想定される賠償額は約2千万円、ECサイトのセキュリティ課題とは?(トレンドマイクロ セキュリティブログ )

インターネットやスマートフォンの普及により、モール型のECだけでなくオリジナリティのある自社サイトで商品やサービスを提供するネット販売が増えてきた。当然、クレジットカードや個人情報を扱うことになるためセキュリティ上のリスクは増えてくる。トレンドマイクブログでは、最近の日本のECサイトのセキュリティ課題を纏めている。

ブログでは、2016年1月から9月の間に報道されたECサイトの情報漏えい事例から漏えい件数の中央値を算出し、1事例あたりで3,800件の情報漏えい件数を導いている。過去の事例などでは一人あたり数千円から数万円。仮に5,000円とした場合、1,900万円の賠償額になるとして、ECサイトを運営する場合に最低限求められるセキュリティ対策を二つ挙げている。

ひとつは「脆弱性を狙った攻撃に対するセキュリティ対策」。被害原因を公表している事例のすべてでECサイトまたはシステムの脆弱性が関与しており、ECサイトを構成するOS、ミドルウェア、Webアプリケーションの脆弱性に対して、
・脆弱性診断
・修正パッチの管理
・セキュリティソリューションの導入

が十分に行われているか見直すこと。

もうひとつは、「被害に気付くためのセキュリティ対策」。同様に事例の8割は、外部からの指摘により事実を認識している。この点からECサイトを運営する企業は、攻撃された事実に早期に気付ける対策が必要だと改めて指摘している。セキュリティには、徹底した対策が必要であることは言うまでもないが、攻撃を認識するまでの時間、対策を打つまでの時間の差により被害額は比較にならない桁の違いになってしまう。

ECサイトの異変にいち早く気付くためには、
・外部との不審な通信を検知
・ファイルの改ざんを検知
・サーバ異常の検知
・不正プログラムの侵入を検知・ブロック
・ファイルの作成/削除を検知
・情報漏えいの証跡を確認

を挙げている。