SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

ECzine Day(イーシージン・デイ)とは、ECzineが主催するカンファレンス型のイベントです。変化の激しいEC業界、この日にリアルな場にお越しいただくことで、トレンドやトピックスを効率的に短時間で網羅する機会としていただければ幸いです。

最新イベントはこちら!

ECzine Day 2024 Autumn

2024年8月27日(火)10:00~19:15

ECホットトピックス(AD)

ECサイトの個人情報はなぜ狙われるのか 「セキュリティは全員参加」アラタナ×さくらインターネット対談

ECサイトから情報漏えい!といったニュースが相次ぐなか、大半のサイトが適切な対策を施せていないのが現状だ。どのような危険があり、何から始めるべきなのか。800を超える独自ECサイト構築の実績を持つアラタナで、最高情報セキュリティ責任者を務める取締役・松野真一さんと、さくらインターネットの増田崇志さんに対談してもらった。

そこに個人情報がある限りECのセキュリティは他人事じゃない

増田(さくら) 今、ECサイトへの不正アクセス、情報漏えいといったニュースが次々と出てきますが、わかりやすく言うと、ECサイトはどういった危険にさらされているのでしょうか。

株式会社アラタナ
取締役CISO
松野真一さん

松野真一(アラタナ) 最も狙われているのはアカウント情報です。まず、ECサイトを攻撃して個人情報やクレジットカード情報を不正に取得し、利用するというパターンがあります。

 そこからさらに、ショップAで入手したID・パスワードをショップBで利用して、そこで不正な買い物をしたり、そのサイトからも情報を盗み取ったりする二次被害、三次被害に拡大する事態も起きています。残念ながら、ユーザーの大半がID・パスワードを使い回しているという調査結果も出ていますからね。

増田(さくら) ECサイトが持っている情報は、残念ながら悪い人たちには魅力的だということですね。アラタナさんは800を超える独自ECサイトの制作実績をお持ちですが、EC事業者側さんの意識や、実際の対策はいかがでしょう。

松野(アラタナ) 大規模なEC事業者さんを中心に、こうした状況を勉強され、高い問題意識をお持ちの方も増えています。しかしながら、売上規模の大きい、著名なECサイトだけが狙われるわけではありません。そこに個人情報があれば、規模を問わず狙われますので、同じレベルで対策していかなくてはならないのですが、大半のサイトは対応しきれていないというのが実態ではないでしょうか。

 とはいえ、セキュリティの専門家をECサイトの数だけ揃えられるかというと、コストや人材不足などの問題で難しい。すると、ベンダーなど支援業者に任せることになりますが、その際のパートナー選びが非常に重要です。

増田(さくら) なるほど、パートナー選びの基準などがあれば教えてください。

松野(アラタナ) たとえば当社では、ソフトウェアなどへの対応状況を逐次開示し、それをご覧になってEC事業者様からお問い合わせいただいた際には、包み隠さず報告しています。情報開示は基本ですよね。

 また、当社のネットショップ構築パッケージ「カゴラボ」で利用している、オープンソースの「EC-CUBE」のセキュリティ・ワーキンググループを作ったり、メガバンクさんも参加されている、日本コンピュータセキュリティインシデント対応チーム協議会にも参加しています。

 必ずしも利益にはつながらないけれど、全体のセキュリティレベルを上げようとする活動に取り組んでいるかも、判断基準の1つになるのではないでしょうか。

増田(さくら) 無償でインターネットの安全に貢献していらっしゃるのは素晴らしいですね。一方で、多くのEC事業者さんが対応できていない原因の1つに、やはりコストの問題があると思います。セキュリティ対策は何かが起きないように取り組むものですが、まだ何も起きていないのにコストがかかることに難色を示される方も少なくありません。

 ですが、そもそもセキュリティ対策をプラスでオンしなければいけないという考えかたが問題ではないでしょうか。システム提供側として、パッケージの中にセキュリティ対策は一式揃っているのが当たり前になるべきだと考えています。

さくらインターネット株式会社
営業部 営業支援グループ マネージャー
増田崇志さん

松野(アラタナ) おっしゃるとおりですね。北海道大学・町村泰貴教授のブログ「個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例」等でも紹介されていましたが、あるECサイトからクレジットカード情報が流出した問題で、十分なセキュリティ対策がとられていなかったとして、システムを納入したベンダー側に損害賠償を支払うよう命じた判例があります。

 これはEC事業者さんにも無縁の話ではありません。ベンダー側がセキュリティ対策を提案したにもかかわらず、たとえばコストの関係で対策を怠れば、過失はEC事業者側に問われることになるでしょう。ECサイトのセキュリティ対策は、法的にも取り締まられるようになっているわけです。

次のページ
「セキュリティは全員参加」 意識せずともECが使える世界へ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ECホットトピックス連載記事一覧

もっと読む

この記事の著者

ワダ スミエ(ワダ スミエ)

2013年11月11日〜2023年3月31日までECzine編集部在籍。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事をシェア

ECzine(イーシージン)
https://eczine.jp/article/detail/1804 2015/06/01 15:31

Special Contents

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

ECzine Day(イーシージン・デイ)とは、ECzineが主催するカンファレンス型のイベントです。変化の激しいEC業界、この日にリアルな場にお越しいただくことで、トレンドやトピックスを効率的に短時間で網羅する機会としていただければ幸いです。

2024年8月27日(火)10:00~19:15

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング