今すぐ試す  営業にお問い合わせ 
今すぐ試す  お問い合わせ 

日本の EC サイト運営者向けセキュリティ対策ガイド

Radar
Radar

Stripe ネットワークの力で不正利用を防止します。

もっと知る 
  1. はじめに
  2. EC サイトでセキュリティ対策が重要な理由
    1. クレジットカード不正利用被害額増加への対策
    2. 顧客の個人情報を守るため
    3. 不正アクセス・サイバー攻撃のリスクが常にあるため
  3. EC 事業に影響を与える一般的なセキュリティ・インシデント
    1. システムのシャットダウン
    2. ウェブサイトの変更
    3. 不正アクセス
    4. ランサムウェア
  4. EC サイト構築・運用セキュリティガイドライン
  5. EC サイトの具体的なセキュリティ対策
    1. 3D セキュア 2.0 の導入による本人認証
    2. PCI DSS への準拠
    3. クレジットカードの不正検知機能の導入
  6. EC サイトでセキュリティ対策が重要な理由
    1. ウイルス・ランサムウェア感染の場合
    2. 情報漏洩の場合
    3. システム停止の場合
  7. 日本の EC ビジネスのセキュリティは、どのようにすれば向上させることができますか?
  8. Stripe Radar でできること
  9. Stripe を始める 

インターネットショッピングやデジタル決済が普及する中で、EC サイトは人々の生活に今や欠かせない存在となっています。しかしながら、クレジットカードの不正利用や個人情報の漏洩、サイバー攻撃など、セキュリティリスクも年々高まっています。EC サイトの運営者は、限られたリソースの中でどのように対策を講じるべきか、頭を悩ませている方も多いのではないでしょうか。

本記事では、基本的なセキュリティ対策から、不正決済や情報漏洩が発生した際の対応方法まで、実践的なポイントをわかりやすく解説します。

__ 目次 __

  • EC サイトでセキュリティ対策が重要な理由
  • EC サイトのセキュリティ事故の種類
  • EC サイト構築・運用セキュリティガイドライン
  • EC サイトの具体的なセキュリティ対策
  • EC サイトでセキュリティ事故が発生した場合
  • EC サイト運営者が取り組むべきこと
  • Stripe Radar でできること

EC サイトでセキュリティ対策が重要な理由

EC 市場が拡大するとともに、不正アクセスやサイバー攻撃の手口も高度化しています。特にクレジットカード情報を狙った被害は年々深刻化しており、セキュリティ対策を強化する必要があります。

クレジットカード不正利用被害額増加への対策

一般社団法人日本クレジット協会 (JCA) によると、2024 年に発生したクレジットカードの不正利用による損失は、過去最高の 555 億円に達しました。この金額はわずか 5 年間で 2 倍以上に増加しました。これは、EC 市場の成長に比例して不正利用が増加していることを示しています。

これらの損失の大部分 (90% 以上) は、EC サイトでのクレジットカード番号の盗難によって引き起こされました。このカード番号の盗難は、フィッシングメール、偽のショッピングサイト、EC システムへのハッキングなどを通じて行われています。基本的な対策が行われなければ、こうした損失を減らすことはできません。クレジットカードセキュリティガイドラインでは、EC 事業者に具体的な対策を実施するよう求めています。

顧客の個人情報を守るため

EC サイトでは、クレジットカード情報だけでなく、氏名、住所、電話番号、メールアドレスなど、極めて重要な個人情報を扱います。こうした情報が漏洩した場合、単に一人の被害では終わらず、大量の顧客データが第三者に流出し、事業の信頼性を著しく損なってしまいます。

番号盗用による不正利用の被害者となったカード保有者は、身に覚えのない請求はもちろん、自分の個人情報がどこまで漏れてしまったのかという不安や不満を抱き、EC サイトに対する信頼を失います。また、運営者側にも調査対応やカスタマーサポートの負担が増し、結果としてビジネス全体の信用と収益に大きなダメージを与えることになります。

不正アクセス・サイバー攻撃のリスクが常にあるため

EC サイトは、サイバー攻撃の格好の標的です。それは、EC サイトがいつでもアクセスでき、大量の取引データを持っているからです。経済産業省 (METI) の報告書によると、不正アクセス、フィッシング、決済システムのハッキングが増加しています。近年、攻撃手法はますます巧妙化しており、「クレジットマスター攻撃」と呼ばれる自動化された不正利用手段や人工知能 (AI) を使用したフィッシング詐欺なども含まれるようになってきました。

EC 事業に影響を与える一般的なセキュリティ・インシデント

EC サイトでは、様々な種類のセキュリティ・インシデントが発生する可能性があります。一般的な例とそのリスクとして次のようなものが挙げられます。

システムのシャットダウン

これは、サーバーまたはシステム障害により EC サイトが閉鎖されて利用できなくなることです。サイトが閉鎖されると、売上が失われ顧客の信頼も損なわれる可能性があります。さらに、復旧作業には人件費や経済的コストがかかります。

独立行政法人情報処理推進機構 (IPA) は、 EC サイト構築・運用セキュリティガイドライン を策定しています。そのガイドラインでは、定期的なデータのバックアップ、冗長性の導入、アクセス制御の実装、ログの活用などにより、これらの状況に備えることを推奨しています。

IPA と個人情報保護委員会 (PPC) の調査によると、EC サイトの閉鎖による売上損失は平均 5,700万円 と推定されています。この種インシデントへの対応にかかる平均費用は、2億4,000万円と推定されています。

ウェブサイトの変更

ウイルスやマルウェアが管理者の端末やサーバーに侵入すると、システムやデータに損害を与える可能性があります。EC 事業者はウイルス対策ソフトウェアをインストールし、オペレーティングシステムとソフトウェアを定期的に更新し、ハッキング検出システムを確立する必要があります。

警察庁 (NPA) によると、「ウェブスキミング」と呼ばれる犯罪が複数報告されています。それには、正規のEC サイトに違法なプログラムが埋め込んで顧客のクレジットカード情報を取得することなどが含まれます。

不正アクセス

これは、第三者が管理画面またはデータベースに不正にアクセスして、データを閲覧、変更、または削除するという行為です。上記のセキュリティ・ガイドラインには、多要素認証、脆弱性評価、アクセス制御、ログイン異常の検出などの主要な対策が収録されています。

オープンソースソフトウェア (OSS) を使用して構築された EC サイトは、特にリスクにさらされています。IPA によると、不正アクセスの影響を受けた EC サイトの 97% は社内で構築されたもので、その多くが OSS システムを使用していました。OSS システムは便利ですが、その脆弱さも検出しやすいものです。たとえば、パッチが迅速かつ正しく適用されないと、OSS システムは容易に不正アクセスの標的になりえます。

ランサムウェア

このサイバー攻撃には、詐欺師がシステムやデータを暗号化し、それらの復元と引き換えに金銭を要求するというものがあります。事業者は、定期的なバックアップ、ストレージの分割、管理者権限の制限、リカバリトレーニングを通じて、この攻撃のリスクを軽減することができます。

一般社団法人日本ネットワークセキュリティ協会 (JNSA) の報告によると、ランサムウェア攻撃により 1,000 万円から数億円の経済的損失が発生しています。被害者には中小企業も含まれており、1 億円を超える損失が報告されたケースもあります。

EC サイト構築・運用セキュリティガイドライン

IPA 発行の EC サイト構築・運用セキュリティガイドラインは、主に中小企業や抽象ベンダー向けに、EC サイトを安全に構築•’運用するための具体的なセキュリティ指針を示した文書です。

ガイドラインの主な目的:

  • セキュリティ事故の未然防止
  • 脆弱性のある設計・運用の是正
  • 非専門の担当者でも取り組めるよう支援すること
  • 自社構築・外注委託を問わず、関係者間の責任範囲の明確化

単なる技術マニュアルではなく、経営判断としてのセキュリティ対策の重要性まで踏み込んでおり、実務と意思決定の橋渡しをするガイドです。ガイドラインでは、以下のような実際に発生した、もしくは発生しやすいセキュリティ事故になる原因とその影響を例示しています。

原因

影響・リスク

CMS の脆弱性からサイトの改ざんへ

カード情報などを含む個人情報が流出する。

管理画面の ID やパスワードの流出

第三者が顧客データを不正に閲覧したり削除したりする。

自社で構成や脆弱性状況を把握せず委託先任せ

インシデント発生時に原因究明できずに問題が長期化する。

開発環境やテストページが公開状態

攻撃者に脆弱性を露呈し、侵入されやすい状態になっている。

アップデートや SSL 設定の怠り

中間者の攻撃や通信盗聴のリスクが増大する。

いずれの場合も、誰が責任をもち、どこまでを保護するか明確にしていないことが主な原因です。そのため、ガイドラインでは、事故を予防するために、セキュリティ対策を以下の3つの関係者に分け、それぞれの役割を整理し説明しています。

EC サイト経営者:

  • 委託先選定・契約・管理の明確化
  • 委託先選定・契約・管理の明確化
  • 顧客情報の保護方針の策定

開発・構築ベンダー:

  • 脆弱性のないシステム設計・実装
  • 検証・テストの実施
  • 利用ソフトウェアの更新・管理

運用・保守ベンダーの責任

  • サーバ・ソフトウェアの定期的な脆弱性対応
  • ログ管理・監視体制の整備
  • 万一の事故時の対応体制構築

EC サイトの具体的なセキュリティ対策

多くの企業にとって、セキュリティ対策の強化は複雑に感じられるかもしれません。しかし、まずはパスワードの強化や共有設定の見直しなど、できることから着手し、段階的に強固なセキュリティ体制を構築していくことが重要です。ここでは、ECサイト運営者が考慮すべき具体的な対策を紹介します。

3D セキュア 2.0 の導入による本人認証

3D セキュア 2.0 は、クレジットカード決済時に利用者の本人確認を強化する仕組みです。ワンタイムパスコードや生体認証により、なりすましによる不正決済を未然に防ぎます。

従来のパスワード方式より UX が改善されており、セキュリティと利便性を両立できるため、カード会社や決済事業者でも導入が進んでいます。導入していない EC サイトではチャージバックや取引拒否のリスクもあるため、早期の対応が求められます。

PCI DSS への準拠

PCI DSS は、クレジットカード情報を扱う事業者向けの国際的なセキュリティ基準です。この基準では、情報の暗号化、アクセス制御、ログ管理などが詳細に規定されており、自社でカード情報を扱う場合には厳格な対応が求められます。

しかし、これらの要件を自社で全て管理するのは大きな負担となるため、多くの事業者は、PCI DSS 準拠を支援する決済代行サービスを利用することで、その負担を軽減しながら要件を満たしています。

クレジットカードの不正検知機能の導入

不正な取引は見た目ではわからず、購入完了後に発覚するケースが多くあります。そこで重要なのが、次のような不正決済の兆候を取引前や決済時にリアルタイムで検出、対処する仕組みです。

  • 過去に不正利用が多い地域からのアクセス
  • 同一 IP アドレスからの連続したカード入力
  • 顧客情報とカード名義が一致しない
  • 短時間で高額商品の複数購入

リスクのある条件に該当する取引を自動でブロックしたり、保留して審査する仕組みを導入することで、被害を未然に防ぐことができます。こうしたセキュリティ対策を全て自社で構築するのはとても大変ですが、決済サービスにこのような機能があらかじめ組み込まれている場合もあります。

EC サイトでセキュリティ対策が重要な理由

EC 市場が拡大すると共に、不正アクセスやサイバー攻撃の手口も高度化しています。特にクレジットカード情報を狙った被害は年々深刻化しており、セキュリティ対策を強化する必要があります。

ウイルス・ランサムウェア感染の場合

まず、感染したパソコンやサーバーの利用を停止し、ネットワークから切り離します。その後、影響を及ぼした取引先や顧客、そして、所管の省庁へ報告します。ウイルス感染とランサムウェア感染の場合は、IPA への届出が必要です。その後、調査、復旧作業へと進みます。被害を最小限に抑えるために、日頃から適切な方法でデータのバックアップを行うようにしましょう。

情報漏洩の場合

ネットワークへの不正アクセス、従業員による内部犯行、電子メールの誤送信、ウェブでの誤公開などが情報漏洩に当たります。まずは、漏洩した情報の種類や件数、そして暗号化やアクセス制限などのセキュリティ対策状況を確認します。

不正アクセスの場合は、個人情報や機密情報が漏洩する危険があるため、すぐにネットワークから切り離し、サービスを停止するなどの処置を講じます。クレジットカードやアカウント情報が漏洩した場合は、カード会社への連絡やアカウント停止などの対応を行います。

内部犯行の場合は、社内システムへのアクセス制限やパソコンなど証拠になるものを保存します。メールの誤送信の場合、受信先に削除依頼を出してください。ウェブサイトで誤公開が見られた場合は、情報を直ちに削除するか、アクセス制限を行い外部から参照できないように対応します。

上記の対応が済んだ後、状況に応じ、次のように報告・届出を行ってください。

  • アカウント情報等、漏洩した情報が悪用される恐れがある場合は、被害にあった個人や企業に対して、二次被害防止のための注意喚起を行います。
  • 個人情報漏洩の場合は個人情報保護委員会へ報告します。
  • 情報漏洩の原因が不正アクセスや内部犯行等、犯罪性がある場合は警察へ届け出ます。
  • 情報漏洩の原因がウイルス感染や不正アクセスの場合は、IPA の届出窓口を利用して届け出ます。

その後、漏洩した情報の範囲、原因、被害状況について調査し、復旧、再発防止へと進みます。

システム停止の場合

システム停止の場合は、サイバー攻撃などのセキュリティの問題、ソフトウェアのバグや不具合、機器の故障など、様々な原因が考えられるため、問題をすぐに特定するのが難しい場合もあります。原因がわからない場合には、セキュリティの問題の可能性があることを念頭において行動しなければなりません。

システムに動作不良、障害、停止またはその兆候が見られる場合は、システム管理者または情報セキュリティ責任者に連絡します。担当者は、状況に合わせてサーバーの切り替えや停止を行います。

その後、取引先への連絡や所管の省庁に報告します。ウイルス感染や不正アクセスが見られる場合は、IPA の届出窓口に届け出ます。原因の調査を行い、復旧、再発防止へと進みます。

日本の EC ビジネスのセキュリティは、どのようにすれば向上させることができますか?

EC のセキュリティ対策は、日常業務を保護する上で重要です。事業の規模に関係なく、クレジットカードの不正利用やデータ漏洩は常に対処しなければならないリスクです。

近年、様々な対策として、3D セキュアなどを導入、実装することが容易になり、本人確認の方法 (Know Your Customer、[KYC]) が強化されています。事業者は、PCI-DSS などの業界基準に従い、不正利用検出サービスを導入することもできます。常に警戒を続け、事前に対策を講じることが重要です。事業者がセキュリティの問題に直面したことがないからといって、自己満足してはいけません。事業主は、EC サイトのセキュリティ対策を強化して、EC 事業の信頼性、信用、継続性を確保する必要があります。

Stripe Radar でできること

Stripe Radar は不正利用対策のためのツールです。Stripe のグローバルネットワークから得たデータを活用して訓練された AI モデルを使い、不正利用を検知・防止します。最新の不正傾向に応じてモデルを常に更新し、ビジネスを守ります。

Stripe はこのほか、Radar for Teams も提供しています。ユーザーは自社ビジネス特有の不正シナリオに対応するカスタムルールを追加でき、高度な不正分析情報にアクセスできます。

Radar の特徴

  • 不正利用による損失の防止: Stripe は年間 1 兆ドル以上の決済額を処理しています。この規模でも、Radar は不正利用を正確に検知・防止し、コスト削減に貢献します。
  • 売上の向上: Radar の AI モデルは、実際の不審請求データ、顧客情報、閲覧データなどに基づいて学習され、リスクの高い取引を特定し、誤検知を減らし、売上を増加させます。
  • 業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。単一のプラットフォームで不正利用の動きを監視したり、ルールを作成したりすることができるため、業務効率も向上します。

Stripe Radar について詳しくはこちらをご覧ください。今すぐ開始する場合はこちら

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Radar

Radar

Stripe ネットワークの力で不正利用を防止します。

Radar のドキュメント

Stripe Radar を使用して不正利用からビジネスを守ります。