ECサイトのセキュリティ対策は万全ですか?セキュリティ診断いたします!

Posted on by 深田 秀徳

ECサイトのセキュリティ対策は万全ですか?

自社サイトの脆弱性を診断したい場合はピュアプラスにご相談ください。

この記事はこんな人にオススメ

・自社のECサイトのセキュリティが不安な方

・セキュリティに対して特に対策していない方

・セキュリティの対策をしたいがやり方がわからない方

・セキュリティの重要性がわからない方

・中小零細企業の方

セキュリティリスクについて

近年、セキュリティリスクは増加の一途を辿ります。
かつては大企業が主なターゲットでしたが、今や中小・零細企業がその主な対象となっています。

では被害にあうとどうなるのでしょうか?
実際に被害にあった企業を対象にした調査によると次のようなデータが明らかになっています。

・事故対応の平均コストが約2,400万円
・損失額の平均が約5,700万円

中小・零細企業にとってはこの金額がどれくらい大きいものか容易に想像がつきます。

まずはセキュリティリスクの増加の推移・原因・損失など詳しく解説していきます。

サイバー攻撃増加の推移

サイバー攻撃は年々増加の増加の一途を辿ります。

  • サイバー攻撃の総被害額は2021年は320億円、2022年は約1,045億円で330%増加
  • サイバー攻撃に関する通信は2020年までの10年間で66倍
  • サイバー攻撃による被害額が1,000万円を超えた企業が全体の33.5%

今後もこの被害額や被害件数は指数関数的に増えていくと予想されます。

直接的な原因

直接的な原因は次のようなことが挙げれます。

  • EC サイト構築プログラムや CMS 等の脆弱性を放置していたこと、または最新版へのバージョンアップ等によるアップデートが十分に出来ていなかったこと(75%
  • 管理者画面へのログイン認証において、デフォルト設定の状態のままで運用していたこと (15%)
  • 設定ミスによりWeb サーバの非公開ディレクトリが公開されていたこと(10%)

 

間接的な原因

関節的な原因は次のようなことが挙げれます。

  • EC サイトの運営で主にセキュリティ対策の必要性を認識している人員がいなかった(45%
  • 外部委託先にセキュリティ対策を依頼しているつもりであったが、外部委託先では認識されていなかった(15%
  • 事業全体の売上高に比較して、EC 事業による売上高の割合が低い(5%以下)ため、費用を掛けられなかった(15%
  • 前任者が退職し、後任者におけるセキュリティ対策の引継ぎや知見のキャッチアップが不十分であった(5%

 

攻撃の手口

攻撃の手口は次のようなものがあげられます。

  • 決済画面の改ざんを引き起こす脆弱性(37%
  • SQL インジェクションの脆弱性(31%
  • EC サイトの管理者画面へのアクセス制限不備(15%

2022年上半期において最も観測されたのはWebサーバを構成するソフトウェアの脆弱性に対する攻撃で、全体の44.18%を占め、半年間でおよそ1億228万件の攻撃が発生しています。

 

攻撃を受けた場合の損失

攻撃を受けた場合の損失は大きく3つあげられます。

ECサイトの運営事業者が受ける売上損失

1 社あたりのEC サイトの平均閉鎖期間は8.6 か月間

ECサイトの閉鎖期間における売上高の損失額は、従業員規模300名以下の40 社を対象とした場合、平均損失額は5,700 万円

不正アクセスを受けたECサイトの14%がECサイトの再開を断念しています。

EC サイト経由での売上高が、被害から 1 年半以上経っても、被害前の売上高の 50%以下に落ち込んでしまったところもあります。

事故対応にかかる大きな負担

  • フォンレンジック調査等の調査費用(100〜500万が多く、特に200〜249万が多い)
  • クレジットカード差し替え手数料(1件あたり約2000円が60%)
  • 顧客への見舞金の支払い、見舞い品の送付(約25%が負担を実施)
  • その他、セキュリティ強化費用、弁護士・コンサルティング費用等

事故対応が発生した中小規模のEC加盟店16社を対象とした調査によると、1社あたりの事故対応平均額は約2,400万円にも上ります。

サイバー攻撃被害にあうと顧客は戻らない事が多い

EC サイト利用者の 40~45%がクレカ決済での利用者であるため、売上高が大幅に減少するとともに、クレカ決済での利用者の 10%(利用者全体の 4~4.5%に相当)が離客します。

後払いや郵便振替に決済方法を変更し、手数料も自社負担としても、クレジットカード決済を利用できなければ商品を買わない顧客もいるため、売上高が減少します。

地方の中小企業は攻撃者にとって魅力的

IPAが行ったセキュリティ対策状況を把握する為の調査において実施した2種類の脆弱性診断では、対象となる50社のうち危険度「高」が出ている事業者は全体の52%に上っており、いつサイバー攻撃にあってもおかしくありません。

また、地方にある中小企業はセキュリティに対する意識が低い傾向にあり、中小企業は大企業に比べて対策予算が少なく、セキュリティ対策が不十分な場合が多いため、攻撃者にとって魅力的な標的だと言えます。

セキュリティ診断でセキュリティリスクを知ろう

弊社のセキュリティ診断について

脆弱性というのは常に出続けており、手作業で把握するというのは現実的ではありません。

そこで、弊社ではセキュリティ診断のツールとしてOWASP ZAPというツールを使用しております。診断結果のレポートは成果物として、PDFでお渡しいたします。

そのレポートを元に他の企業に対応を依頼してもいいですし、弊社に依頼してもらってももちろん構いません。

まずはどのぐらいのセキュリティリスクを抱えているのかを把握するところから始めてみましょう。

サイトのセキュリティに不安を抱えている方は、ぜひ一度お気軽にお問い合わせください。

 

一覧へ