不正アクセスによるECサイトの閉鎖、売上高の平均損失は5700万円

カードの不正利用被害補償額・再発行手数料……2,800万円
フォレンジック調査費用・コールセンター設置費用・その他……7000万円
合計……9800万円

ECサイトのサイバー被害の原因

　ECサイトのサイバー被害の発生原因の多くが、最新版にアップデートしていないと設定の不備によるものだとして、IPAは次のように指摘しています。

　「ECサイトを構築する際に集客や売上を考えることはもちろん必要ですが、セキュリティ対策を併せて考えることが必須である（対策しないと事故に遭う）という意識を持つことが重要です」

　また、IPAの調査では、被害を受けた20のEC サイトの90%が、自社による保守または、外部委託先との運用時のセキュリティ対策を実施していないことが分かりました。

　継続的なセキュリティ対策が実施できない理由として、次のような意見があったといいます。

1. EC サイトの運営で主にセキュリティ対策の必要性を認識している人員がいなかった（45%）
2. 外部委託先にセキュリティ対策を依頼しているつもりであったが、外部委託先では認識されていなかった（15%）
3. 事業全体の売上高に比較して、EC 事業による売上高の割合が低いため、費用を掛けられなかった（15%）
4. 前任者が退職し、後任者におけるセキュリティ対策の引継ぎや知見のキャッチアップが不十分であった（5%）

サイバー被害後はサイト閉鎖や売り上げダウンも

　サイバー被害が起きると、EC サイトの閉鎖や事業の停止に追い込まれます。個人情報保護委員会によると、不正アクセスを受けたECサイトの運営事業者の14%がECサイトの再開を断念し、閉鎖が続いているといいます。

　また、IPAの調査では、サイバー被害から1年半以上経ってもECサイト経由での売上高が、被害前の売上高の半分以下となった事業者もあるといいます。

　EC サイトのサイバー被害が発生した原因としては、次のような回答が寄せられました。

• EC サイト構築プログラムや CMS 等の脆弱性を放置していたこと、または最新版へのバージョンアップ等によるアップデートが十分に出来ていなかった（75%）
• 管理者画面へのログイン認証において、デフォルト設定の状態のままで運用していた (15%)
• 設定ミスによりWeb サーバの非公開ディレクトリが公開されていた(10%)

ECサイトを構築し、運営する経営者が実行すべき7項目

　ECサイトへのサイバー攻撃が増え続けるなか、IPAは公式サイトで「ECサイト構築・運用セキュリティガイドライン」を公開し、現場担当者だけでなく、経営者らにも次のような対策を呼びかけています。

1. ECサイトのセキュリティ確保に関する組織全体の対応方針を定める
2. ECサイトのセキュリティ対策のための予算や人材を確保する
3. ECサイトを構築および運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する
4. ECサイトのセキュリティ対策に関する適宜の見直しを指示する
5. 緊急時（インシデント発生時）の対応や復旧のための体制を整備する
6. 委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする
7. ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する

　そのうえで、経営者が現場担当者に以下の取り組みをさせるよう求めています。

新規にECサイトを構築する場合に実施すべき取組

• ECサイトの開設計画時にセキュリティ対策および運用、保守コストを必ず見積り、ECサイトの形態を正しく選定する
• 自社に人材がおらず、外部委託先の活用によりECサイトを自社構築する場合は、セキュリティ構築および運用に関する対策要件の実施を外部委託先に遵守させる
• 外部委託先への丸投げはやめる。セキュリティ対策を確実に実施できる委託先の選定と、対策実施の継続的な確認をする

ECサイトを運営中の場合に実施すべき取組

• 過去を振り返って、これまでのセキュリティ対策が不十分ではないか自己点検する
• セキュリティ対策が不十分であることがわかり、対策までに時間がかかる場合、対策までのサイバー被害リスクを減らすため、応急処置を行う
• セキュリティ対策の不十分な箇所を対策する

• マルウェア感染や個人情報漏洩…サイバー攻撃による損害費用はいくら？