オンラインショップのセキュリティ対策とは？重要性や対策方法、被害事例を紹介

なぜオンラインショップではセキュリティ対策が重要なのか

オンラインショップの拡大につながった背景にあるのが、コロナ禍です。感染症対策として自宅で過ごす時間が増えたことで、非対面非接触で買い物ができるオンラインショップでの「巣ごもり消費」の需要が伸びました。総務省発表の「令和3年　情報通信白書」によると、コロナ禍に入った2020年3月よりオンラインショップを利用する世帯が急速に増加していることが分かっています。

ンラインショップも物品販売のほか食事のデリバリーをはじめ、提供するサービスも多様化しています。オンラインショップを利用するユーザーの母体が増えたことを受けて、安心して利用できるオンラインショップの構築のために、セキュリティ対策の強化が求められていると言えるでしょう。

個人情報の保護

オンラインショップは通常のコーポレートサイト（企業サイト）やサービス紹介サイトなどとは異なり、多くの顧客データを取り扱います。顧客データには住所氏名と言った個人情報から、口座番号やクレジットカード番号などの資産に直結する情報が含まれる割合も多めです。

犯罪者にとって価値のある情報が多いことから、オンラインショップはサイバー攻撃の標的になりやすいと言えるでしょう。取り扱う個人情報をサイバー攻撃から保護するためにも、オンラインショップのセキュリティ対策強化が求められています。

信頼性とブランド価値の向上

万が一顧客データの流出やクレジットカードの不正利用といったセキュリティインシデントが発生してしまった場合、企業やブランドの信頼損失につながります。たとえセキュリティインシデントによる直接的な被害はなかったとしても、セキュリティ対策が十分にされていない企業と判断され、顧客離れやブランドのイメージダウンなどにつながってしまうでしょう。

企業としての信頼性やブランドの価値を上げ、利益を上げていくためにもセキュリティ対策は必須です。

オンラインショップにおけるセキュリティ対策の強化方法

オンラインショップのセキュリティ対策には、さまざまな方法があります。具体的なセキュリティ対策を強化させる方法を解説します。

SSL/TLSの導入

SSL（Secure Sockets Layer）およびTLS（Transport Layer Security）とは、インターネット上でデータを送受信する際に、暗号化する仕組み（プロコトル）のことです。オンラインショップ利用時、個人情報やクレジットカードなどの機密データの送受信をインターネット上で行います。送信された機密データは、そのままでは悪意のある第三者に盗まれる可能性があります。そこでSSLやTSLによってデータを暗号化することで安全にデータをやり取りし、情報を守ることができます。

一般的なECサイトモールやショッピングカートを使ってオンラインショップを構築した場合、SSLやTLSがデフォルトで実装されていることがほとんどです。ただしフルスクラッチやパッケージ、オープンソースで自社サーバー内にオンラインショップを構築した場合、SSLやTSLが実装されていない場合があるため、導入する必要があります。

SSLについてはこちらの記事でくわしく解説しています。

SSLとは？目的や重要性をセキュリティ対策の観点も踏まえてわかりやすく解説

二段階認証の実施

二段階認証とは、オンラインショップでのログインや決済時、IDやパスワード入力だけでなく他の手段も追加して認証を行う方法です。たとえばIDやパスワード入力後登録した携帯電話へのSMSやメールアドレスへのメールにワンタイムパスワードを送信し認証したり、アプリによる認証を追加したりといった手段があります。

二段階認証を導入することで、正規のユーザー以外の不正アクセスを防止できます。

3Dセキュアの利用

3Dセキュアとは、インターネット上でクレジットカード決済を行う際に本人認証を行うサービスです。クレジットカードでの決済時、クレジットカードや有効期限、カード名義などの情報のほか、あらかじめクレジットカード発行会社で登録したIDやパスワードを入力することで、なりすましやクレジットカードの不正利用を防止できます。

2022年10月以降、クレジットカードの不正利用のリスクが高いと判定された場合にのみ、IDやパスワードの入力が求められる「リスクベース認証」を採用した 3Dセキュア2.0（EMV 3-Dセキュア）が導入されています。従来の3Dセキュアはすべてのクレジットカード決済時にIDやパスワードの入力を求められたため、決済のわずらわしさを感じたユーザーによるカゴ落ち（商品をカートに入れているものの購入されない現象）も多く発生していました。

3Dセキュア2.0が公開された後は、不正使用のリスクが高い場合にのみIDやパスワード入力が求められるようになり、セキュリティ対策をしつつカゴ落ちリスクの低下にもつなげています。

定期的なセキュリティアップデート

オンラインショップの構築や運用に利用しているシステムやアプリケーション、サーバーや周辺機器は定期的にアップデートを行いましょう。オンラインショップを狙ったサイバー攻撃は、システムやアプリケーションの脆弱性を狙います。常に新しい攻撃を仕掛けてくるため、オンラインショップやユーザーの情報を守るためにも、システムや機器の脆弱性を解消するためのアップデートは必須となります。

オンラインショップの構築にECサイトモールやプラットフォームなどのサービスを利用している場合は、サービスの提供側でアップデートが行われる場合がほとんどです。ところが、フルスクラッチやオープンソースなど自社でオンラインショップを構築している場合、定期的にシステムやアプリケーションのアップデートを自社側で行う必要があります。アップデートには時間や費用がかかるため、計画的に行うようにしましょう。

運営者の知識向上

オンラインショップでのセキュリティインシデントは、外部からの悪意のある第三者が原因であるものだけではありません。内部の運営者側が原因で引き起こされるものもあります。たとえば自社の社員が記録媒体の置忘れや紛失、システムの操作ミスなどによって個人情報が流出してしまうこともあります。

オンラインショップのセキュリティ対策は、外部の攻撃への対策だけでなく、従業員や運営者といった内部でのセキュリティ教育の徹底も重要です。不正アクセスや不正注文などオンラインショップで起きる可能性のあるセキュリティインシデントを学ぶとともに、オンラインショップの運用やシステム操作、情報取り扱い時のルールを策定し、徹底するようにしましょう

また、内部の悪意のある従業員や運営者によって情報が外部に持ち出されたり、流出されたりする可能性もあります。セキュリティ教育の徹底とともに、システムの操作ログの取得、アクセス権限の付与といった内部での犯行を防ぐための対策も行いましょう。

不正アクセスや不正注文等の被害事例

オンラインショップのセキュリティ対策として、実際にオンラインショップで発生するセキュリティインシデントの内容や被害を学ぶことも重要です。実際の手口や被害を学ぶことで、セキュリティ対策への高い意識付けにもなります。

自社や自店舗のセキュリティ教育にも役立つ、不正アクセスや不正注文等の実際の被害事例を紹介します。

顧客データの流出

オンラインショップの利用者（ユーザー）の個人情報が外部に流出してしまった事例です。「世界的にも有名なキャラクターのオンラインショップ」では、2023年10月12日にサーバー負荷分散システムの誤設定により障害が発生し、最大145人の個人情報が漏洩した可能性があると発表しました。マイページや注文手続きページにて違う利用者の個人情報が表示される事態が発生し、利用者の住所、氏名、電話番号などの個人情報のほか利用者の子供のニックネームや生年月日、性別、クレジットカード番号の下3桁と有効期限、注文情報や金額などの情報が流出した恐れがあります。

金融情報の不正利用

不正アクセスによって利用者のクレジットカード情報が盗まれ、不正利用された事例です2023年8月、愛知県内の菓子メーカーのオンラインショップにて、不正に入手した他人名義のクレジットカード情報を使用し、およそ40万円分の菓子がだまし取られました。逮捕された犯人はだまし取った菓子類をフリマアプリなどで転売することで、利益を上げていたこと、さらに同様のケースが全国の菓子メーカーのオンラインショップで発生したことも分かっています。

不正注文

オンラインショップを狙った不正注文の手口も多発しています。たとえば他人の個人情報とクレジットカード情報を悪用し、本人になりすまして商品を注文し、受け取る「なりすまし注文」の手口があります。なりすまし注文による注文と発覚した場合、チャージバックによって売り上げは取り消されクレジットカードの支払いはストップされるものの商品は発送した後となります。つまり、オンラインショップ側は商品を失ったまま、さらに売り上げも入らないため多額の損失となる可能性も高いです。特に自動配送システムを導入している場合、注文完了後不正注文であることが発覚する前に配送手続きに入ってしまいます。

不正注文は転売がしやすいブランド品やゲーム機器、チケット、AV機器、健康食品などがターゲットとされます。不正注文で悪用される個人情報やクレジットカード情報はオンラインショップから盗まれる場合も多いため、セキュリティ対策が重要です。

詐欺行為

商品を受け取った後に、悪質なクレームや言いがかりによって返金を求める詐欺行為の手口もあります。たとえば実際にまったく問題のない商品を発送したにも関わらず「壊れていた」「イメージと違った」などのクレームをつけて返金を求めたり、「健康被害が出た」などの言いがかりによって損害賠償を求められたりといったケースがあります。特にオンラインショップは決済や商品の受け渡しを非対面で完結できることから、実店舗よりも詐欺のターゲットにされてしまうことが多いかもしれません。

詐欺行為対策としては、クレームや言いがかりへの正しい対応方法を社内で徹底したり、悪質な場合は弁護士などに相談したりといった方法が有効です。

オンラインショップの導入方法

これからオンラインショップの運用を検討している場合、まずオンラインショップを構築しなければいけません。セキュリティ面でのメリット・デメリットを踏まえた代表的なオンラインショップの導入方法を紹介します。

フルスクラッチで立ち上げる

フルスクラッチとは、自社サーバー内で1からオリジナルのオンラインショップを立ち上げ、運用する方法です。オンラインショップのデザインからシステム、機能まで完全オリジナルでつくっていくため、デザイン性、機能性においてカスタマイズ性の高いオンラインショップが構築できます。オリジナリティの高いオンラインショップを構築したいときや、独自の機能や既存システムと連携したオンラインショップを運用したいときなどに向いています。

オリジナルのオンラインショップを構築するため、オンラインショップが出来上がるまでの期間は長く、費用も高くなる傾向にあります。またオンラインショップの運用はもちろん、保守管理や点検、SSLや二段階認証、3Dセキュアなどの導入や定期的なアップデートといったセキュリティ対策も自社で行う必要があります。セキュリティ対策の手間や費用についても検討が必要です。

Shopify（ショッピファイ）などのプラットフォームを利用する場合

Shopifyをはじめとした、オンラインショップの構築ができるプラットフォームを利用する方法です。サービス提供元のクラウドサーバー上にオンラインショップを構築するため、自社側でサーバーの構築や管理をする手間はありません。さまざまなデザインのテンプレートも用意されているため、初心者でもかんたんにオンラインショップを構築できます。

フルスクラッチと比較するとデザインや機能性などのカスタマイズ性は劣りますが、セキュリティ対策もプラットフォーム側で行っているメリットもあります。オンラインショップでのセキュリティ機能の導入やアップデートの手間もなく、安全な環境でオンラインショップの運用が実現します。オンラインショップの構築費用はフルスクラッチと比較すれば抑えられますが、搭載する機能に応じて手数料や月額の利用料金が高額になる場合もあるため、自社に必要な機能とコストのバランスを考えたうえでプランを契約するのが重要です。

ECプラットフォームでのオンラインショップ構築は、保守点検やアップデートなどのセキュリティ対策の手間もなくオンラインショップを運用したいときに向いています。オリジナリティはフルスクラッチには劣るものの、オンラインショップ構築のプロに任せることで、デザインや機能でも満足できるオンラインショップを立ち上げることも可能です。たとえばオニオン新聞社が運営する「チームNext!」では、代表的なECプラットフォームであるShopifyを利用し、幅広い業種にオンラインショップの構築を行った実績があります。

オンラインショップの導入はオニオン新聞社にお任せください

これから安全性の高いセキュリティ対策を行ったオンラインショップの運用を検討しているなら、ぜひオニオン新聞社が運営する「チームNext!」へご依頼ください。オンラインショップの構築のほか、ショップの運用や管理も代行します。既存のオンラインショップのセキュリティ対策に不安がある場合のセキュリティ対策強化も可能です。ぜひお気軽にご相談ください。

オンラインショップの導入事例

オニオン新聞社が構築したオンラインショップの事例を紹介します。

呂久呂オンラインストア

ミルクで割るだけで本格カフェオレが楽しめる「カフェオレベース」や、そのまま本格コーヒーを手軽に楽しめる「ストレートシリーズ」をはじめとした、オリジナルのコーヒー関連商品を取り扱う「呂久呂オンラインストア」を構築しました。まるでコーヒーやカフェオレの香りが画面からしそうな、やさしいブラウンベースのデザインにまとめています。

NAGANOSAKE.JP

長野県の日本酒・ワイン・ビールを取り扱う地酒専門サイト「NAGANOSAKE.JP」を構築しました。お酒の種類や蔵元から検索ができ、欲しいお酒を探しやすいユーザー目線でのインターフェースを採用しています。蔵元紹介や日本酒銘柄一覧など、ショッピング以外にも知りたい知識が得られるページも構築しました。

aurochs ONLINE STORE

現役の美術塗装・特殊塗装家のプロが監修した「ホビーを楽しくするツールブランドである「aurochs（オーロックス）」のオンラインショップを構築しました。カテゴリ別に取り扱い商品を検索できるほか、おすすめ商品をトップページにピックアップするなど、ツール初心者も商品を手に取りやすいサイトデザインを採用しています。