そこに個人情報がある限りECのセキュリティは他人事じゃない
増田(さくら) 今、ECサイトへの不正アクセス、情報漏えいといったニュースが次々と出てきますが、わかりやすく言うと、ECサイトはどういった危険にさらされているのでしょうか。
松野真一(アラタナ) 最も狙われているのはアカウント情報です。まず、ECサイトを攻撃して個人情報やクレジットカード情報を不正に取得し、利用するというパターンがあります。
そこからさらに、ショップAで入手したID・パスワードをショップBで利用して、そこで不正な買い物をしたり、そのサイトからも情報を盗み取ったりする二次被害、三次被害に拡大する事態も起きています。残念ながら、ユーザーの大半がID・パスワードを使い回しているという調査結果も出ていますからね。
増田(さくら) ECサイトが持っている情報は、残念ながら悪い人たちには魅力的だということですね。アラタナさんは800を超える独自ECサイトの制作実績をお持ちですが、EC事業者側さんの意識や、実際の対策はいかがでしょう。
松野(アラタナ) 大規模なEC事業者さんを中心に、こうした状況を勉強され、高い問題意識をお持ちの方も増えています。しかしながら、売上規模の大きい、著名なECサイトだけが狙われるわけではありません。そこに個人情報があれば、規模を問わず狙われますので、同じレベルで対策していかなくてはならないのですが、大半のサイトは対応しきれていないというのが実態ではないでしょうか。
とはいえ、セキュリティの専門家をECサイトの数だけ揃えられるかというと、コストや人材不足などの問題で難しい。すると、ベンダーなど支援業者に任せることになりますが、その際のパートナー選びが非常に重要です。
増田(さくら) なるほど、パートナー選びの基準などがあれば教えてください。
松野(アラタナ) たとえば当社では、ソフトウェアなどへの対応状況を逐次開示し、それをご覧になってEC事業者様からお問い合わせいただいた際には、包み隠さず報告しています。情報開示は基本ですよね。
また、当社のネットショップ構築パッケージ「カゴラボ」で利用している、オープンソースの「EC-CUBE」のセキュリティ・ワーキンググループを作ったり、メガバンクさんも参加されている、日本コンピュータセキュリティインシデント対応チーム協議会にも参加しています。
必ずしも利益にはつながらないけれど、全体のセキュリティレベルを上げようとする活動に取り組んでいるかも、判断基準の1つになるのではないでしょうか。
増田(さくら) 無償でインターネットの安全に貢献していらっしゃるのは素晴らしいですね。一方で、多くのEC事業者さんが対応できていない原因の1つに、やはりコストの問題があると思います。セキュリティ対策は何かが起きないように取り組むものですが、まだ何も起きていないのにコストがかかることに難色を示される方も少なくありません。
ですが、そもそもセキュリティ対策をプラスでオンしなければいけないという考えかたが問題ではないでしょうか。システム提供側として、パッケージの中にセキュリティ対策は一式揃っているのが当たり前になるべきだと考えています。
松野(アラタナ) おっしゃるとおりですね。北海道大学・町村泰貴教授のブログ「個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例」等でも紹介されていましたが、あるECサイトからクレジットカード情報が流出した問題で、十分なセキュリティ対策がとられていなかったとして、システムを納入したベンダー側に損害賠償を支払うよう命じた判例があります。
これはEC事業者さんにも無縁の話ではありません。ベンダー側がセキュリティ対策を提案したにもかかわらず、たとえばコストの関係で対策を怠れば、過失はEC事業者側に問われることになるでしょう。ECサイトのセキュリティ対策は、法的にも取り締まられるようになっているわけです。