを含めたサイバーセキュリティは特殊なスキルが必要なので、専門家でないとどのような対策をしているのか分かりません。それを逆手にとった詐欺に近いような会社も多くあります。情報漏えいが起こったからすぐに対策をしなくてはならないと、慌ててホームページで見つけた業者に依頼したら法外な金額を請求されたというケースも後を絶ちません。そうならないためにも事前に業者としっかりと話をして、内容もコストも納得できるところに依頼するべきだと思います。
滝村 そうですね。セキュリティ専門の会社であれば、きちんとした説明ができるはずです。私達も、クレジットカードセキュリティを高めるサービスを提供している以上、きちんとした形でサービスを提供するよう常に気をつけています。だからこそお客さまにリンクという会社や「PCI DSS Ready Cloud」というサービスを信用していただいていて、サービスの導入につながっていると感じています。
那須 ヨーロッパでもアメリカでも、個人情報の保護がどんどん強化されています。そこにならって日本でも2022年4月に改正個人情報保護法が施行されます。個人情報をどう守っていくのかは世界の流れになっています。ECサイトの事業者は、日本のマーケットで戦っているつもりかもしれませんが、インターネットを繋いだ瞬間にグローバル化します。EC事業に参入するということはセキュリティの面でもグローバル化しなくてはならないということです。
経営的に見るとECサイトというのは攻めですが、攻めるだけではダメで、しっかりとした守備も大切です。多大な費用をかける必要はありませんが、きちんと優先順位付けして最低限の守りとしてセキュリティ対策をしっかりとしてほしいと切に願いますし、セキュリティの大切さを今後もっと広めていきたいです。
滝村 この対談を読んで、ECサイトのセキュリティ対策に悩んでいる担当者の参考になれば嬉しいですよね。今日はありがとうございました。
株式会社CISO
代表取締役
那須 慎二
大手情報機器メーカーにてインフラ系SE、大手経営コンサルティンファームにて中堅・中小企業を対象とした経営・セキュリティコンサルティングを経て起業。ミッションは「日本にセキュリティのバリアを張り巡らせる」こと。そのために「難しいセキュリティ問題を誰にでもわかりやすく伝える」ことをモットーにセキュリティ対策の啓蒙活動を行う。主な著者に『with コロナ時代のためのセキュリティの新常識』がある。
株式会社リンク
セキュリティプラットフォーム事業部
事業部長
滝村 享嗣
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。