2017/3/8

ECサイトのセキュリティ対策~個人情報漏えい事件から考える~



個人情報保護が叫ばれて久しいですが、セキュリティ対策をしているつもりでも、情報漏えいは様々な理由で起こります。
近年起こった情報漏えい事故・事件をまとめますので、どのような対策が考えられるかを考えていきましょう。

http://ec-cube.ec-orange.jp/blogs/wp-admin/edit.php

個人情報漏えいはどのように起こっているか

派遣社員がUSBメモリで持ち出した顧客名簿:教育関連企業


2014年頃より、教育関連企業の顧客にダイレクトメール等が頻繁に届くようになり、調査したところ、3500万件以上の個人情報が名簿業者に転売されていました。
個人情報はUSBメモリで持ち出されており、USBメモリなどの個人使用を禁止する必要があります。
外付けデバイスの持ち込みを禁止することで、外部への持ち出しを防ぐことができます。
ちなみに、個人情報が保存されたノートPCなどを置き忘れる、紛失することは情報漏えいの原因の1位となっています。

また、この事件は、金銭的に困窮した下請け会社の社員が故意に起こした事件でした。
データセンター等に出入りする業者の身分をしっかりと確かめることも必要でしょう。

データベースへの不正アクセスが原因で個人情報が流出:印刷通販会社


2016年に起こった印刷通販会社のクレジットカード情報漏えい事件は、不正アクセスによって個人情報だけでなく、クレジットカードの情報まで漏えいしてしまいました。
395件の漏えいが確認されたのですが、どの顧客の情報かが特定できないため、全部で192,594件を流出の可能性がある情報とすることとしました。
当初は、クレジットカードの情報は保持していないと発表されていたのですが、調査の結果、顧客データベースにクレジットカード情報が含まれていることがわかりました。
対策としては、不正アクセスが起こった場合はただちに外部との通信を遮断し、データベースから顧客情報を削除すること、また、プログラムの修正を早期に行うことなどが挙げられます。


アプリケーションのシステム脆弱性を突かれる場合:オンラインショップ


あるオンラインショップでは17,085件の情報が流出してしまいまいました。
アプリケーションのシステムの脆弱性を突かれて、不正アクセスを受けてしまったものです。
アプリケーションやシステムの脆弱性は、常に発見されてはパッチが当てられ、また破られるというイタチごっこが続いています。
そのため、常に最新バージョンにしておくことが重要です。
とくに、使っているアプリケーションのセキュリティ情報には気を配り、常に最新バージョンにしておくことをこころがけましょう。

不正アクセスを引き起こした内部要因:大手化粧品会社の子会社


大手化粧品会社の子会社でも、42万人分の個人情報と、5万人分のクレジットカード情報が漏えいしました。
親会社とは独立したシステムだったため、親会社のデータベースは無事だったものの、やはり信用低下やイメージダウンは避けられない事件でしょう。
外部からの脆弱性を突いた不正アクセスが直接の原因でしたが、内部でのセキュリティ対策に対する事実誤認や管理ミスがあったため、不正アクセスを防げなかったとも発表されています。
不正アクセスだけでなく、内部の管理ミスや運営会社に丸投げしていた体制の問題でもある事件です。


エクセルファイルの操作ミスでマイナンバー漏えい:地方自治体


地方自治体マイナンバー漏えい事故は、地方自治体によるマイナンバーを誤送付してしまった人為的ミスによる事故です。
担当者のエクセルの誤操作が原因とされています。これらを防ぐには、ダブルチェックが有効です。
人力の作戦になりますが、役所などのシステムでは、人の目によるチェックが有効です。
印刷されたマイナンバーと送付先が合致しているかを確認する工程があれば、このような事故は起こりません。
今回の事故は、送付前にチェックしていれば防げた事故です。

情報漏えいの原因と影響


前項では外部からの不正アクセスが原因の情報漏えい事件について多く取り上げましたが、実は内部での管理ミスや不注意・知識不足による取り扱いミスが全体の8割を占めています。


出典:2015年 情報セキュリティインシデントに関する調査報告書(日本ネットワークセキュリティ協会)

http://www.jnsa.org/result/incident/


外部からの不正アクセスはなかなか防ぐのが難しいのですが、常にシステムを最新版にアップグレードすることで、防衛することができます。
人為的なミスについては、個人情報を持ち出さない、個人情報が保存されたデバイスを放置しない、アクセス権限などを他人に譲渡しない、など、組織的にも個人的にもセキュリティに対する意識を常に持って行動することで、低減できるでしょう。

もしも情報漏えいしてしまった場合、企業や顧客に及ぶ影響は計り知れません。
社会的信用が低下するだけでなく、原因を追究し、対策を取るまではそのサービスを停止しなければならないため、売上も大きく減少するでしょう。
また、クレジットカードの再発行の手数料を負担する、お詫びの金品を送付するなど、金銭的な負担も発生します。
補償や第三者機関への調査費用もかかりますし、ダメージは大きなものとなります。

クレジットカード情報が漏えいしてしまったら

これらが起こってしまった場合、できる対策は数多くあります。
該当サイトを利用停止し、第三者機関による調査を行い、クレジットカードのモニタリング、また、セキュリティ対策を厳重にして、所轄警察への報告と、所轄官庁への報告を行います。
また、お客様窓口なども設けると良いでしょう。電話はフリーダイヤルで設けるのがベストです。

ECサイトが取るべき対策のひとつ、トークン決済


さらに、ECサイトが取るべき対策のひとつとして有効なシステムがトークン決済です。
トークン決済とは、決済時に決済代行会社にカード番号を送信した後、トークン(鍵)を渡してもらいます。トークンは意味のない文字列ですので、第三者が盗み見ても分からないようになっています。
トークン決済を利用すれば、ECサイト側ではクレジットカード情報を保持しない上に、処理もしないため、クレジットカード決済を利用しながらもクレジットカードの情報が残りません。
トークンが漏えいしてしまったとしても、それは意味のない文字列ですので、他のサイトで不正利用することができないのです。

トークンには有効期限があるので、一定時間が経過したり、一度利用されたりすると、それ以上はもう無効になるので安全です。
JavaScriptを使用しているブラウザからなら、購入者が入力するクレジットカード番号を送信し、トークンに置き換えて、返信します。支払を完了したとき、情報漏えいのリスクが極めて軽減されるのが特徴です。
加盟会社はクレジットカードの番号を処理することなく、決済処理が完了しますので、自社のデータベースにクレジットカード情報を保存する必要がありません。


2020年の東京オリンピックに向けて


2020年の東京オリンピックでは、4000万人もの外国人が日本を訪れるとされています。そうなるとクレジットカード決済は必須です。
そのため、各社セキュリティの対応に力を入れています。
また、まだまだ未知の漏えいルートがあるかもしれませんので、常に他社の動向をチェックして、セキュリティの情報に気を配りましょう。
2020年頃までに、日本はセキュリティ大国を目指して、情報セキュリティ対策を高める必要があります。

不正アクセスは、おもに中国からのものが多いようです。
アクセスログを常にウォッチし、中国からの怪しいアクセスがあったら、ただちにセキュリティレベルを上げるなどして警戒しましょう。
また、USBメモリなどを持ち込ませないなどの対応も有効です。
セキュリティゲートをもうけて、外部メモリと顧客データベースを接触させないなどの手段も有効です。
一旦情報が流出すると、その損失は計り知れません。
セキュリティ対策を講じて企業の社会的信用を守る必要があります。

ECサイトパッケージとトークン決済の連携

EC-Orangeでは、トークン決済が可能になる「セキュリティ強化パッケージ」をご提案しています。
ぜひお問合せください。



>>トークン決済とECサイトパッケージの連携についてのお問合せはこちらから


運営者

  • 株式会社エスキュービズム
  • 〒105-0011 東京都港区芝公園2-4-1芝パークビル A館 4階
  • TEL : 03-6430-6730(代表)
  • HP:https://s-cubism.jp/