EC事業者や金融機関などに不正検知サービスを提供する、かっこは今年10月、ウェブセキュリティサービスのサイバーセキュリティクラウドとパートナー契約を結んだ。EC事業者向けにクレジットカードの不正利用、個人情報漏えいがまとめて対策できるセキュリティパッケージ「ECサイト鉄壁パック」の提供を開始した。サービス開始の背景やEC事業者が受けられるメリットについて、川口祐介O-MOTION事業部長とサイバーセキュリティクラウドの西澤将人執行役員・事業推進本部長に聞いた。
ーー近年のサイバー攻撃の傾向について聞きたい。
川口:近年のサイバー攻撃には、(1)EC決済フォームの脆弱性を突いたカード情報の窃取(2)ウェブサイトの脆弱性を突いた個人情報窃取(3)窃取したクレジットカード情報を悪用したECのなりすまし注文(4)窃取したID・パスワードを悪用した不正アクセス・不正ログインーーの4つの類型が挙げられる。
近年は、クレジットカード情報の非保持化ということが言われているものの、手口が巧妙化しており、こうした被害がなくならないことも事実だ。
西澤:当社が発表しているレポートでは、不正アクセスによる個人情報漏えい事案のうち「サービス・インフラ」業界と「小売」業界が並んで最も多かった。コロナ禍でECを利用する人が増え、攻撃者は個人情報が集まる場所を狙うために被害が多かったものと考えられる。調査対象事案のうち、情報漏えい元の上場区分(グループを含む)割合を算出したところ、事案が発生した企業のうち、未上場企業が約8割だった。
個人情報保護法の改正に伴い、漏えいがあった場合に個人に通達する義務が生じる。企業の評価がSNSで広がる恐れもある。漏えいの企業側の損失は約6.3億円と言われ、当社のサービスを利用いただくことで損失を回避できる。
ーー「ECサイト鉄壁パック」を開発した背景は。
川口:先ほどの四つのサイバー攻撃の類型の中で、当社は、決済やログインのタイミングにおける不正対策を提供しているため脆弱性を突いたものについてはサービスを持ち合わせていない。この部分を補完するため、サイバーセキュリティクラウドと話をして、新サービスの提供になった。これまでも導入先のECサイトには、クレジットカードの非保持化という点で課題があった。
西澤:事業者からすれば「手段によらず守られればいい」という考えが多い。セキュリティーの全般を何とかしたいというニーズに応える必要性を感じた。
ーー「ECサイト鉄壁パック」について聞きたい。
川口:かっこが提供する不正注文検知サービス「O-PLUX」・不正アクセス検知サービス「O-MOTION」に、クラウド型WAFの「攻撃遮断くん」を組み合わせ、ネット通販サイトをターゲットとしたさまざまなサイバー攻撃をこれひとつでまとめて対策できる。EC事業者は、セキュリティーに関する契約を、当社でまとめて一本化することができる。EC事業者は、セキュリティーを当社に任せていただき、販売戦略などに力を注いでもらえる。導入することで、セキュリティーの担当者を1人雇ったというイメージで利用してもらいたい。
西澤:導入に関して不安な担当者もいると思うので、作業マニュアルを用意し、フォロー体制を整えている。
ーー今後の展望について聞きたい。
川口:10月にリリースしているが、すでに数社から引き合いがあり、関心の高さがうかがえる。当社としても脆弱性に関する認識を広めてもらうことが重要だと考えている。
西澤:狙われるECサイトの事業規模が年々下がってきている。近年はサプライチェーン攻撃というものも出てきており、自社サービスが乗っ取られ、取引先にも被害が及んでしまうことも想定される。ブランドを守る、機会損失を防ぐという意味で、事業規模によらず導入のメリットが提供できるものと考えている。
かっこhttps://cacco.co.jp/サイバーセキュリティクラウドhttps://www.cscloud.co.jp/
