そこに個人情報がある限りECのセキュリティは他人事じゃない
増田(さくら) 今、ECサイトへの不正アクセス、情報漏えいといったニュースが次々と出てきますが、わかりやすく言うと、ECサイトはどういった危険にさらされているのでしょうか。
取締役CISO
松野真一さん
松野真一(アラタナ) 最も狙われているのはアカウント情報です。まず、ECサイトを攻撃して個人情報やクレジットカード情報を不正に取得し、利用するというパターンがあります。
そこからさらに、ショップAで入手したID・パスワードをショップBで利用して、そこで不正な買い物をしたり、そのサイトからも情報を盗み取ったりする二次被害、三次被害に拡大する事態も起きています。残念ながら、ユーザーの大半がID・パスワードを使い回しているという調査結果も出ていますからね。
増田(さくら) ECサイトが持っている情報は、残念ながら悪い人たちには魅力的だということですね。アラタナさんは800を超える独自ECサイトの制作実績をお持ちですが、EC事業者側さんの意識や、実際の対策はいかがでしょう。
松野(アラタナ) 大規模なEC事業者さんを中心に、こうした状況を勉強され、高い問題意識をお持ちの方も増えています。しかしながら、売上規模の大きい、著名なECサイトだけが狙われるわけではありません。そこに個人情報があれば、規模を問わず狙われますので、同じレベルで対策していかなくてはならないのですが、大半のサイトは対応しきれていないというのが実態ではないでしょうか。
とはいえ、セキュリティの専門家をECサイトの数だけ揃えられるかというと、コストや人材不足などの問題で難しい。すると、ベンダーなど支援業者に任せることになりますが、その際のパートナー選びが非常に重要です。
増田(さくら) なるほど、パートナー選びの基準などがあれば教えてください。
松野(アラタナ) たとえば当社では、ソフトウェアなどへの対応状況を逐次開示し、それをご覧になってEC事業者様からお問い合わせいただいた際には、包み隠さず報告しています。情報開示は基本ですよね。
また、当社のネットショップ構築パッケージ「カゴラボ」で利用している、オープンソースの「EC-CUBE」のセキュリティ・ワーキンググループを作ったり、メガバンクさんも参加されている、日本コンピュータセキュリティインシデント対応チーム協議会にも参加しています。
必ずしも利益にはつながらないけれど、全体のセキュリティレベルを上げようとする活動に取り組んでいるかも、判断基準の1つになるのではないでしょうか。
増田(さくら) 無償でインターネットの安全に貢献していらっしゃるのは素晴らしいですね。一方で、多くのEC事業者さんが対応できていない原因の1つに、やはりコストの問題があると思います。セキュリティ対策は何かが起きないように取り組むものですが、まだ何も起きていないのにコストがかかることに難色を示される方も少なくありません。
ですが、そもそもセキュリティ対策をプラスでオンしなければいけないという考えかたが問題ではないでしょうか。システム提供側として、パッケージの中にセキュリティ対策は一式揃っているのが当たり前になるべきだと考えています。
営業部 営業支援グループ マネージャー
増田崇志さん
松野(アラタナ) おっしゃるとおりですね。北海道大学・町村泰貴教授のブログ「個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例」等でも紹介されていましたが、あるECサイトからクレジットカード情報が流出した問題で、十分なセキュリティ対策がとられていなかったとして、システムを納入したベンダー側に損害賠償を支払うよう命じた判例があります。
これはEC事業者さんにも無縁の話ではありません。ベンダー側がセキュリティ対策を提案したにもかかわらず、たとえばコストの関係で対策を怠れば、過失はEC事業者側に問われることになるでしょう。ECサイトのセキュリティ対策は、法的にも取り締まられるようになっているわけです。
「セキュリティは全員参加」 意識せずともECが使える世界へ
増田(さくら) EC市場は伸び続けており、必ずしもネットやセキュリティに強いユーザーだけがECを利用しているわけではありません。ユーザー側のリテラシーも、情報漏えいなどの問題につながっているのでしょうか。
松野(アラタナ) 2通りの考えかたがあると思います。1つは、ネットショッピングをするユーザーの母数が増え、個人情報の価値が高くなっているというもの。もう1つは、これまでも被害はあったけれど、検知されていなかった。それが表に出てくるようになったという考えかたです。
どちらにしても、リスクの部分だけに焦点が集まり、ECを利用する人、ECサイトを開設・運営する人が減ってしまうのは悲しいことです。ECは本来、とても便利なものですから。
その便利さを享受するためにも、「セキュリティは全員参加」という意識を持つべきだと考えます。ECサイトが100あるうち、1つでもセキュリティ対策がとられていないサイトがあるだけで、先に述べたような被害が起こり得ますし、それが原因でECから離れてしまう人が出てくるでしょう。
増田(さくら) 「セキュリティは全員参加」、いい言葉ですね。そのためにはセキュリティへの啓蒙活動と、導入ハードルを下げることが重要だと考えています。
そこで今年2月から、「さくらのSSL」のラインアップの1つとして、「SureServer for SAKURA」という新サービスの提供を始めました。特徴としては、コスト面での導入ハードルを下げるため、クラウドサービスのように月額制の料金体系を設けたことです。SSLサーバ証明書の契約は、年間単位で数万円というプランが多いのですが、先に述べたとおり、まだ何も起きていないのにそのコストは高い、と感じられる方も多いはずです。月額制にすることで、スタートアップなどこれからビジネスを拡大していきたい方が、「とりあえず始めてみよう」と思えるようにしました。
もう1つの特徴として、エンジニアの負担を減らすため、有効期間を最長にしています。業界の決まりとして、数年に一度更新しなければならないので、できるだけその手間を減らして差し上げたい。そこで、通常の企業認証なら3年、EV認証なら2年と最長にして、月額の支払いでもこの有効期間は変わりません。ご自身での設定が難しい場合は、当社で代行することも可能です(別料金)。
| プラン名称 | 月額(税込) | 認証レベル | 有効期間 | ライセンス |
|---|---|---|---|---|
| SureServer EV for SAKURA | 4,860円 | EV SSL | 2年間 | サーバ台数無制限 |
| SureServer for SAKURA | 3,780円 | 企業認証SSL | 3年間 | サーバ台数無制限 |
松野(アラタナ) SSLの導入は、ECサイトのセキュリティを考えるうえで基本中の基本です。役割は、ウェブサイトの運営者のプロフィールを証明する、入力する情報を暗号化するの2つ。サイトのプロフィールを示すことで信頼できるサイトか否かユーザーが判断できますし、情報を暗号化することで盗み見を防ぎます。
しかしながら、2014年から報道されているように、SSL自体の堅牢性が危ぶまれていて、セキュリティ研究家含め、さまざまなエンジニアが脆弱性を探している状況です。そうなると、機動的な対応が求められるので、料金体系が月額制なら入れ替えも迅速に検討できるでしょうから、選択肢の1つとして有効かもしれませんね。
増田(さくら) 当社にご相談いただく方々の中には、「よくわからないけど、SSLを入れないといけないと言われて」といった具合で、「セキュリティは全員参加」というところまで考えが及んでいない方もいらっしゃいます。松野さんがおっしゃったように、SSLは基本中の基本ですから、まずは月額制で導入していただいて、そこからさらに意識を高く持っていただけるよう、啓蒙していきたいと考えています。
松野(アラタナ) ECシステムの歴史を振り返ると、まず便利な機能だけが先行して実装され、セキュリティが後追いになってしまった。セキュリティが実装されるスピードは加速度的に上がってきてはいるものの、そこにスマートフォンなど新しいデバイスが加わるなどして、混沌としているのが現状です。
しかしながらセキュリティは本来、当たり前のことです。水が安全に飲める、空気が安心して吸えるのと同じレベルで、誰もがインターネットを安全に使えるようになるのがセキュリティのゴールではないでしょうか。
そういう安全なECの環境を、さくらインターネットさんと一緒に作っていきたいなと考えています。
