なぜ今、ECセキュリティが叫ばれるのか
近年、サイバー攻撃の手口はますます巧妙化・大規模化している。かつては「日本語」という言語がある種の壁として機能していたが、生成AIの発展によりほぼ撤廃され、今や世界中から標的にされかねない状況であることを私たちはまず自覚しなければならない。
「ECサイトは決済、配送情報など多くの個人情報を扱うため、特に気を引き締めなければなりません。外部脅威の拡大を受け、関連機関もセキュリティ対策に関する情報発信の強化や、ガイドラインのアップデートを行っています。ぜひチェックして最新の対策を行っていただきたいです」(松本氏)
代表的なのは、2023年10月に独立行政法人情報処理推進機構(IPA)によって公開された「ECサイト構築・運用セキュリティガイドライン」と、2025年3月に改定された「クレジットカード・セキュリティガイドライン[6.0版](PDF)」だ。ガイドラインでは、ECサイト運営やクレジットカード取引に携わる事業者・担当者に対し、求められる対策とその重要性などが説明されている。
「特に注目すべきは、どちらのガイドラインにも記載されている『脆弱性対策』と『不正利用対策』です。脆弱性診断はECサイト構築・運用セキュリティガイドラインでECサイトのセキュリティ対策の必須要件として掲げられており、クレジットカード・セキュリティガイドライン[6.0版]でも、クレジットカード番号などの漏えいを防ぐため、対策を講じるよう求められています」(金澤氏)
これらは直接的な法的拘束力は現状ないものの、個人情報保護法やクレジット取引に関連する割賦販売法を遵守する上で欠かせない要素となっており、EC・通販事業者は事実上の義務化と捉えるべき項目といえる。
しかし、対策の必要性は理解していても「専任のセキュリティ担当者がいない」「リソースが足りない」などの理由から、特に中小の事業者を中心に対応が後手に回っているケースも少なくないという。
「当社にも『セキュリティ対策は、何から手をつけたら良いのか』といった相談が多く寄せられます。セキュリティと一口にいっても、個人情報の漏えい対策から不正決済の対策、システムそのものの脆弱性対策と非常に幅が広いです。そのため、私たちはまずお客様に『本当に守らなければいけないものは何か』を定義してもらうようにしています」(松本氏)
「もちろんすべて強固な対策をすべきですが、その中でも優先順位づけは必要です。それすらも判断が難しい状況であれば、“健康診断”として『DiaForce』などを活用したセキュリティ診断の実施をご提案します。システムそのものの診断や、ECサイトの運用実態もヒアリングした上で最重要領域とアプローチの広げ方を決めると、道筋が見えてくるはずです」(金澤氏)
セキュリティ事故増で変化する消費者の意識 今必要な“カゴ落ち対策”とは
EC事業者・担当者にとって、クレジットカードの不正利用や転売防止といった「売上に直結しやすい不正注文対策」は比較的身近に感じられるはずだ。ところが、ログイン時の多要素認証や決済時の3Dセキュアなど、いわゆる購入までのステップが増えてしまう対策について、「離脱を恐れて導入に二の足を踏むケースもこれまで少なくなかった」と振り返る金澤氏。
「『いかに最短距離で購入までたどり着いてもらうか』を極める方からすれば、ステップが増える=離脱が増えると考えられても無理はありません。ただし、ニュースでもセキュリティ事故を見聞きするケースが増えたからか、近年はEC事業者内の常識も変わりつつあると感じています」(金澤氏)
「変化のきっかけは、消費者側から起きていると私は認識しています。金澤も話すように、個人情報流出など自分ごと化しやすいセキュリティ事故がニュースなどで報じられるケースも増えました。こうした事象によって消費者のリテラシーもアップデートされ、数年前までは面倒だと感じられていた多要素認証も『自分を不正決済などの被害から守ってくれる“あってしかるべきもの”』という認識に変わりつつあります」(成実氏)
ログイン時や決済時に認証のステップを挟むことが一般化しているのであれば、こうした手続きを踏まないECサイトに不安を抱く可能性もある。「このような常識の変化にも敏感になってほしい」と成実氏が語った上で、松本氏はこう補足した。
「3Dセキュア2.0では、AIが取引のリスクを自動判定し、本人確認が必要な疑わしい購入の場合のみ認証を求める『リスクベース認証』が採用されるなど、購入者全員に面倒な手続きを踏ませないような工夫も増えています。セキュリティ技術も日進月歩で進化を遂げているので、かつての常識にとらわれず、快適性と安全性を両立した方法を追求してみてはいかがでしょうか」(松本氏)
価格戦略・魅力ある商品展開の前に“信頼の土台”をアップデートしよう
EC事業者・担当者が最も恐れる顧客離れ。それを本質的に抑制するには、購入までのステップを減らすといった目先のカゴ落ち対策ではなく、「しっかりしたECサイトである」と信頼を得ること、つまりブランド価値の向上が必要となる。
「セキュリティ対策は、長らく『守りの施策』と認識されてきたかと思いますが、ブランド価値の構築に寄与する要素、つまり『攻めの施策』の土台として必須だと認識していただきたいです。
価格戦略を練ったり、どんなに魅力ある商品を揃えたりしても『安心安全に買えるECサイト』でなければ最終的に選ばれません。買い物に不安を与えないよう、各種ガイドラインで明示されている『必須』の項目だけでなく、『必要』『推奨』と区分されている要件にもできるかぎり対応いただくよう、私たちはお願いしています」(成実氏)
そうはいっても、特に中小規模の事業者は「ECサイト運営に手一杯でリソースが足りない」「社内にセキュリティ専門のエンジニアが存在しない」といった課題を抱えているケースが多いだろう。ラックでは、個社でのセキュリティ対策が困難な事業者のパートナーとなるべく、セキュリティソリューション事業とシステムインテグレーション(SI)事業の二本柱でサポートを行っている。
「単なるセキュリティ対策だけでなく、基幹システムや周辺サービスとの連携なども含めた改修案をトータルでご提案、伴走できるのが当社の強みです。セキュリティ診断と改修を実施するベンダーが別だと、要件定義や調整の手間が増えてしまいますが、ラックでは窓口を一本化できます」(成実氏)
コロナ禍のECサイト開設ラッシュから5年ほどが経過し、「当社のSI側に寄せられる相談も、新規構築からリニューアルへと変化している」と語る松本氏。こうした行動を起こすきっかけは売上規模の拡大、チャネル連携増によるセキュリティ懸念など様々だが、ラックと手を組み対策を行うメリットについて、同氏は最後に改めてこう強調した。
「当社は、セキュリティ診断やコンサルティング、ソリューション提供をするだけでなく、研修など教育サービスの提供も行っています。ECサイト運営に追われてなかなかセキュリティトレンドの把握にまで手が回っていないというクライアント様には、必要に応じた情報共有や社内全体のリテラシーが向上できるような施策提案を、成長戦略を描きたい場合は、セキュリティソリューション事業とSI事業双方の視点からベストマッチなアドバイスも可能です。攻めと守りのバランスを取った経営を進めるパートナーとして、ぜひラックをお選びいただければと思います」(松本氏)
