ECサイトの構築・運用におけるセキュリティ対策。情報漏洩を防ぐには

インターネット上で商品を販売したり、オークションしたりするWebサイトのことをECサイトと呼びます。
ここでは、ECサイトの意味や必要となる機能、ECサイトを作る方法や運用方法、セキュリティに関して紹介します。
これらの知識はECサイトを運用するうえで必要不可欠です。
是非ECサイト運用の参考にしてください。

 

目次

 

 

そもそもECサイトとは何か

本来ECサイトとは、イーコマース（電子商取引）をするWebサイトの総称です。ネットショップ以外にも動画コンテンツ配信サイト、ネットオークションサイト、オンライントレードのサイトなどが含まれます。しかし、実質的にECサイトという言葉は「ショッピングサイト」という意味で使われているのです。

広義の意味合いとしては異なるものの、「ECサイト＝ネットショップ」として認識しても良いでしょう。ネットショップには、一からサイトを設計して運営管理を行う「自社EC」と、Amazonや楽天市場などに大手サイト内でお店を開く「モール型」の2種類が存在しますが、どちらもECサイトに該当します。ECサイトの特徴として、休業日や営業時間の概念がほとんど存在せず、「いつでも」、「どこでも」、「誰とでも」取引をして利益を上げることが可能です。ECサイトを立ち上げると、時差の違う世界中の国や地域とビジネスができるようになります。

受注から商品のお届けまで、ECサイトには以下のような機能が必要となります。これらの機能は多数の企業が加入しているモール型サイトでも、企業単独のショッピングサイトのどちらにおいても必須の機能です。

• ショッピングカート

• 決済システム

• セキュリティー

• 受注管理システム

• 商品登録

• 商品検索

• お気に入り

• 会員登録

• メール配信システム

• 集客サービス

• スマホアプリ

• FAQ

•  

ECサイトを作る方法とは

ECサイトの基本情報を学んだところで、「実際にECサイトを作る方法」を紹介します。

中には、ECサイトを作りたくても「プログラミングの知識が必要になるからわからない」、「個人でネットショップを立ち上げるのは難しそう」と諦めている方も少なく無いでしょう。しかし、近年では、無料で提供されているAPS（アプリケーション・サービス・プロバイダー）やECサイトの運営開発に適したソフトウェアを使えば、知識や技術の無い方でも簡単にECサイトを作れます。

では、ECサイトを開設したい場合どのようなソフトウェアを使えばいいのでしょうか。オープンソースの中でも「EC-CUBE」や「shopify」は有名なソフトウェアとして知られています。以下では、EC-CUBEやshopifyなどのオープンソース系ソフトウェアに焦点を当てて解説をします。

 

●EC-CUBE（イーシーキューブ）

ECサイトについて調べているとよく目にするものが「EC-CUBE」です。このEC-CUBEは、無料で使えるオープンソースのECサイト構築パッケージながら、さまざまな機能が標準で装備されているため、初心者の方でも操作がしやすい特徴があります。日本初のECサイトオープンソフトウェアで国内シェアも高く、マニュアルが揃っているのも嬉しいポイントです。このソフトウェアは、ECサイトの運営や管理に特化したCMSで、詳細な知識を持たなくても導入が可能となっています。また、プラグインの導入やカスタマイズにより、定期購入やオンライン予約などの販売形式に対応しています。

 

●shopify（ショッピファイ）

「shopify」は、ECサイトオープンソースソフトウェアは全世界175か国で使用されています。店舗数も100万店舗以上と実績あるECオープンソフトウェアで、地球上での流通総額は日本円に換算すると10兆円を超えるといわれています。デザイン性も高く、シンプルで高機能です。さらにクラウドタイプのため、日々バージョンアップされます。日本国内向けにローカライズされてまだ日が浅く、今後の展開が期待されているオープンソースソフトウェアです。

先に挙げたもの以外にも、サポート体制の手厚さに定評がある「カラーミーショップ」、多言語や多通貨にも対応している「Zen Cart（ゼンカート）」など、ECサイトの開設に役立つソフトウェアは数多く存在します。導入の際は、それぞれの機能や運営コストを比較した上でソフトウェアを選択すると良いでしょう。もちろんWebサイトやシステム開発に長けている企業であれば、一からシステムを構築して、オリジナルのECサイトを作っても構いません。

なおECサイトは、規模や制作方法によってサイトの製作費が大きく異なります。例えば、オープンソースのソフトウェアで小規模のサイトを作る場合は、無料や数万円程度の費用で済みますが、大規模なサイトをゼロから構築する場合は、数百万円近い費用がかかることも珍しく無いのです。

 

ECサイトを運用する方法とは？

ここまで、ECサイトの基本情報やソフトウェアを紹介しました。では、実際にECサイトを運用するにはどのようにすればいいのでしょうか。ECサイトの運用の流れは、大きく分けて9つに分けられます。

ECサイトを運用する流れ
①商品の企画	フロント業務
➁製造・仕入れ
③サイト制作と更新管理
④プロモーション
⑤受注処理	バックエンド業務
⑥在庫管理
⑦出荷工程
⑧配送工程
⑨アフターサービス

 

ECサイトは、主にフロント業務とバックエンド業務の2つに分かれています。

フロント業務は、主にマーケティング活動のことで商品の企画や製造、仕入れ、サイトの運営管理、販売促進するためのプロモーションをします。フロント業務の中でも、プロモーションが特に重要となるでしょう。ECサイトを立ち上げ直後は世間への認知が低く、そのため集客に苦労をすることもあるでしょう。そこで、プロモーションをして認知度を向上させてアクセスを集め、新規顧客の獲得を目指す必要があります。

バックエンド業務では、商品が販売された後の受注処理から在庫管理をします。出荷から、顧客の手元に商品が届いた後のアフターサービスなどの事務作業が中心です。ECサイト立ち上げの初期段階では注文数が少ない分、バックエンド業務の負担も少量で済みますが、売上げが大きくなってくると負担が大きくなり、在庫切れや誤配送といった問題が発生しやすくなります。バックエンド業務で問題が発生すると、サイトの信用問題に発展しかねません。したがって、バックエンド業務はフロント業務以上に慎重さが必要な業務となります。

 

●ECサイトを宣伝方法とは？

ECサイトの宣伝方法には、リスティング広告、アフリエイト広告、ディスプレイ広告、コンテンツマーケティング広告、SNSマーケティングの5つがあります。リスティング広告やディスプレイ広告は即効性がありますがその分費用がかかってしまいます。ECサイトを立ち上げたばかりでは予算を割くことが難しい分野です。そこで注目したい項目がコンテンツマーケティングやSNSマーケティングになります。この2つは即効性こそありませんが、中・長期的な戦略として、自社サイトへのアクセスや固定ファンを増やすために必須の項目となるでしょう。

 

●ECサイトの運用に必要となる知識や技術

ECサイトを構築する際に求められる技術や知識は、ECサイトごとに方法が異なります。

例えば、利用者側のスマホやパソコンで処理されるプログラムを記述するプログラミング言語には、HTML、CSS、JavaScriptが必須となります。HTMLは基礎、CSSは見た目、JavaScriptはサイト上での動きを表現するために必要です。これらの言語はECサイトに限らずWebサイトを構築する必須言語となっています。また、このほかにもECサイトではログインやカート機能が必要となるでしょう。それらの機能を実現させるためにサーバーサイド言語であるPHPやJavaが必要になります。サーバーサイド言語では顧客が入力した内容をデータベースに保存したり、入力内容に応じて処理結果を返信したりします。

また、これらの言語だけでなく、Apache、MySQLなどのサーバ知識が必要になります。オープンソースを利用する場合は、Linux系OSに対する知識や操作コマンドのスキルも必要です。これらの技術やノウハウの無い企業であれば、ECサイトの開発や運営を外注で依頼しても良いでしょう。

 

ECサイト運営で絶対に気をつけたい情報漏洩

ECサイトが普及している昨今、多くのショップが実店舗での販売だけでなく、インターネットを使って販売を行うようになりました。

そんな中、多発しているのが情報漏洩の問題。ECサイトを運営する企業は、顧客の個人情報やクレジットカード情報を取り扱うため、そういった情報を狙うサイバー攻撃の標的にされやすい傾向にあるのです。日本経済新聞の公表したデータによれば、2019年にインターネット通販サイト（ECサイト）から流出したクレジットカード情報は、約34万件に上ると公表されています。

参照：クレジット情報流出が倍増　通販サイト、19年は34万件 / 日本経済新聞

 

個人情報の流出はニュースで取り上げられることも多く、万が一そのような事態が発生してしまった場合には企業の社会的信用が失われてしまうのは想像に難くありません。そんな最悪の事態を未然に防ぐためにもECサイトの構築・運用におけるセキュリティ対策は万全にしましょう。

 

●情報漏洩における企業の賠償額

個人情報の漏洩については1人当たりの賠償額が数千円～数万円と考えられています。つまり、1万人の情報が漏洩した場合には最低でも1,000万円の賠償額になるケースもあるということです。

2009年には大手証券会社が、個人情報が流出した顧客約5万人に対して 1万円のギフト券を配布した例もあります。その総額は 5億円以上にもなります。このようにECサイトの情報漏洩は賠償額も莫大になるわけです。さらに社会的信用にも影響することから、企業活動において大きなダメージとなってしまいます。

 

セキュリティ被害における事例をご紹介

それでは実際に起きたセキュリティ被害について3つの事例を紹介していきます。

 

●2015年7月：タミヤショップオンライン

プラモデルなどを販売する模型メーカーのタミヤは2015年7月にサーバが不正アクセス攻撃を受け、顧客情報が最大10万件以上流出した可能性があることを明らかにしました。情報漏洩の可能性がある個人情報にクレジットカード・決済情報は含まれていません。「タミヤショップオンラインでアカウント登録した顧客情報」や「TRFプロジェクトサポーターで会員登録した顧客情報」が対象になります。

 

●2016年11月：IPSA オンラインショップ

2016年11月、資生堂の子会社である「イプサ」は外部からの不正アクセスを受けました。それによって顧客情報が流出。約42万件の個人情報が外部に流出したといわれています。こちらはSSI(Server Side Include)の脆弱性を利用した、外部からの不正アクセスが原因でした。

 

●2017年8月：Genesis-EC

ジェネシス・イーシー株式会社は、2017年8月に外部からの不正アクセスにより情報漏洩があったことを公表しました。情報漏洩の対象となったクレジットカード情報（カード番号、有効期限、セキュリティコード）は最大で1万5,000件近くにもなるといわれています。

 

なぜこのような被害に遭ってしまうの？

ECサイトがサイバー攻撃に狙われやすい最大の原因は、価値の高い個人情報を多く取り扱っているからです。

クレジットカードの情報などはサイバー攻撃をおこなう犯罪者にとって魅力的な情報となるわけです。また、オープンソースのソフトウェアを使って構築されているECサイトが多いことにも原因があります。オープンソースは脆弱性情報が公表されるため、攻撃側のターゲットになりやすいとされています。もちろん外的要因のみでは無く、内的要因によってセキュリティ被害が生じているケースもあります。管理ミスによって情報漏洩が起きてしまう可能性もあるのです。

 

ECサイトの構築・運用におけるセキュリティ対策

●常に最新バージョンを保つ

ECシステムを構成するOSなどは常にアップデートを行っていますので最新バージョンを使うようにしてください。アップデートをすることで、脆弱性に対応できます。古いバージョンを使い続けているとセキュリティが不十分な状態となっていますので、サイバー攻撃の標的になってしまう可能性があります。サーバについても最新のバージョンを保つことでリスクを最小限に抑えることを心がけましょう。

 

●サイトの管理画面は厳重にチェックする

当然のことながらサイトの管理画面は顧客情報を扱う上で非常に大事です。IDやパスワードはなるべく複雑なものを設定してください。英数字と記号を必ず混ぜるようにしましょう。また、定期的に変更することも忘れないでください。さらに登録した機器からしかアクセスできないIPアドレス認証と組み合わせることによってセキュリティ対策を強めることができます。

 

●不正アクセスをブロックする取り組みを行う

不正なアクセスや攻撃があった場合にブロックするシステムの導入がポイントです。例えば、侵入防止システム（IPS）や、Webアプリケーションファイアウォール（WAF）の導入もセキュリティ対策において非常に有効です。アプリケーションファイアウォールに関してはクラウド型もあるので状況に応じてチェックしてみるとよいでしょう。

上記がECサイトにおけるセキュリティ対策の代表的な例となります。このほかにもセキュリティ対策を専門にしている会社に相談すると方法もあります。セキュリティ対策を専門としている会社では、脆弱性などの詳細なセキュリティ診断を行ってくれます。こちらを利用してみるのも1つの手かもしれません。

以上、ECサイトにおけるセキュリティ対策について解説してきました。情報漏洩が企業に与えるダメージは計り知れないものです。社会的に信用を失ってしまう上に、多大な賠償金を支払うことになるので、企業存続にもかかわる重大な問題と言えるでしょう。そのため、セキュリティに対する意識は常に高く持っておかなければなりません。外部からのサイバー攻撃にも対応できるECサイトの構築・運用が大事です。

 

システム開発の最適な発注先をスムーズに見つける方法

システム開発会社選びでお困りではありませんか？
日本最大級のシステム開発会社ポータルサイト「発注ナビ」は、実績豊富なエキスパートが貴社に寄り添った最適な開発会社選びを徹底的にサポートいたします。
ご紹介実績：22,000件（2024年10月現在）

外注先探しはビジネスの今後を左右する重要な任務です。しかし、

「なにを基準に探せば良いのか分からない…。」
「自社にあった外注先ってどこだろう…？」
「費用感が不安…。」

などなど、疑問や悩みが尽きない事が多いです。
発注ナビは、貴社の悩みに寄り添い、最適な外注探し選びのベストパートナーです。
本記事に掲載するシステム会社以外にも、最適な開発会社がご紹介可能です！
ご相談からご紹介までは完全無料。
まずはお気軽に、ご相談ください。 →詳しくはこちら

 

 

 

■ECサイト構築の関連記事