個人情報保護委員会 ECサイトへの不正アクセスに関する実態調査（令和４年３月）

こんにちは、丸山満彦です。

個人情報保護委員会が、ECサイトへの不正アクセスに関する実態調査（令和４年３月）を公表していますね。。。

多層防御 (Multi-Layered Security) の考え方がちょっと違うかなぁという気もします(^^;;

委託先の話は、システム開発・運用環境については様々なパターンが想定されるので、どのパターンに対して、どのような対策が適切かとか色々あり得るので、対策を簡単にまとめるのは難しいなぁ。。。と思ったり増しました。。。

 

● 個人情報保護委員会

・2022.03.18 [PDF] ECサイトへの不正アクセスに関する実態調査（令和４年３月）

 

---

1. 漏えい等の発生原因

・ 不正アクセスを受けた EC サイトの運営事業者の多くが、EC サイトの開発・構築、運用・保守を外部の事業者に委託していた。

・ 外部委託している事業者において、自社と委託先との間でセキュリティ対策に関する責任範囲を理解しておらず、認識合わせ・合意をしていないとする事業者が多くみられた。セキュリティ対策に漏れが生じないようにするため、委託先との間で、セキュリティ対策の具体的な方法や責任範囲を明確にしておくことが肝要である。

・ 不正アクセスの発生理由についての自社の認識として、脆弱性についての理解不足、技術的ノウハウの不足など、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられ、委託先任せの姿勢を挙げる事業者も過半数となっているほか、予算・人的リソースの不足を挙げる事業者も半数近くに及んでいる。

2. 再発防止策

・ 不正アクセスを受けて、EC サイトの開発・構築を、自社開発や外部委託から、クラウド型サービスによる構築やショッピングモール型のサービスの利用に切り替えた事業者が、多くみられる。

・ 不正アクセスを受けた後、多くの事業者が、EC サイトのセキュリティ対策として、①セキュリティ製品の導入、②定期的なソフトウェアの更新、③管理者画面へのアクセス制御の強化又は多要素認証、④WAF の設定見直しや EC パッケージのセキュリティ設定の定期見直し、⑤製品脆弱性の最新情報の収集、⑥定期的なセキュリティ診断を実施している。再発防止策として、これらのセキュリティ対策をできるだけ複数、組み合わせた多層防御を行うことが求められる。

・ 不正アクセスを受けた後、自社従業者へのセキュリティ教育の強化やセキュリティ責任者の配置など、管理体制の強化を図った事業者が多くみられた。自社の EC サイトに必要なセキュリティ対策について全て委託先任せとするのではなく、委託元としてもセキュリティ対策に関する知識を有する人材を育成・確保していくことが求められる。

3. 漏えい等に伴い発生した損失

・ 不正アクセスを受けて個人データが漏えいすることにより、原因等の調査や顧客対応等に多額の費用が発生するほか、EC サイトの運営再開までの間の販売機会を逃すことによる損失も生じる。

・ こうした損失を回避するためには、セキュリティ対策を日頃から適切に行うことが肝要である。

---