通販・EC業界向けにセキュリティーサービスを提供する各社から、ECサイトと連携するソリューションのセキュリティーにはいっそうの注意が必要だする声が上がっている。近年増えている「API連携」は、つなぎやすい利点はあるが、セキュリティー会社から見れば、強固なセキュリティー対策が必要になるとしている。通販・EC事業の成長には、ソリューションの連携は不可欠だが、セキュリティーの甘さから狙い撃ちされる可能性がある。ソリューション会社とEC企業はともに注意が必要になっている。
カートの防衛は強固に
近年、ECサイト構築サービスを提供する各社のセキュリティー対策はより強固になる中で、セキュリティーサービス各社への相談も増えており、その内容は細かくなっている。
企業の規模によってセキュリティー対策の領域や範囲は異なる。大手であれば、サイトの設計や構築の段階から対策に講じているようだ。また、セキュリティー分野に詳しい人材を抱えている企業もある。
一方、中小企業は広範なセキュリティー対策よりも、部分的な取り組みが多い。カート側任せにしたセキュリティー対応も多いようだ。
カート側は個人情報を取り扱うシステムである以上、セキュリティー強化は欠かせない。
偽サイトから入り込む
サイバー攻撃側は次の攻撃を仕掛けているといわれる。最近、増えているのが「偽サイト」や「フィッシング」などだ。
カートやサービスの各社による対策強化で、ECサイトのセキュリティー体制が底上げされたことで、偽サイトやフィッシングなどにサイバー攻撃の形が移っているともいえる。
偽サイトの構築はサイト側のセキュリティーを突破するよりも、簡単にできる。セキュリティーサービスを提供する側とEC企業の双方に早急な対応が求められる。
偽サイトやフィッシングで最も注意しないといけないのは、クレジットカード情報などの流出だ。クレカ情報の保護対策として、EC加盟店による情報非保持またはPCSDSS(データセキュリティーの国際基準)の準拠を求め、新規加盟店の契約申し込み前に対策することの法整備が政府によって進められている。
また、不正利用対策の一環として、原則的に全てのEC加盟店に2025年3月末までに、EMV3-Dセキュア(リスクベース認証やワンタイムパスワードの機能を搭載した世界基準の本人認証の仕組み)の導入を求めている。こうした法整備が進めば、偽サイトやフィッシングの利用防止につながるとみられている。
セキュリティー対策が進むと同時に、サイバー攻撃の形も変わっていく。通販・EC企業各社には、サイト全体を対象にしたセキュリティー対策が必要になっている。
連携にも目を配る
EC企業の成長に欠かせない各ソリューションとの連携部分を狙ったサイバー攻撃が増えている。セキュリティーサービスを提供する各社は注意を呼び掛けている。
最近のEC企業の個人情報漏えいは、連携部分からの侵入である可能性が否めないのが現状だ。
特に、「API連携」に関しては、より注意が必要だとセキュリティー会社は指摘する。
また、API連携はスキルがあれば簡単に構築できてしまう利点がある一方で、セキュリティー対策に知見や知識がない企業の仕組みは脆弱(ぜいじゃく)性があると言われる。API連携するEC企業も、導入先のセキュリティー対策について入念な確認が必要といえる。
実際に連携を行う担当者にも、セキュリティーレベルの向上が必要だ。安易な対応はサイバー攻撃の的になりかねない。カートやソリューションの提供企業、EC企業が一体となった意識の向上が求められている。
(つづく)
