ECサイトのセキュリティ対策で重要な5つの要素と注意点を徹底解説

ECサイト運営において、セキュリティ対策への意識は重要です。
2023年3月には、経済産業省における「ECサイト構築・運用セキュリティガイドライン」が公開されました。

このガイドラインにはサイトを運営する経営者が実行すべき基本対策と、経営者が実務担当者に実施させるべき取り組みなどがまとめられています。このようにガイドラインが公表されるほど、ECサイトを通じた被害は多発しています。
本記事ではECサイトのセキュリティ対策について、基本的な内容と5つの対策について解説していきます。ぜひ最後までご覧ください。

目次

• ECサイトでセキュリティ対策が重要な理由
• ECサイトで行う5つのセキュリティ対策
• ECサイトのセキュリティ対策で注意するポイント
• ECサイト構築時のセキュリティ対策
• まとめ

ECサイトでセキュリティ対策が重要な理由

ECサイトにおいて、セキュリティ対策は非常に重要な要素です。以下の内容にそって、その理由を解説していきます。

• 過去に起こったECサイトのセキュリティ事故
• セキュリティ事故の原因とは

過去に起こったECサイトのセキュリティ事故

2022年に、文房具を主な商材として扱っているECサイトがサイバー攻撃を受け、ECサイト会員数十万人分のメールアドレスが流出してしまいました。
ECサイトのシステムの脆弱性を利用し、システムが不正に操作されたことが被害の要因です。本事例ではメールアドレスの流出のみにとどまり、クレジットカード番号などの決済に関わる情報の漏洩は免れました。

また同年、カタログギフトを取り扱うECサイトにおいても、類似したサイバー攻撃が発生しています。この事例では、サイト会員の登録情報に加えて、クレジットカード情報数万件が流出しました。
前述した事例と同様、ECサイトの脆弱性から決済アプリケーションが改ざんされ、膨大な顧客情報が抜き取られてしまった事例になります。

セキュリティ事故の原因とは

ECサイトにおけるセキュリティ事故の原因は、主に第三者による攻撃です。
システムの脆弱性を利用した攻撃によって、ウイルス感染や不正アクセスが発生します。結果として、個人情報の流出といったECサイトの信用性につながる事故が起こるのです。

また、外部からの攻撃だけではなく内部関係者のデータの取り扱いによる事故も存在します。
ECサイトを運営していくなかで、単純な人的ミスによる情報流出や、重要データの消失といった被害も存在します。

このように、セキュリティ事故はさまざまな要因から発生し得るのです。

ECサイトで行う5つのセキュリティ対策

ECサイトにおけるセキュリティ対策にはさまざまな手法があります。次の5つの項目にそって、それぞれ解説していきます。

• ユーザ情報の保護
• フィッシング詐欺対策
• 不正アクセス対策
• データバックアップとリカバリ戦略
• 社内教育とセキュリティポリシーの策定

ユーザ情報の保護

ECサイトにおけるユーザ情報は多岐にわたります。
氏名から住所や電話番号といった個人情報、さらには決済に利用するクレジットカード番号にまで及びます。
多くの場合、ECサイトの個人用ページへのアクセスはログインIDとパスワードの2点によって行われます。つまり、この2点が漏れてしまうだけで、付随する多くの情報が簡単に抜き取れてしまいます。
ユーザによってはアクセスを簡略化するために、安易なパスワードを設定していることがあります。運営側としてはパスワードポリシーを設定するなど、安易なパスワードを設定させない対策が必要です。

また、ログイン時に事前に登録した電話番号へSMS送信を行い本人確認を行う2重チェックも効果的です。ユーザ自身による対策に加えて、それらをサポートする体制が求められます。

フィッシング詐欺対策

フィッシング詐欺とは、DM等に記載されているURLをクリックさせる、もしくは添付ファイルを開かせることで個人情報を抜き出す手口です。
URLをクリックすると、情報を抜き取ることを目的にした偽サイトへ誘導されます。場合によってはアクセスしただけで、ウイルスに感染してしまうケースもあります。

フィッシングレポート2023「フィッシングの動向」によると、2021年のコロナ禍以降、大手ECサイトやクレジットカード会社を装ったフィッシング詐欺は増加傾向にあります。
運営側の対策としては、自社のECサイトやDMにおいて、「偽サイトへの誘導や偽のDMを送付する手口が増加している」といったアナウンスを行うことがあげられます。そして、不正サイトにインターネットサービスを提供するプロバイダ等に対し、サイトの閉鎖を依頼します。
あわせて警察に状況を連絡し、周知を強化してもらうことが重要です。

不正アクセス対策

本来のユーザではない第三者による不正アクセスにも対策しなければいけません。
ユーザ情報の保護でも紹介しましたが、ユーザIDとパスワードによるログインだけではなく、SMSを使った2段階認証の導入が効果的です。

また、ログイン時にユーザに通知するシステムも、不正ログインがあった場合にユーザが即座に検知可能なほか、ユーザの危機意識を高めるという点でも有効です。
一定の費用が発生しますが、「不正検知システム」の導入も高い効果が期待できる対策です。ネットワーク上の通信を常に監視し、第三者によるクレジットカード利用やなりすましといった不正取引が検知されると、適切なアラートや通知を出し、防止策を講じることができます。

データバックアップとリカバリ戦略

データバックアップの目的は、誤って重要なデータを消去してしまうリスクの排除です。
運営面において、誤操作によりデータを消去したとしても、すぐに復元できるメリットがあります。また、万が一不正アクセスがあった場合や、ウイルス感染が発生した場合でも、前後のデータを比較することで被害を正確に判断できます。

攻撃を受けた場合でも、バックアップしたデータを元にリカバリすることで、被害を最小限に留めることができます。

社内教育とセキュリティポリシーの策定

前述したように、ECサイトのセキュリティ事故の要因の一つとして、従業員の誤操作があります。これを未然に防ぐために、高いレベルの社内教育が必要です。
社内の意識を変革し、全員に高いセキュリティ意識を持ってもらうために、社内で情報セキュリティポリシーを策定することをおすすめします。

情報セキュリティポリシーとは、サイトセキュリティを維持するための方針や指針、基準を明確に設けたものです。しっかりとした軸があることで、社員はそれらに沿った高い情報セキュリティ意識のもと行動が行なえます。

単に「セキュリティ意識を高めましょう」といった、ざっくりとした標語では効果は期待できません。システム開発時や変更時の規定、デバイスの持ち出し管理、ネットワークの接続といった具体的な内容にすることで、多くの被害を未然に防げるはずです。

ECサイトのセキュリティ対策で注意するポイント

ECサイトのセキュリティ対策は重要です。しかしながら、過剰な対策は新たな問題を発生させてしまいます。
この章では、セキュリティ対策で注意すべきポイントとして、以下の項目を解説していきます。

• 複雑な認証手続き
• 過度な情報の収集
• 過度なポップアップやセキュリティ警告

複雑な認証手続き

前述した通りECサイトのセキュリティ事故では、ユーザ自身がフィッシング詐欺等の偽サイトで、カード情報を入力してしまい被害をうけてしまうケースがあげられます。そのため、カード情報の認証手続きを強化させることは事故防止に有効です。
しかし、認証手続きを複雑化することで決済までの手順が長くなると、ユーザの購入意欲が削がれてしまい、一度カートに入れた商品をそのままにしてサイトを離脱するカゴ落ちリスクが高まります。

簡略化された決済方法はユーザビリティを向上させます。しかし、セキュリティの面で不安が残るため、できるだけ購入までの導線を簡略化したうえで、セキュリティ事故につながりやすい決済で重点的な対策をすることが大切です。

購入までの導線を簡略化する際には、サイト内検索の最適化や画像付きサジェスト機能、絞り込み機能の実装などがおすすめです。サイト内検索については以下の記事を参考にしてみてください。

≫≫ サイト内検索とは？3つのやり方・導入方法から活用事例までを解説

過度な情報の収集

第三者によるアクセスを防ぐためにユーザID、パスワードに加えたSMSといった2段階認証は有効な手段となります。しかし、ユーザによっては1度の認証でログインできないという環境に対して、煩わしさを感じる可能性もあります。

一定期間が経過するとパスワードの変更をしなければいけないシステムや、アプリやデバイスを併用した認証方法もあります。
過剰な本人確認やパスワード入力の要求はサイト自体の利便性を損ないます。

あくまでもユーザは利便性の高い、スムーズなサイト利用を求めています。ECサイトのセキュリティ対策は、ユーザの協力も必要ですが、高い要求で利便性を損なっては元も子もありません。
運営側で対策できることを全て行い、足りない部分をユーザに補ってもらう意識が大切です。

過度なポップアップやセキュリティ警告

ポップアップはユーザに対して、ECサイト内でのお得情報やクーポン配布等のキャンペーンを告知する手段として有効です。各ユーザの状況に応じたポップアップを表示させることで、売上向上が見込めます。

この機能を応用し、ECサイトにおける詐欺被害の周知やセキュリティ警告が可能です。ユーザに常に危機意識を持ってもらうことで、被害を未然に防ぐことにつながります。

しかし、過度なポップアップ、セキュリティ警告を繰り返すことはユーザビリティを大きく低下させます。あくまで適切な頻度で行うことが重要となります。
常にユーザ目線に立ち、安全な環境で購買できる環境を提供することが重要です。

ECサイト構築時のセキュリティ対策

ECプラットフォームにおいて、サイト構築する場合はセキュリティ対策されたツールの利用をおすすめします。

• ECサイト構築するならセキュリティ領域もサポートしたツールを選ぶ
• ECサイトはサイト内検索の最適化が重要

ECサイト構築するならセキュリティ領域もサポートしたツールを選ぶ

自社ECサイトを構築してすぐにECサイトを運営したい場合は、「ECパッケージ」を導入することをおすすめします。ECサイトに必要な機能がパッケージ化されているため、自社ECサイトをイチから構築するよりも早期に運用を始めることができます。

多くのECパッケージは、セキュリティ領域もサポートしてくるためこれからECサイトを構築する場合は、以下のようなセキュリティ対策に対応したツールを利用し構築することをおすすめします。

◾｜ecbeing
◾｜EC-Orange
◾｜eltex DC
◾｜ebisumart

≫≫ ECパッケージとは？費用相場からおすすめ3社を紹介

≫≫ パートナー企業インタビュー：ecbeing様「 EC事業者の課題を検索視点で解決」

ECサイトはサイト内検索の最適化が重要

ECサイトのセキュリティ対策も重要ですが、ユーザビリティを考慮した導線設計も重要です。
ECサイトを構築し、セキュリティ対策を行なったうえでECサイトのユーザビリティを向上させ売上につなげたい場合には、サイト内検索の最適化がおすすめです。

サイト内検索は多くのECサイトに設置され、ユーザがECサイトに訪問した際にすぐに目的のページにたどり着けるようにする役割があります。
実際に当社が調査した結果、購入を目的にECサイトを訪問したユーザの9割がサイト内検索機能を使用しており、検索を行って目当ての商品が見つからない場合には8割が離脱するといった結果が出ています。

ユーザが求めている商品を自社ECサイトで取り扱っていない場合もありますが、サイト内検索の精度によって、商品を取り扱っているにも関わらず検索にヒットせず機会損失につながっている場合があります。

サイト内検索の精度を高めるためにも、サイト内検索の最適化を行うことが大切です。主なサイト内検索の最適化の手法としては、検索結果を表示するスピードの改善や、サイト内検索の機能を充実させることがあげられます。
とくにECサイトの場合は、検索時に商品の画像つきで候補を表示する機能「画像付きサジェスト」の実装がおすすめです。

≫≫ サイト内検索時の画像表示機能でクリック率が約4倍になった事例

まとめ

ECサイトのセキュリティについて、実際にあった事例から各対策、そして実施する際の注意点について解説しました。

ECサイト市場は現在大きく伸長し続けており、今後もその規模は増加することが想定されています。
しかし、ECサイトを経由した詐欺被害、個人情報の流出件数も増加しているため、ユーザに安全な環境で購買してもらうためにも、高いレベルでのセキュリティ対策は必須です。
本記事の内容を参考にぜひ対策を検討してください。

サイト内検索のオススメ記事

• 【2024年最新】サイト内検索ツールおすすめ10選を徹底比較！成功事例から学ぶ選び方
• サイト内検索の必須機能「サジェスト」でECサイトの売上アップ！
• ランキング機能でECサイトのコンバージョン率を改善する方法
• サイト内検索導入事例：プチバトージャパン様「検索経由のCV率が改善、売上も大きく増加」

---