セキュリティ&リスクマネジメント
2023年も要注意!Eコマースのセキュリティ
私自身、セキュリティやリスクマネジメントについては、今までいろんなことがありました。私に関係したリスクの数々をザッとあげますと、ある日本当のFBIから警告メール事件、スタッフが夜中にデータ消しちゃった事件、ある大企業のデータをぐちゃぐちゃにしてしまいました。どうしましょう?事件、ある店舗さんがサーバに勝手に変なプログラムをアップロードしてサーバ勝手に再起動事件、C国 B国 I国 M国などからの攻撃を受けまくりサイト連続ダウン、ページ改ざん?ページが真っ白に!されたんだけどどうすれば良い?と夜中に緊急報告されたけど店舗さんが間違って真っ白なページをアップしただけだった事件、なんか最近、勝手に私の銀行に入金がある事件、店舗さん連続100万円近い金額を詐欺にあってしまう事件、データセンターのスタッフがコンセント抜いてしまいましたすべてのECサイトが落ちちゃった事件、T電力から実は冗長化していませんでしたのでいったんすべて電源落とします事件、そして最近の転売ヤー問題などなど本当はもっといっぱいあるのですが、もう文字数足りないのでこの辺で止めておきます。つまり、セキュリティやリスクについてはさまざまな経験をしているということです!(泣)
一般ユーザーがEコマースで購入する場合のトラブルについては、行政や関係団体から注意喚起が出ています。法律も改正特定商取引法(消費者被害の防止及びその回復の促進を図るための特定商取引に関する法律等の一部を改正する法律)やアフィリエイト広告などに対するガイドラインの設置などどちらかと言えば、消費者保護を目的とした施策が進んでいます。一方、Eコマース企業やネット通販を行っている店舗さんに対しての保護も少しずつですが進んできています。今回は、EC企業やネット店舗のためのEC110番という感じで、お話していきます。
ロシアがウクライナに進行する前日に日本のある企業がEmotet(エモテット)にやられてしまい、大きなダウンとなってしまいました。その後、Emotetは日本中に猛威を奮って私の関係者からもどうすればよいかという相談がたくさん来ておりました。確かにEmotetは自分の会社やお客様の名前を使ってメールを送り付けてきますのでついついメールを開いてしまうのですが、実はメールを開いただけでは侵されず、添付ファイルを開くと侵されてしまい、メールの連絡先にまたスパムメールをばらまいてしまいます。このため、添付ファイルさえ開かなければ大丈夫なのですが、大事なお客様からのメールだとついつい添付ファイルを開こうとしてしまいます。しかし、それは明らかにおかしなメールですので、本来ならそこで気づく必要があります。このようなことは常日頃からセキュリティやリスクについて教育をしておく必要があります。中には言うことを聞かない人がいますが、そのような方はECを行う資格がありません。
Eコマースを行う上で、セキュリティやリスクマネジメントはとても重要です。デジタルプラットフォーム側が実施しているからとか、ASP提供会社側がセキュリティ対応しているからと言って、事業者側は安心してはいけません。どんなに優れたシステムでも仕組みで避けられない場合や双方の運用のミスでリスクが発生することはあります。先日も世界最大と言っても良いある仕組みが落ちてしまい、多くのWebサイトの閲覧ができなくなる事象も発生しました。このような時に事業者としてはどのように対応すべきかは、あらかじめ整理しておくと良いでしょう。例えば、モールに出店している場合であれば本店サイトや他のショッピングモールに誘導するのも有りですし、SNSやブログで進捗状況を報告するのも良い手です。社内も情報が来ないと混乱しますので、ユーザーへの対応だけでなく、社内外のチームにも情報共有できるような仕組みにしておくと安心です。起きてしまったことについては人を憎まず、罪を憎んで人を憎まずです。暫定対策と恒久対策を立ててコトに当たるのが良いです。ISOやISMSなどの仕組みを取り入れることで教育の仕組みを作っておくのも良いでしょう。
Eコマース運営していると気になるのは、ブルートフォースアタック (総当たり法攻撃)、マシンガンのように打ってくるDDOS攻撃、脆弱性を狙った攻撃などがあり、これらの攻撃によってサイトが落ちたり、情報漏えいしてしまったり、バックドアを付けられたりしてしまいます。もちろん、このような攻撃に対しても対策が必要なのですが、最近、ECで困るのは不正注文や転売ヤー問題なども多くあります。不正注文は、最近では多様化しており、アパート・マンションの空室での受取や、海外転送サービスの悪用、ブラックリストをかいくぐる小技などがあります。悪用されると困るのでここでは詳しく触れません。あのAmazonでも仕組みのスキを突かれたりします。
転売ヤー問題も頭が痛く、ある店舗さんは50店舗ほど転売サイトを作られて、しかもデジタルプラットフォーム内にも出現したりして、対策を取ってもなかなか追いつかない状態で、対策の追いかけっこになっています。デジタルプラットフォーム側も対策を立てようとしていますが、0にはなかなか出来ないのが現状です。この対策としてはやはりブランディング化でしょう。Amazonでもブランド登録を勧めておりますが、今後は偽物対策を行うにしてもブランディングはもう一度考えておいたほうが良いでしょう。
ECサイトのセキュリティとリスクの対策は、大きく分けて3つです。ひとつはテクノロジーです。テクノロジーもかなり進んでおりますし、最新版化していくことでかなりいろんな課題を解決できます。2つ目に、教育です。テレワークも進んでいますのでセキュリティの甘さを突かれやすくなっています。トップから社員、バイトやパートさんまでしっかり教育することが必要です。特に経営層への教育と辞めたアルバイトは要注意です。私の経験上、正社員よりこの経営層と退職したアルバイトは本当に要注意です。あと、なんちゃってコンサルタントも要注意です。
セキュリティのリスクはますます多様化し、複雑化していきます。今後はコストセンターになることは間違い有りません。社内外のチーム作りはもちろん、AI人工知能をうまく使用したりして、先手を打つリスクマネジメントがECサイト運営には今後ますます重要になります。
JECCICA代表理事・講師 川連 一豊
EC得意分野/システム開発・セキュリティ・オムニチャネル
フォースター株式会社代表取締役。年間システム流通額1700億円を超えるシステム開発やセキュリティ専門オムニチャネルのおもてなし戦略、米国やEU、アジアなどのクロスボーダーEコマースを進める。