経営者が認識すべきセキュリティガイドライン

EC市場が盛り上がるにつれ、サイバー攻撃も増えています。昨今ではサプライチェーン全体を狙ったサイバー攻撃も増えており、経営者がリーダーシップを発揮してセキュリティ対策を考えなければなりません。

サイバー攻撃の多様化に伴い、国が提示しているガイドラインでは経営者層がすべきことも明記されるようになりました。

この記事ではECサイトへのサイバー攻撃について、経営者が知っておきたいセキュリティガイドラインや国内の被害事例をご紹介いたします。

多様化するサイバー攻撃に必要となるセキュリティガイドライン

経済産業省やIPAが提示しているセキュリティガイドラインでは、経営者が行うべきことも明記されています。ここでは、その詳細について見ていきましょう。

経済産業省はセキュリティガイドラインを2023年3月年に改定

2023年3月、経済産業省はIPA(独立行政法人情報処理推進機構)と共同で、サイバーセキュリティ対策において経営者が認識する必要がある事項をまとめた「サイバーセキュリティ経営ガイドライン」を改訂しました。

経済産業省のニュースリリース

https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html

改定の主なポイントはサプライチェーンでつながる関係者を含めたセキュリティ対策や、クラウドなどの最新技術への留意点などです。

サプライチェーンにおけるセキュリティリスクは、関連会社を経由して企業へ侵入したり、ソフトウェアにマルウェアを仕込んだりと巧妙化が止まりません。調達・製造・販売・消費というサプライチェーン一連の流れに潜む弱点に付け込み、間接的に攻撃を仕掛けます。

サプライチェーンを狙うことで、セキュリティ対策が強固な企業を直接攻撃するのではなく、企業の取引先や系列などのセキュリティ対策が甘い企業を足掛かりにします。ここがサプライチェーンのセキュリティリスクの厄介な部分であり、全体的な底上げが必要です。

経営者やEC運営者が主導するべきセキュリティ対策

IPAでは、経営者がすべきことについて以下の7つの重要項目を挙げています。(※)

  1. 1.ECサイトのセキュリティ確保に関する組織全体の対応方針を定める
  2. 2. ECサイトのセキュリティ対策のための予算や人材を確保する
  3. 3. ECサイトを構築および運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する
  4. 4. ECサイトのセキュリティ対策に関する適宜の見直しを指示する
  5. 5. 緊急時(インシデント発生時)の対応や復旧のための体制を整備する
  6. 6. 委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする
  7. 7. ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する

※IPA ECサイト構築・運用セキュリティガイドライン P.20「経営者は何をしなければならないのか」より

https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf

上記の項目について、1~4はセキュリティ被害に遭わないための基本となるセキュリティ対策です。そして5~7については、万が一被害を被った場合に備え、外部の連携や緊急時の対応体制となります。

サイバーセキュリティが増え、サプライチェーンを介したセキュリティ被害が拡大している昨今では、経営者層のリーダーシップの発揮が必要となりました。

部分的な対策ではなく、サプライチェーン全体で対策導入支援が国から求められるようになり、経営者層が主導してセキュリティ対策を講じなければなりません。

経営者がECやサプライチェーンにおけるセキュリティ対策に悩んだ時は、まず上記のようなガイドラインを認識することが重要です。

ECサイトが直面しているセキュリティ被害や課題

実際にどのようなセキュリティ被害を受けているのでしょう。ECのセキュリティ被害の現状や課題について見ていきましょう。

不正アクセスによりECは平均5700万円の売上高を損失

ECのサイバー攻撃被害規模は大きく、前述のIPA資料「 ECサイト構築・運用セキュリティガイドライン 」によるとECサイトの閉鎖期間における売上高の平均損失額は1社あたり約5,700万円です。そして事故対応費用の平均額は2,400万円と大きな費用が発生します。

上記の平均額は約3,000件の顧客情報が漏洩したケースを想定しており、フォレンジック調査、コールセンター設置、DM発送費用などを合わせた総額です。

サイバー攻撃を受けて情報を漏洩した場合、上記のように割り出せる金額だけでなく、「企業の信用失墜」という企業の存続を脅かす損害も免れません。

「予算がない」「リソースが確保できていない」といった理由でセキュリティ対策を怠ると、上記のようにとてつもない損失が発生してしまう。

昨今の国内ECにおけるセキュリティ被害事例

国内ECにおけるセキュリティ被害として最も多いものは、番号登用被害、いわゆる「なりすまし」による被害です。2021年の年間不正利用被害総額のうち、94%はクレジットカードの番号登用による被害であることがわかっています。

なりすましによる犯罪では、①加盟店へのサイバー攻撃、②フィッシング詐欺、③クレジットカードマスター(カード情報をランダムに生成し、実在のカード番号をあてる)の3つが主な手口として知られています。

2020年代に入り、ECへのサイバー攻撃は急増しています。その原因の1つが対面取引の対策強化です。

対面取引の対策が進んだ結果、悪意を持った不正利用の矛先がECサイトへと向くようになってしまいました。ECサイトの脆弱性を突きマルウェアを仕込み、購入者を偽の決済画面へ誘導してカード情報を入力させるなど、悪質かつ巧妙な手口が広がり始めています。

さらにこの手口は最終的に正規の決済画面へ遷移させるため、消費者も悪意ある第三者にクレジットカード情報を渡してしまったことに気づけません。

2022年の被害総額は400億円を超える見込みとなっており、過去最悪を更新する可能性も十分にあります。

過去には大手SNSサービスでは「不適切なデータの取扱いがあった」として、送り主の情報が通信内容に含まれていた事象がありました。本来伝えるべきでない情報ですが、通信内容を分析することで閲覧できる状態になってしまったのです。

上記の事故が発生した原因は誤ったシステムの実装でした。外部攻撃に加え、サービスが多様化することによる内部インシデントの発生も対策しなければなりません。

セキュリティリスクの回避にはガイドラインの順守が重要である

経済産業省とIPAが共同で提示している「サイバーセキュリティ経営ガイドライン Ver.3.0」では、「サイバーセキュリティ経営の重要10項目」として、経営層は以下のガイドラインの順守を呼びかけています。

NO 経営者がリーダーシップをとったセキュリティ対策の推進
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 PDCA サイクルによるサイバーセキュリティ対策の継続的改善
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進

※サイバーセキュリティ経営ガイドライン Ver.3.0 P.14より抜粋

https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf

それぞれ経営者がリーダーシップを取ったセキュリティ対策やインシデント発生時の体制構築など、各段階に沿ったセキュリティガイドラインとなっています。

まずは「指示1」のように経営層がサイバーセキュリティを経営リスクとして認識し、組織全体へ対策方針を策定させるよう呼びかけることがスタートです。

セキュリティポリシーを策定した後も、従業員がすぐアクセスできる場所に提示して周知徹底を図る・企業としての姿勢を示し信頼性を高めるなど、社内外へ働き掛けていきます。

データエコノミー時代を生き抜くサイバーセキュリティ

ECの発達とともに犯罪の標的となり始めている現状を踏まえ、経営者はデータエコノミー時代に即したセキュリティ対策を講じなければなりません。これからの時代を生き抜くサイバーセキュリティについて、最後に重要なポイントをまとめます。

EC事業者のIT投資額は増加傾向にある

まずEC事業者を手掛ける経営者は、今以上のIT投資を行う必要があるという点を認識しなければなりません。

国内企業のIT投資の予算額については全体的に増加傾向であり、電子契約やAI・5G対応、そしてDXの新規導入を考えているケースが多いようです。

DXの一環としてITまわりに予算を多く割いている企業も多いとは思いますが、サイバーセキュリティの関連項目にも費用をかけることが重要です。国内でも大手小売メーカーでは、IT人材の確保に向けて大規模なIT投資策を展開しており、大量採用も始めています。

ビッグデータの取扱いにも要注意

データエコノミー時代に突入し、企業の課題の1つとなっているのが「ビッグデータの取扱い」です。

人の手では到底分析しきれないほど膨大なデータを指すビッグデータは、可能性を感じる一方で、持て余す企業が少なくありません。さらに、ビッグデータの中には個人情報に該当するものが多く含まれている点も企業を悩ます要因の1つです。

ビッグデータの活用を進めるためには、社内連携の強化や積極的なデータ活用が重要となります。ビッグデータについては、【2022年最新】ビッグデータ活用時代における個人情報の取り扱いについて で詳しく解説しておりますので、ぜひご参照ください。

経営者が認識すべきセキュリティ対策について、セキュリティガイドラインや国内における脅威、サイバーセキュリティについて解説しました。

サイバー攻撃は市場の発達にともない増える傾向があり、EC市場も例外ではありません。今回ご紹介したように、経営者が主導となってセキュリティ対策を進める必要があります。セキュリティガイドラインを参考に対策を進め、安心安全なEC基盤を構築していきましょう。