「ECサイトとセキュリティ対策」(第2回)
中小企業の経営者が抱える経営課題について、専門家の方にわかりやすく解説していただいています。
なお、このセミナーの内容は、当財団のホームページに「Webセミナー」として公開していますので、いつでも見ることができます。
ECサイトに求められるセキュリティ対策
村上 正弥(むらかみ まさや)
Office M2Style 代表
ECサイトを運営する上で必要なセキュリティ対策は技術的なものだけではありません。
今回は情報資産を守り、安全な運営を行っていくために求められるセキュリティ対策をいくつか挙げてそれぞれの説明を行います。
- ・サイト運営のセキュリティポリシーの策定
セキュリティポリシーとは、企業の「情報資産」を守るための情報セキュリティ対策を具体的にまとめた社内ルールのことです。
運営する上で「弊社はこのような基準に準拠し運営を行います」といった内容を宣言する基本方針から「何をどのように行う」といった具体的な実施項目までを定めたものになります。
この後の対策についても何を実施して何を実施しないかといった取捨選択する際の基準となるものです。
- ・サイト運営関係者に対するセキュリティ教育の実施
ポリシーを策定し、運用規定や運用マニュアルを作成しても、実際に運用する人がセキュリティについての意識や理解が不十分であればきちんとした運用ができません。
運用関係者が正しく運用できるためにもこういった教育を継続して実施していくことが必要です。
- ・SSL化
SSL(Secure Socket Layer)とは、インターネット上でやり取りされる情報(名前、住所、電話番号などの個人情報)を暗号化して安全に通信できるようにするための技術です。
ECサイトはインターネットを通じて買い物をするためのサイトですので、個人情報をやり取りすることになります。
通常の通信では、こういった情報が暗号化されずに通信されてしまい、大変危険です。 
SSLを導入することで、通信の安全得るとともに、ブラウザによっては「安全な通信です」と表示されますので、お客様に安心して利用していただくことにもつながります。
- ・管理者ページのアクセス制御
ECサイトを構築すると、サイトの管理(商品やサービスの追加・削除、お知らせの追加、運用ユーザの追加・削除など)を行うことになります。
この管理機能に誰でもアクセスできたらどうなるでしょうか?
内容の改ざんや偽の注文情報を登録されたり、サイト自体を壊されたりしてしまうかもしれません。
管理者機能には限られた人しかアクセスできないようにしましょう。
- ・公開範囲の確認
運用していく上で、先に登録しておいた未公開の情報やすでに取り扱いの終了した商品の情報、間違えて登録した写真など、見てほしくない情報も増えてくるでしょう。
一般のお客様からこうした情報が見えていないことは更新した際にきちんと確認するようにしましょう。
- ・使用するソフトの更新
ホームページを管理するツール(CMS:Contents Management Systemといいます)は日々更新されています。
世界中から閲覧できるインターネットだからこそ、様々な人が存在しており、サイトを乗っ取ろうとする人も少なくないため、問題がある場合には修正が行われているからです。
ECサイトを運用する上で、こうした更新情報を逐一チェックし、常に最新の状態にしておくことで、ツールの問題でサイトを乗っ取られる可能性をつぶすことができます。
これらの対策を実施することで、セキュリティトラブルに遭うリスクを減らすことができます。次回はこれらの対策を踏まえ、セキュリティに留意した運用といざというときのための備えについてお話します。
■<講師プロフィール>
村上 正弥(むらかみ まさや)
Office M2Style 代表
ITコーディネータ(経済産業省推奨資格)
情報セキュリティスペシャリスト
ソフトウェア開発技術者
IPAセキュリティプレゼンター
所属企業にてセキュリティポリシーの策定支援、セキュリティ研修講師等を行い、さらに範囲を広げた活動をするため2017年6月 個人事業としてOffice M2Styleを開業、所属企業に属しながら研修講師やHPの構築・運用も支援している。
