シェアNo.1 売れるECサイト「ecbeing」+最高水準のセキュリティ対策 安心・安全のECサイト「LAC」

両社の約束・目指したものは ?

  1. 顧客情報を守ること
  2. サービス提供側として責任を果たすこと
  3. 「安心・安全なサービス提供」をする上で、気持ちだけではなく確実に取り組みをすること

両社が目指すものは、「店舗とお客様がいつも安全な電子商取引を安心して実行できる環境の提供」であり、円滑な電子商取引をおびやかす脅威に対して万全のセキュリティ対策を施す必要があると考えました。

設計から運用まで、万全のセキュリティ対策

「ecbeing」は、設計、開発、運営、運用、組織体制といった全ての過程で、ラック社が提供するセキュリティ対策を実施し、安心・安全なECサイトを提供いたします。

設計から運用まで、万全のセキュリティ対策 構成図

「巧妙化するインターネットの脅威にECサイトのセキュリティはどうあるべきか」株式会社ecbeing 代表取締役社長 林 雅也 株式会社ラック 取締役 専務執行役員 最高技術責任者 西本逸郎

標的型攻撃やリスト攻撃、サイトの改ざんやウイルス感染、そして顧客情報漏えいなど、ECサイトを取り巻く脅威は日々深刻さを増している。ECサイトのセキュリティ対策、リスク管理はどうあるべきか。ECパッケージのリーディングカンパニーである株式会社ecbeingの林雅也社長とラックの西本逸郎・取締役 専務執行役員 最高技術責任者に語っていただいた。

ビジネスが成長するにつれて増幅するセキュリティリスク

西本
つい最近、ビットコインのマウントゴックス社が取引を停止したことで注目を集めました。セキュリティの視点からあの事件をみると、管理情報が代表者のパソコンから外部に漏れたということですが、これは大変な脅威です。急成長を遂げるようなネット系企業、ECサイトの多くは、最初はわずかな資金で創業し、利益があがったらセキュリティにも投資をしようと考える。ところが起動に乗りだしたら忙しくなってしまい、セキュリティどころではなくなってしまうのです。ecbeingさんのように、セキュリティ対策を初めからしっかり講じたECパッケージを提供するのは、たいへん合理的です。
ECサイトでは、たくさんの課題があります。その1つは、ECサイトの運営者側が、なかなかセキュリティまで手が回せないことです。当社では、パッケージ、データセンター、運用、開発体制とセキュリティ全般に力を入れ、お客様のリスクの低減に加え、負荷の軽減に努めております。また、ラックさんにデータセンターの監視とセキュリティ全般のコンサルティングをしていただくことで、お客様のセキュリティ問題全体をカバーしていると言えましょう。そうした協業体制をふまえて、西本さんがお考えになる、ECサイトのセキュリティ・ポイントをお聞きしたいのですが。
西本
ECサイトのセキュリティでは、サイトの管理をしているパソコンの安全性を確保することが大切です。ここが甘いと簡単にサイトを改ざんされてしまう。たとえば、オンラインバンキングのIDとパスワードを盗もうというときに、ECサイトを改ざんしてウイルスを潜ませれば、そのサイトで買い物をする人のIDとパスワードをごそっと盗める可能性がある。狙う側にしてみれば、一般のサイトを改ざんするよりも効率よくIDやパスワードを入手できるので、当然、ECサイトを狙ってくるでしょう。ECサイトが改ざんされるリスクは、一般のサイトより高いと考えられます。標的型攻撃やリスト型攻撃への対策は必須です。たとえば、ECサイトにクレームメールを装ってウイルスを送りつけて、そこを糸口に標的型攻撃を仕掛けるケースも実際に出ています。

設計・開発から運用・組織体制までの全過程で最高レベルのセキュリティ対策を実施

非常に怖いですね。昨今、ECサイトへの攻撃は多様化し、ファイアウォールの突破、各種サービスの妨害・停止、ルート権限の奪取まで、じつに多彩です。当社では、こうした脅威からEC サイトを守るためにラックさんの協力のもと、設計、開発、運営・運用、組織体制といった全ての過程で、ECサイトとして最高レベルのセキュリティ対策を実施しています。しかし、巧妙化する脅威に対しては、さらにセキュリティレベルを高めようという意識を持ち続ける必要がある。今のお話では、今後は外部からの攻撃だけではなく、巧みにECサイトに侵入し内部からウイルスで攻めてくるような事態が増加するということですね。では、内側に入り込んでの攻撃に対抗するには、どんな対策が有効なのでしょうか。
西本
ECサイトの管理をするパソコン、オンラインバンキングのシステムとつながっているパソコンの管理が重要です。これに尽きます。少し極端なお話をしますと、メールを送受信したり、ホームページを閲覧したりするパソコン、ようするにインターネットに接続しているパソコンは「ウイルスへの感染を前提とする」くらいの考え方も必要かもしれません。インターネットの脅威は今、そのくらい深刻な状況なのです。そうした考え方を前提にして、顧客情報など重要な情報を管理するパソコンはネットワーク接続を限定し、外部と接続しないようにすることも必要かもしれません。インターネットに接続している他のパソコンがウイルスに感染しても、重要な情報を管理しているパソコンは隔離されているので被害を受けない。こういった考え方でセキュリティ対策をするほうが、全てのパソコンに強固なセキュリティをと考えるよりも費用対効果が高いような気がします。

セキュリティ対策は経営におけるリスク管理の1つ

なるほど、ECサイトの運営者側の対策も重要となるということですね。しかし、サイト運営者側の対策だけでは、当然不十分でしょう。当社では、ラックさんが提供するセキュリティ診断サービスを定期的に受け、安全に運営できるようにしています。あわせて、ラックさんが運営する国内最大級のセキュリティ監視センター「JSOC」のセキュリティ監視・運用サービスで、外部だけでなく内部から発生する脅威に対しても、ECサイトのサーバを24時間365日監視して安全な運用を実現しています。しかし、セキュリティについては、技術的に難しい部分が多く、重要性は認識しつつも、具体的に何が危険で、どう対応したらいいか判断することは難しいと思いますがどう対応すべきでしょうか?
西本
経営者として重要な資質のひとつである「リスク管理」という視点からお話をすることはあります。少々、極端な言い方になってしまいますが、リスクを理解できない経営者は「本当の意味での経営者ではない」と思っています。そこで、セキュリティ対策を軽んじることによるリスク、そこから派生する甚大な被害についてご説明し、経営者の方々には想像力を働かせてご理解をいただくことが必要だと感じています。たとえば、ある企業のWebサイトが改ざんされた場合、それを元に戻せば問題なしとは誰も考えませんよね。取引先からクレームがきたり、メディアに取り上げられて企業の評判は落ちるかもしれない。株価に影響がでるようであれば被害はさらに大きくなります。そういったことまでをトータル想像できるかどうかが大事です。

システムを提供する側と使う側ベクトルが合致してセキュリティが強固になる

セキュリティの脅威が日々巧妙化していく中で、弊社がラックさんに期待するところはとても大きいのです。私は、セキュリティをオフィスビルなどの建物にたとえて考えることがあります。先進の警備システムを備えたビルであっても、たとえば入口に警備員が配置されているビルとそうでないビルでは、やはり外部からの侵入しやすさという点が異なるでしょう。ラックさんに期待したいのはまさにそこです。
西本
なるほど、同時に私としては「守られる側がどう守られたいのか」という意識を常に持っておいていただきたいのです。真の意味で強固なセキュリティとは、そのシステムを提供する側と使う側が、お互いに目的を共有してベクトルを合わせたときに初めて効力を発揮できるのです。その意味でもシステムを使う側が、セキュリティに対する意識を高めていただくこともとても重要なのです。そしてecbeingさんには、御社のパッケージを使用してECサイトを提供する店舗や買い物をするお客様側にも、常にセキュリティ上の脅威があることを理解・想定していただきたいのです。ECサイトを管理する店舗のパソコンが乗っ取られていたり、お客様のIDやパスワードが盗まれた状態では、どんなに御社がセキュリティ対策を講じても防ぐことができないわけですから。
そうですね。これは弊社にとっての重要なリスク管理ですね。ecbeingではこの点もふまえ、引き続き、御社の協力を仰ぎながら、システムを提供する側としてのセキュリティ強化に務めていきたいと思います。ECサイトの設計、開発から運用までのPDCA のサイクル全てのフェーズにおいて、ラックさんが蓄積したセキュリティ対策のノウハウを導入し、安心・安全にECサイトを運営できる体制をお客様にご提供していきます。本日は、貴重なご意見をありがとうございました。

安全・安心をお届けする両社のサービス

ecbeingecbeingのサービスはこちら

ECパッケージ

中堅大手900サイトに導入実績のあるEC(電子商取引)サイト構築パッケージecbeingを提供しています。ラック社のプログラム診断等も受けた形でお客様の顧客情報を強固に守ります。

システム構築・基幹連携

パッケージ機能に対して柔軟にカスタマイズ対応することができます。業務と密接に関わるECシステムは、特に基幹システムとの連携が多くこれに対する実績も豊富です。

サーバホスティング

ecbeing稼働に必要なサーバ環境を自社IDCにて堅牢性を持った形でご提供します。企業にとって大切な顧客・売上情報を管理するサーバをラック社と共同で24時間365日体制で運用・管理いたします。

LAC

セキュリティ診断

攻撃者の視点から様々な疑似攻撃を試行・考察し、システムの安全性を調査します。WebアプリケーションやOS、ミドルウェア、データベース等を診断対象とし、診断結果と合わせてリスクレベルや対策等について報告・提案させていただきます。

コンサルティング

対策有効性評価に裏付けられた、実現可能な具体的なIT実装計画を作成する情報セキュリティプランニングや、情報セキュリティポリシーの策定・導入・運用管理を支援する情報セキュリティマネジメントサービス等を提供いたします。

セキュリティ監視・運用

セキュリティ監視機器の運用はもちろん、巧妙化する不正アクセス通信の分析や侵入検知後のインシデント対応までを、24時間365日リアルタイムで実施するセキュリティ監視・運用サービスです。