【ECサイトのセキュリティ対策】経営者やマネージャーが知っておくべき指針7項目

【ECサイトのセキュリティ対策】経営者やマネージャーが知っておくべき指針7項目

EC市場の急速な成長に伴い、ECサイト運営者は激化する競争を勝ち抜くため、商品開発やマーケティング、広報活動などの売上向上策に力を入れています。売上向上はもちろん重要ですが、セキュリティ対策をおろそかにすると、インシデントによる大きな損害を被る可能性があります。

そこで、ECサイトのセキュリティ対策について、独立行政法人情報処理推進機構(IPA)が公開している「ECサイト構築・運用セキュリティガイドライン」や「中小企業の情報セキュリティ対策ガイドライン」に基づき、具体的なアクションプランを解説します。

はじめに

ECサイトのセキュリティ対策を適切に行わないと、サイバー攻撃によるサーバの停止や不正アクセスによる個人情報の流出などの事故が発生し、甚大な経済的ダメージを被る可能性があります。

個人情報保護委員会が従業者数500名以下の企業44社を対象に実施した調査によると、ECサイトの閉鎖期間による売上高の平均損失額は、1社あたり約5,700万円でした。また、独立行政法人情報処理推進機構(IPA)が被害を受けた19社に対して行った調査では、事故後の対応に要した費用の平均額は1社あたり約2,400万円という結果が出ており、被害の大きさが明らかになりました。[※1]

さらに、セキュリティ事故は経済的損失に加え、顧客の信用を失うことにも繋がることから、中小企業のサイト運営では死活問題となる場合もあります。経営層はそのリスクを正しく理解し、最善の対策を講じる必要があります。

経営者や管理者が策定すべきECサイトのセキュリティ対策指針

IPAの「ECサイト構築・運用セキュリティガイドライン」では、ECサイトの経営者が行うべきセキュリティ対策の基本として、以下7項目が示されています。

  1. 1.ECサイトのセキュリティ確保に関する組織全体の対応方針を定める
  2. 2.ECサイトのセキュリティ対策のための予算や人材を確保する
  3. 3.ECサイトを構築・運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する
  4. 4.ECサイトのセキュリティ対策に関する適宜の見直しを指示する
  5. 5.緊急時(インシデント発生時)の対応や復旧のための体制を整備する
  6. 6.委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする
  7. 7.ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する

ここからは各項目で行うべきアクションプランを具体的に解説します。

1.ECサイトのセキュリティ確保に関する組織全体の対応方針を定める

ECサイトのセキュリティ強化の第一歩は、組織的な取り組みを明確にすることです。どの情報をどのように保護するのか、基本方針を定めましょう。

定めた基本方針に基づいてECサイトの運営上のリスクを明確にし、具体的なセキュリティ対策を推進します。これにより、ECサイト全体のセキュリティ方針が一貫性を持ちます。

具体的な対応内容

ECサイトのセキュリティ基本方針や社内ガイドラインを作成し、明文化しましょう。作成のフローは以下のとおりです。

  1. 1-1.セキュリティ基本方針やガイドライン作成の目的を定める
  2. 1-2.現在のセキュリティ状態と潜在的なリスクを分析・評価する
  3. 1-3.分析・評価結果を踏まえて基本方針を決定する
  4. 1-4.基本方針に基づき、具体的なセキュリティ対策や、事故発生時の対応手順をガイドラインに明記する
  5. 1-5.作成したガイドラインを組織内で共有し、必要な教育を実施する
  6. 1-6.環境の変化や新しい脅威に対応するために、ガイドラインの内容を定期的に見直し、適宜更新する

2.ECサイトのセキュリティ対策のための予算や人材を確保する

ECサイトのセキュリティを担保するために、適切な予算の確保と担当者の選定が必要です。これは、事故予防だけでなく、事故発生時の被害制御や迅速な復旧のためにも不可欠になります。

セキュリティ対策には専門知識が必要ですので、外部サービスの利用も検討すると良いでしょう。

具体的な対応内容

ECサイトのセキュリティ対策に必要な予算と人材の確保には、まずセキュリティリスクの評価から始めます。洗い出した関連リスクに対し、それぞれの重要度と発生確率を評価し、必要なセキュリティ対策を決定します。

次に、セキュリティ対策に必要なツールやサービスの導入コストを見積もります。この際、事故発生後の対応や復旧コストも入れることを忘れないようにしましょう。

人材の確保のためには、セキュリティ専門家を内部で採用するか、外部に委託するかを検討し、事故対応専門の担当者やチームを配置します。また、専門的なセキュリティサービスやツールを提供する企業を調査し、必要に応じて契約します。

最後に、セキュリティ事故に関連する損害を補償するサイバーセキュリティ保険の導入も検討しましょう。これにより、損害賠償や訴訟費用などの予期せぬ費用に備えることが可能です。

3.ECサイトを構築および運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する

1.で策定したガイドラインと2.で検討したコストを基に、責任者に具体的なセキュリティ対策の検討と実施を指示します。ガイドラインは取引先にも共有し、対策の進捗状況について定期的に報告を受け、その効果を確認しましょう。

具体的な対応内容

まず、経営者や管理者はセキュリティ担当者に社内セキュリティ基本方針とガイドラインを共有し、内容を詳細に理解してもらいましょう。また、IT部門、法務部門、運用部門など関連する部署と連携を取り、責任分担や対応分担を決定します。

次に、セキュリティ担当者には、方針やガイドラインに基づいた具体的なセキュリティ施策のリストアップと、必要なツールやサービスの選定を依頼します。

そして、選定したツールや施策の導入計画と予算を提案するよう指示します。施策が決定したら、関連部署に実行指示を出し、施策の運用開始後は進捗や効果の報告体制を作ります。

ECサイトの構築を外部委託する場合

ECサイトの構築を外部事業者に委託する際は、社内ルールに沿ったセキュリティ対応を徹底している会社を選びましょう。また、セキュリティ対応に必要な費用を事前に確認し、予算計画に合うかも確認します。

契約を交わす際には、セキュリティ対応が構築時と運用時にわたって網羅的に記載されているかをチェックしましょう。契約後は、委託先が契約内容にしたがってセキュリティ対策を適切に実施しているかを定期的に報告してもらうことも重要です。

4.ECサイトのセキュリティ対策に関する適宜の見直しを指示する

セキュリティ対策は、一度施策を実施した後も継続する必要があります。実施状況を確認し、当初の方針にしたがって適切に進行しているかを評価します。

業務内容の変化や顧客のニーズに応じて、定期的にセキュリティの基本方針を見直すことも重要です。大きなセキュリティ被害を防ぐため、必要に応じて追加の対策や改善を責任者や担当者に指示します。

具体的な対応内容

セキュリティ対策の見直しには、定期的なセキュリティミーティングの実施が効果的です。

ミーティングでは、セキュリティ対策の実施状況を確認し、方針にしたがって適切に行われているかを評価します。また、業務内容や顧客ニーズ、セキュリティ脅威の変化を踏まえ、対策方法を更新します。

更新されたセキュリティ対策指針は、関連部署や担当者に迅速に実施するよう伝えましょう。

5.緊急時(インシデント発生時)の対応や復旧のための体制を整備する

ECサイトでのセキュリティ事故に迅速かつ適切に対応するためには、事故発生時の対応と復旧方法を具体的に準備しておくことが重要です。また、模擬訓練を実施し、経営者から現場スタッフまで、有事の際に冷静に対応できるように準備しておきましょう。

具体的な対応内容

緊急時の対応体制を整備するためには、セキュリティ事故発生時の原因特定手順を策定し、迅速な対応ができる体制を構築します。原因特定後は、被害の拡大を防ぐための対応を決め、復旧のための手順やツールを事前に準備しておきます。

6.委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする

外部にECサイトの業務を委託する際は、委託先に自社と同等のセキュリティ対策を求め、契約段階でこれに合意を得る必要があります。外部サービスの利用はセキュリティ専門人材の不足を補い、コスト削減にも繋がりますが、契約内容が不十分だとトラブルの原因となってしまいます。

具体的な対応内容

委託や外部サービスを利用する際は、契約書にセキュリティ関連の内容(委託先の責任、実施すべき対策など)を明確に記載しましょう。必要に応じて専門家や法務部門へ契約内容を確認してもらいます。

運用中は、委託先やサービス提供者にセキュリティ関連の注意点を伝え、定期的なセキュリティチェックや報告を依頼します。

7.ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する

ECサイトを取り巻くセキュリティ脅威は絶えず進化しています。自社内だけでの情報収集には限界があるため、公的機関や業界団体からの最新情報を定期的にチェックし、関連コミュニティで積極的に情報交換を行いましょう。

具体的な対応内容

セキュリティの最新動向を収集するためには、セキュリティ情報を提供する公的機関や業界団体のリストを作成し、どの情報をどの頻度でチェックするかの基準を決めます。

さらに、セキュリティ関連のコミュニティやネットワークへの参加もおすすめです。これにより、情報交換の機会を増やし、社内へ情報共有しましょう。

セキュリティ対策も万全のおすすめのECソリューション

ECサイトの経営者が行うべきセキュリティ対策として、7項目を解説しました。「全ての対策を自社だけで行うのは難しい」と感じている方も多いことでしょう。そこでおすすめしたいのが、トータルECソリューション「HIT-MALL」です。

「HIT-MALL」を提供するアイテック阪急阪神は、グループ会社の鉄道会社や医療機関など、高い安全性が求められるシステムの開発と運用を長年担ってきた経験と技術を生かし、お客様の「安心・安全」なEC事業をサポートします。

さらにセキュリティを高めたECサイト構築を検討されている方は、ぜひアイテック阪急阪神にお問い合わせください。

ECサイト構築のご相談なら「HIT-MALL」

HIT-MALL

HIT-MALLは、思い描いたEC事業を実現できるECサイト構築パッケージとワンストップ運用代行サービスを提供しています。

問い合わせる

[※1] IPA「ECサイト構築・運用セキュリティガイドライン」P1, 2023年11月22日