ECサイトのセキュリティ対策
ECサイトのセキュリティ対策

昨今の新型コロナウィルス感染防止対策の一環として、テレワークが政府より推奨されているなか、昨日、ベネッセホールディングスとソフトバンクの合弁会社「クラッシー」は2020年4月13日(月)、教員と生徒ら向け教育支援アプリのシステム「クラッシー」が不正アクセスを受け、全利用者のIDなどの情報約122万人分が流出したと発表しました。

セキュリティ対策はそれ相応にしっかりやっていたのだろうと推測されるが、結果的に、流出事件は発生してしまった。

もちろん、セキュリティ対策は、悪意ある人達とのいたちごっこなのはわかる。

だからこそ、最新のセキュリティを常に導入する或いは、それが何なのかを理解し、知識をアップデートし対策をし、目を光らせることは、今の社会、必要なのではないかと思います。

今回は、総合セキュリティサービス・BLUE Sphereを提供されている株式会社アイロバの小林社長にECサイトのセキュリティ対策について寄稿して頂きました。今日は、その1回目です。

ECサイトの決済といえば。
ECサイトの決済といえば。

ECサイトのセキュリティ対策、安心するための最適解とは?

便利で強力なビジネスツールであるECサイトは、それと同時に個人情報やクレジットカード情報の漏洩が発生しかねない危険なビジネスツールであることも、既にご存知の通りかと思います。

ただ、ECサイトにセキュリティ対策を行うべきだという認識はあれども、実際に「どんなセキュリティ対策」を「どれだけ」準備すべきなのかが、中々見えてこないのが現状ではないでしょうか。

今回は、「ECサイトのセキュリティは何をすべきか?どこまでやれば安心なのか?」という点について、2回の記事に分けてご紹介したいと思います。

日本のECサイトは狙われている!?非常に危険なECサイト

繰り返しになりますが、ECサイトは自社の製品を世界中に展開できる非常に魅力的なビジネスツールであると同時に、世界中の犯罪者から狙われる大きなリスクを持つ「非常に危険な」ビジネスツールという側面もあります。

「図:件数の増加/攻撃を受けた企業数の割合など」
「図:件数の増加/攻撃を受けた企業数の割合など」

そしてさらに、

海外のサイバー攻撃者から日本は

「セキュリティ意識が低い裕福な国」というイメージ

を持たれており、世界中のサイバー攻撃者から熱烈な視線で見つめられているのが現状です。

例えば、ダークウェブと呼ばれる闇市場で取引されるアメリカや他国のクレジットカード情報の価格と比べ、アジア諸国・とりわけ日本のクレジットカード情報の価格は倍以上の高値で取引されており、やはり日本は世界中のサイバー攻撃者から標的となりやすい環境であるとされています。

利用者のクレジットカード情報や個人情報を取り扱うサービスであるECサイト、特に全世界の犯罪者から「熱烈な視線を集める」存在である日本のECサイトは「非常に危険な」ビジネスツールであると、改めて認識しなければなりません。

何をすれば良いのかわからない!セキュリティ対策への率直な感想

ECサイトは「危険」である。

それについては誰もが理解しており、運営する側としてもECサイトへのセキュリティ対策を検討するのは当然の対応と言えるでしょう。

ただ、「セキュリティ対策を行うべきだ」という認識はあれども、実際にどうすればよいのか、「なにを」「どこまで」準備すべきなのかが、中々見えてこないのがセキュリティ対策の現状ではないでしょうか。

著名なセキュリティ技術者でも、世界に名だたる大手セキュリティ製品ベンダーでも、

 「セキュリティは何をすべきか?どこまでやれば安心なのか?」

といった質問に対して、明確に回答することができていません。

多数のメーカ/製品種類/サービスが存在し、セキュリティ製品自体が飽和状態であり「選択すること自体が困難」という現状も要因としてはありますが、やはり日々サイバー攻撃が高度化・巧妙化する一方であり「100%の防御を担保することはできない」という状況が大きな要因として考えられます。

「100%の安全/安心」はどんなに高度な知識・技術を用いても担保することはできないのが現状とされているのです。

[図:氾濫する多数のセキュリティ製品/高度化する攻撃の手口]
[図:氾濫する多数のセキュリティ製品/高度化する攻撃の手口]

どこまでやればセキュリティ対策は安心なのか?その答えは…。

では、どこまでやればサイバーセキュリティ対策は安心なのか。

その一つの回答となる考え方として、筆者の所属する株式会社アイロバでは以下のように提言させていただいています。

サイバーセキュリティ対策の最適解は「防御」+「補償」である、と。

[図:サイバーセキュリティ対策の最適解は「防御」+「補償」]
[図:サイバーセキュリティ対策の最適解は「防御」+「補償」]

ここでいう「防御」とはセキュリティ製品によりサイバー攻撃からECサイトを守る事を指し、
「補償」とはサイバー攻撃による金銭的な被害発生を補償する為に、サイバーセキュリティ保険/サイバーリスク保険に加入する事を指します。

「防御」のみに注力するのではなく、万が一に「防御」を突破された後のことも考えた「補償」という2つの手段を併せて準備することが、サイバーセキュリティ対策の最適解だと考えます。

 少し抽象的に聞こえるかもしれませんが、2つの手段を併せたシンプルな考え方こそがECサイトを守る最適な方法である理由を、この後の記事内にてより詳しくご紹介させていただきましょう。

まずは「防御」!!ECサイトを守る「多層防御」という考え方

2つの要素の内の1つ、サイバーセキュリティの基本中の基本である、「防御」についてまずは整理してみましょう。

高度化・巧妙化に加えて増加する一方であるサイバー攻撃に対して「100%防ぐ事は難しい」というのは、もはや各セキュリティベンダーの共通見解でありもはや常識であるといっても過言ではありません。

世界を代表するセキュリティベンダーの副社長が「アンチウィルスは死んだ」と公に発言し、アメリカ国家安全保障局(NSA)のハッキング部隊(TAO)がハッキング被害を受けている現状がその証拠とも言えるでしょう。

そのような厳しい状況の中、WebサイトやECサイトへの防御対策へのアプローチとしては、WAFDDoS防御改ざん検知などといった複数のセキュリティ対策を同時に実施する「多層防御」という考え方が主流となっています。

単体では「100%防ぐ事が難しい」とされているサイバー攻撃に対して、複数のセキュリティ製品を組み合わせた多層構造による防御を実現し、サイバー攻撃による侵入確率を減らしていくという考え方であり、多くのセキュリティベンダーからも提言されている、非常に有効な防御対策です。

[図:多層防御の有効性]
[図:多層防御の有効性]

セキュリティ製品は単体では無く、複数利用したほうがより効果的であり、ECサイトを「防御」するためには「WAF」「DDoS防御」「改ざん検知」をはじめとした、複数のセキュリティ製品による「多層防御」が非常に効果的であるとされています。

弊社アイロバでは、ECサイトへのセキュリティ対策として[WAF]/[DDoS防御]/[改ざん検知]機能を持ち、ECサイトに必要なセキュリティ要素を、追加オプション一切なしの1つのサービスにまとめた「BLUE Sphere」というサービスを提供させて頂いております。

BLUE Sphereは、記事前半でも触れた

「防御」+「補償」という考え方

に基づいて、サイバーセキュリティ対策として三井住友海上保険のサイバーセキュリティ保険「サイバープロテクター」とのコラボレーションにより実現したサービスともなり、興味のあるかたは、是非製品ページをご確認ください。

  BLUE Sphereの製品サイト:https://bluesphere.jp/

  BLUE Sphere + サイバーセキュリティ保険について

お役に立てれば幸いです。

おすすめの記事