ECサイトの経営者は必読です・・・
ITmediaの記事に、 ECサイト運営の“危険ポイント”、IPAが79ページの資料を無料公開 クレカ情報の漏えい多発受け てのがありました。
情報処理推進機構(IPA)は3月16日、ECサイトを構築・運用するときに気を付けるセキュリティ対策の ECサイト構築・運用セキュリティガイドライン を無料公開したそうです。
記事によると・・・
ガイドラインは「経営者編」と「実践編」に分かれる。経営者編では、ECサイトを新規に構築したり、すでに運用していたりする経営者向けに、セキュリティ対策の必要性・重要性を説明。実践編ではセキュリティ対策を実践する責任者向けに、具体的に取り組むべき施策を説明している。
だそうです。詳細はガイドラインをお読みいただきたいのですが、本ブログでも度々ECサイトからのクレカ情報漏洩についてお伝えしてきました。
- 健康食品サイトにて決済システム改ざんでクレカ情報・IPアドレス漏えいしたそうですが・・・
- 打楽器専門ECサイトでクレカ情報が漏えいしセキュリティコードも流出したそうですが・・・
- 日清紡Gでもセキュリティコードなどクレカ情報1000件が漏えいしたそうですが・・・
上記のサイトでのクレカ情報漏洩について共通しているのは、自社構築サイトであることです。
これは今回のガイドラインの9ページにも以下のように記載されています。
②個情委調査によると、サイバー被害を受けた EC サイトの 97%が自社構築サイト
(EC サイト構築パッケージ、または、スクラッチで自社サイトを構築することを、本ガイドラインでは自社構築サイトと定義します。SaaS 型サービスを利用されているサイトは自社構築に含みません)に集中していること
(EC サイト構築パッケージ、または、スクラッチで自社サイトを構築することを、本ガイドラインでは自社構築サイトと定義します。SaaS 型サービスを利用されているサイトは自社構築に含みません)に集中していること
自社構築サイトというのはECサイト構築パッケージ(具体的には EC-CUBE 等が挙げられます)を利用して自社でクレカ情報を取り扱っている場合の事を言います。
更にガイドラインは以下のように続きます。
③自社構築サイトの中にはセキュリティ対策を考えていない、または、セキュリティ対策に十分な費用をかけていないサイトが多く、そのような EC サイトを狙った攻撃が増加していることが挙げられます。
まさに上記に挙げたような事例のことです。更にガイドラインの12ページには「52%の自社構築サイトはいつサイバー被害に遭ってもおかしくない状況」と恐ろしいことが記載されています。
つまり、自社のECサイトからの情報漏洩がいつ起こってもおかしくない状況のサイトがまだたくさん放置されている可能性があるということです。
ガイドラインにも記載がありますが、被害にあったEC サイトの平均閉鎖期間は8.6 か月間、売上高の損失額が1000万円から1億円、更にECサイトの運営事業者の14%がECサイトの再開を断念し閉鎖にまで追い込まれています。
ECサイトを運営されている経営者の方は是非今回のガイドラインを御覧いただき、自社のECサイトで情報漏洩が起こる前に自社のECサイトの運営状況を把握された上で、適切な対応を取ることをお薦めします。