サイバー攻撃は他人事ではない 今EC事業者に伝えたいこと
EC化率上昇とともに、サイバー攻撃の標的として狙われやすくなっているECサイト。もはや、eコマースの世界で商売をする全員が「他人事」とはいえない状況といえる。
こうした状況を受け、経済産業省は令和3年度補正予算を用いてECサイトを構築・運用する中小企業向けに、必要となるセキュリティ対策と実践方法をとりまとめることを決めた。そして、同省のIT政策実施機関として事業を行うIPAとともに「2022年度EC加盟店サイトセキュリティガイドライン検討委員会」を立ち上げ、公開されたのが「ECサイト構築・運用セキュリティガイドライン」だ。
「ECサイト上での個人情報およびクレジットカード情報の流出事件は、後を絶ちません。また、影響範囲や被害額も年々大きくなる一方です。一般社団法人日本クレジット協会の統計情報によると、2022年のクレジットカード不正利用被害額は436.7億円。そのうち、eコマースなどの非対面取引で主に起きる番号盗用被害は411.7億円で、これは過去最高額です」(板橋氏)
(写真左)独立行政法人 情報処理推進機構 セキュリティセンター セキュリティ対策推進部 脆弱性対策グループ 主任 山下恵一氏
IPAのセキュリティセンターでは、これまで脆弱性対策、ビジネスメール詐欺(BEC)対策、制御システムやIoTのセキュリティ対策など、事業を安全かつ円滑に回すための提言を様々な角度から行ってきた。しかし、EC事業者向けにこうした情報発信をするのは、今回が初めてだという。
「個人情報の盗用・悪用が起きる根本の原因をたどると、セキュリティの脆弱性を突いたサイバー攻撃によるものがほとんどです。前出した日本クレジット協会も、加盟店や消費者向けにオンライン・オフライン双方の商取引に関する情報提供や注意喚起を様々な視点から行っていますが、コロナ禍を機に、大企業のみならず中小企業や個人事業主まで、多くの方々がECサイトを開設するようになり、影響範囲が大きくなりました。
IPAでは、脆弱性を専門とする研究者や消費者(利用者)からの届け出を基に脆弱性情報の流通、対策の依頼を行うなど、被害を最小限に抑える活動を行っていますが、そもそもこうした被害を未然に防ぐには、各社のセキュリティに対するリテラシー向上が必須です。そこで、大規模な投資が難しいながらも狙われやすい中小企業のEC担当者に向けてセキュリティ対策の重要性を伝えるべく、同ガイドラインの作成を決めました」(板橋氏)
