ECサイトがクラッキングの標的に！
セキュリティ対策、どこまでやればよい？

2015年02月12日

みなさん、自社のセキュリティ対策は万全ですか？
おそらく大なり小なりセキュリティ対策に取り組んでいらっしゃるかと思います。一方、「昨年度に結構予算を割り振ったからもう大丈夫」とおっしゃる方もいるかもしれません。
しかしながら、「これで大丈夫！」と自信を持って安心できないのがセキュリティ対策です。

100％保証できるセキュリティ対策存在しない！？

一つの施策で100％保証できるセキュリティ対策というものは世の中に存在していないといっても過言ではないでしょう。複数のセキュリティ対策を重層化して、堅牢にしていく考え方が情報セキュリティの世界では現実的です。

1つの施策では全く安心はできません。例えるなら、自宅の玄関には2重ロックをかけても、2階の窓に鍵を設置していなかったり、大切な宝飾品を金庫に入れずにリビングのテーブルに放置したりしているようなものです。その場合、どうなるでしょうか？

大丈夫と安心していたときに、全く気にしていなかった勝手口の鍵がたまたま壊れていたとしましょう。泥棒にすぐに気付かれ、こっそりと侵入されて大切なものを盗まれても、気付かせないよう巧妙に細工がされていれば当の本人には分かりません。そしてさらに家の設備を遠隔操作できる装置を、見えないところに置かれてしまうのです。

こういったことにならないように、玄関と勝手口と室内には防犯カメラを付けたり、2階の寝室や、その部屋の宝飾品が保管されている鏡台、現金や重要書類を補完した金庫には鍵をかけたりするのが普通の感覚だと思います。

リアルの現実社会と同じく情報セキュリティの世界でも同様に対処する必要があります。つまり、1つの施策が突破された時を想定して、被害がさらに拡大しないような施策を予め行っておくことがとても大切です。

セキュリティ対策が相対的に弱いところが狙われる！？

昨年2014年11月5日にプライスウォーターハウスクーパース株式会社（PwC）から発表された「グローバル情報セキュリティ調査2015」の調査結果によると、企業の情報セキュリティ投資額は、グローバル平均4.2億円/年に対し、日本平均2.1億円/年と半分でしかありません。日本は技術立国として様々な知財を保有しつつも先進国と比して半分の予算配分では十分な防御が出来ているとは言い難いものです。

MM総研によると、情報セキュリティにかかわる被害額は2012年度から2013年度にかけて、アメリカ企業が50％減少しているのに対し、日本企業は83％増加しているとのことです。サイバー犯罪は、セキュリティ対策が相対的に甘いところに流れてきます。ハッカーは手間をかけずにかつリスクなくクラッキングできる企業を狙います。それは国境を越えてやってくることも十分あるわけです。

EC企業は狙われている！？

昨今、EC(イーコマース)市場の成長は著しく、2013年には11兆円を超え、東京オリンピックが開かれる5年後の2020年には市場規模は約20兆円台になると予想されています。

弊社も様々な業種からのセキュリティ対策の相談にのらせていただいておりますが、特に最近はEC企業からのご相談が増えてきている傾向にあります。恐らく、EC企業が狙い撃ちにされている可能性があります。

では、なぜECサイトはサイバー攻撃に狙われてしまうのでしょうか。それは、悪意のあるハッカーが目的としている情報、つまり「個人情報」を大量に保有しているからに他なりません。消費マインドが旺盛な消費者の個人情報が沢山詰まっているものですから、悪意のあるハッカーにとっては喉から手が出るほど欲しい垂涎の情報です。

また、昨今は手軽にECをスタートすることが出来る環境が整ってきており、セキュリティ体制が万全の状態とは言えない状況が散見されます。さらに、EC店舗運営時には売上/利益向上に集中することとなり、リスク対策には意識が回りにくく、セキュリティ対策が後手に回っている企業が多くみられます。こういった背景があるため、悪意のあるハッカーも攻撃対象として狙う価値があると考えるわけです。

セキュリティ事故が発生すると企業が潰れる！？

サイバーセキュリティの被害額は、企業の規模や業態業種により大きな幅があり、最低でも数千万円から、多くて数十億円までに拡大する事があります。当然、個人情報を多く保有している企業ほどその被害額は大きくなります。

セキュリティのインシデントはお客様対応や緊急対応が終わったとしても、当該企業の悪評として検索結果上位に残り、長期的に企業にダメージを与え続けることもあります。実際に弊社では、「ネット上にセキュリティインシデントの記事が検索結果の上位に残っており困っている。企業のブランドイメージを回復するにはどうすればいいか？」とご相談いただくケースが増えてきております。

セキュリティ対策の事前費用は事故対応費の20％未満！？

驚くことに、日本企業の4割以上が情報セキュリティインシデントの発生要因を把握すら出来ていない現状があります。

残念ながらお客様からの指摘で発覚する事が多く、情報漏洩が今まさに起こっていてもそれに気づくことすらできない企業様が多いのが現状です。

もちろん、気が付かないと対策することが出来ません。しかし、事故が起こってからの事後対応では遅いのです。事前に自社のセキュリティ対策のシステム面と業務面の両方から診断して、どこにセキュリティホールがあるかを可視化することがセキュリティ対策の第一歩です。

未然に防ぐための対策コストは、事故が発生した場合の被害総額の20％にも満たない可能性があると試算する調査結果もあります。

セキュリティ投資は徐々に増加

MM総研によれば、日本の対策はアメリカに比べて、おおむね2年遅れの水準にあるといいます。

しかしながら、PwCの調査によると、2013年から2014年にかけてセキュリティ関連投資金額を増加する企業は8％増加し、27％に増加しています。日本の企業も昨今のセキュリティ事故を受けて徐々に対策を強化しているのがトレンドです。

先述の通り、セキュリティ対策は相対的に弱いところが狙われるわけですから、トレンドに合わせて自社も対策を強化していくことが、狙われないための賢い方法の一つであるとも考えられます。

情報セキュリティは、何よりも転ばぬ先の杖なのです。

もし、周りで情報セキュリティ対策についてどうすればいいのか悩んでいる企業様がいらっしゃいましたら、まずはセキュリティ診断をされることをお勧めします。