BtoB ECでも注意が必要！情報セキュリティリスクと影響、対策について|BtoB EC・Web受発注システム「アラジンEC」

お役立ち情報

Information

アイルが提供するお役立ち情報

Web受発注システム・ECサイト構築（BtoB）「アラジンEC」 > お役立ち情報 > BtoB ECでも注意が必要！情報セキュリティリスクと影響、対策について

BtoB ECでも注意が必要！情報セキュリティリスクと影響、対策について

お役立ち情報
2024.03.14 更新

セキュリティ対策は主にBtoCで意識されるイメージが強いかもしれませんが、取引の規模が大きいBtoBでも同じように気を付けなければなりません。デジタル取引となるBtoB ECは電話やFAXなどアナログの取引よりもセキュリティ面で安全ですが、それでも情報漏洩などのリスクがあります。

そこで今回は、BtoB ECで気を付けるべき情報セキュリティリスクを、その影響について説明した上で、取り入れるべき対策を解説します。セキュリティは企業の信用問題に直結し売上を左右する問題であるため、本記事を参考に万全の体制を整えましょう。

アナログな受発注業務におけるセキュリティリスク
ECサイト関連のセキュリティ事故事例
BtoB ECサイト上で想定されるセキュリティリスクによる影響と対策
BtoB ECサイト構築時・運用時に取るべきセキュリティ対策
セキュリティ強化にはBtoB EC「アラジンEC」がおすすめ

アナログな受発注業務におけるセキュリティリスク

企業間取引の中核を担う受発注業務は、特にセキュリティ対策が欠かせない業務です。

BtoB ECなどのシステムを用いずにアナログで受発注業務を行った場合、どんなセキュリティリスクがあるのかを解説します。

FAXやメールの誤送信

FAXやメールは宛先を間違えると、誤った宛先が実在していた場合にそのまま送信されてしまうケースがあります。

A社へ返送するはずだった押印済みの注文書を、別の取引先であるB社へ送ってしまった場合、B社に「A社と取引があること」や「A社への販売金額」を知らせてしまうことになります。BtoBの商取引は取引先によって販売金額が異なる場合もあるため、今後の取引に影響が出る恐れもあります。

また、万が一機密情報が掲載された書類を誤送信してしまうと企業の信用問題に関わりますし、場合によっては悪用されてしまうことも考えられます。宛先を人の手で入力する場合はこうしたリスクを0にするのが難しく、常に注意し続けなければならないでしょう。

取引関連書類による情報漏洩

注文書など取引に関わる印刷物は、紛失や盗難のリスクがあります。さらに取り違いや破棄ミスが起こることもあり、セキュリティ対策が難しいことがデメリットです。もし書類を紛失しても「誰がいつどこで持っていたのか」を把握しづらく、事後処理も困難を極めます。

実際、情報漏洩のほとんどが社員の不注意や認識不足によって発生していると言われており、厳重な対策が必要です。

テレワークや働き方改革の妨げとなる

情報漏洩を防ぐため、社外に注文書などの書類を持ち出すことを禁止している企業も多くあります。FAXで受発注処理をするために出社を余儀なくされる場合もあるなど、アナログな受発注業務がテレワークの障壁になっている企業も多く、働き方改革の妨げにもなります。

こうしたセキュリティリスクは、BtoB ECの導入によって軽減できます。ただ、BtoB ECにも少なからずセキュリティリスクがあるため、リスクを十分理解し、適切な対策を施してから導入を検討することをおすすめします。

ECサイト関連のセキュリティ事故事例

では、BtoB ECにはどのようなセキュリティリスクがあるのでしょうか。BtoB ECのセキュリティ事故を中心に、過去事例を紹介します。

2021年3月アパレル資材BtoB ECサイトでクレジットカード情報流出

アパレル資材を扱うBtoB ECサイト「ApparelX」にて、ECサイトの利用者195名分のクレジットカード情報が流出し、一部のクレジットカード情報が不正利用された可能性があることが発覚しました。これは、悪意の第三者による不正アクセスによって決済ページが改ざんされたことによるセキュリティ事故です。

クレジットカード情報だけでなく、出荷先となっていた利用者の名前や住所、電話番号、メールアドレスなども流出した恐れがあるとして、対象の利用者にはメールで報告と謝罪を行いました。その後はクレジットカードによる決済を停止して外部事業者による調査を受け、クレジットカード会社の承認を得て翌月末にクレジットカード決済を再開しています。

2016年4月 BtoB卸プラットフォームの個人情報流出

BtoB 卸プラットフォーム「NETSEA」も、不正アクセスにより13万1464件もの個人情報が流出し、7386件のクレジットカード情報も流出しました。オープンソース暗号化ライブラリの脆弱性が原因だとみられています。

事件が発覚してからは、流出した可能性のあるクレジットカードのモニタリングを継続して実施しました。該当のユーザーには個別で連絡し、専用の問い合わせ窓口を開設して対応しています。

2019年5月 BtoCの大手ファストファッションECサイトで個人情報流出

BtoCの事例ではありますが、ファーストリテイリング傘下のECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」においても第三者による不正ログインが発生しています。十分なセキュリティ対策を行っているはずの業界最大手ECでのセキュリティ事故として、多くの注目を集めました。

不正ログインされたアカウント数は46万1091件に上り、登録情報が変更されるなどのトラブルが起きたため、個人情報が流出した可能性があるユーザーIDのパスワードを無効化し、再設定メールを個別に連絡するなどの対応を取っています。

BtoB EC上で想定されるセキュリティリスクによる影響と対策

BtoB ECで起こり得るセキュリティリスクにはどのように対応したらいいのでしょうか。各サイバー攻撃の概要と、ECサイトが攻撃を受けた際の影響、事前に取るべき対策を解説します。

不正アクセス

不正アクセスとは、アクセス権限を持たない第三者がサーバーやシステムに侵入する行為を意味します。手口はシステムの脆弱性を狙われたり、ウイルスに感染させられたりなどさまざまです。

不正アクセスの影響は主に情報漏洩から生まれます。データの改ざんや盗難などが行われ、損害賠償が発生したり社会的信用の失墜が起きたりと、企業にとってはかなりのダメージになります。

不正アクセスを防ぐ対策としては、常に進化するサイバー攻撃に耐えられるシステムの構築・改修、不正アクセスを即時発見できる検知システムの導入などが挙げられます。ECの場合はユーザーへの注意喚起も重要で、他社サービスと同じパスワードを設定しないこと、複雑でセキュリティレベルが高いパスワードを設定することなどを啓蒙していくべきでしょう。

Webサイト改ざん

Webサイト改ざんとは、不正アクセスなどによりサーバーやアプリケーションを不正に操作して、改ざんしていく行為です。Webサイトそのものが乗っ取られてしまうため、特に注意が必要です。

Webサイト改ざんにより企業システムに侵入できるようにバックドアを設置されたり、マルウェアを埋め込まれてアクセスしたユーザーを感染させたり、リンクを書き換えてユーザーをフィッシングサイトへ誘導したりするなど、甚大な被害が発生するリスクがあります。長期的に情報搾取されるケースも珍しくなく、企業の信用を著しく引き下げます。

Webサイト改ざんを防ぐ対策としては、OSやWEBアプリケーションをアップデートして脆弱性を解消するほか、サイトのアクセス権限を厳重に管理し管理者教育を実施することや、改ざん検知サービスを導入することなどが挙げられます。利用者側にも、PCにウイルス対策ソフトを導入し、定期的なアップデートを行うように促しましょう。

DDoS攻撃

DDoS攻撃（ディードス攻撃）とは「Distributed Denial of Service attack」の略称で、悪意の第三者が複数のコンピューターを乗っ取って、特定のサイトやサーバーへ過剰な負荷をかけるサイバー攻撃のことです。データ送付や過剰なアクセスによってネットワークに負荷をかけ、サイトにアクセスできない状態に追い込みます。

BtoB ECにおける影響としては、利用者がECサイトへのアクセスができなくなり、取引ができなくなることがあります。サービス停止状態になれば、ECを運用する企業にとっては機会損失になり、取引先からの信用も下がります。

DDoS攻撃を防ぐ対策は、WAFなどの対策ツールの導入、攻撃を受けた際の対応（アクセス遮断や通報など）のマニュアル化が挙げられます。攻撃元のIPが把握できたら、アクセス回数を制限したり遮断したりしてリスクを軽減しましょう。

BtoB EC構築時・運用時に取るべきセキュリティ対策

サイバー攻撃によるセキュリティリスクを軽減するため、BtoB ECの構築・運用において実施するべきセキュリティ対策があります。

ISO27001（ISMS認証）やプライバシーマーク（Pマーク）取得ベンダーを選ぶ

BtoB ECシステムのセキュリティレベルを保つ上で、情報セキュリティに関する認証であるISO27001（ISMS認証）やプライバシーマーク（Pマーク）を取得したベンダーのシステムを選ぶのは有効な手段です。

ISO27001とはすべての情報資産を対象にした国際規格であり、BtoB取引によく利用されます。

プライバシーマークは個人情報を対象とした国内規格で、個人情報を適切に取り扱っているかどうかを審査されます。国内では取引先から取得要求されるケースも多く、プライバシーマークを取得していない企業は入札できないなど、取引の必須条件になっていることもあります。

決済代行サービスや掛払いサービスを連携する

決済代行サービスや掛払いサービスと連携することで、顧客のクレジットカード情報の処理や保管を委託することができます。これによりクレジットカード情報を自社のECシステム内に保存する必要がなくなり、「クレジットカード情報の非保持化」が実施できます。

万が一ECサイトが不正アクセスなどの被害を受けた場合にも、決済代行サービスや掛払いサービスを利用している顧客のクレジットカード情報はECシステム内には存在しないため、クレジットカード情報が流出することを防げます。

決済代行サービスや掛払いサービスは取引先の与信問題などもクリアできるので、請求業務を効率化したり、新規取引先を増やしたりするのにも役立ちます。

サイトのアクセス権限を厳重に管理する

不正アクセスを防ぐため、サイトのアクセス権限を厳重に管理するECサイト設計にすることも効果的です。担当者ごとにログインIDをつけて「誰が、いつ、何をしたか」が詳細に把握できるようにすれば、もしトラブルが起きてもすぐに対処ができます。

ほかにもアカウントロック機能は不正アクセス防止に適しています。人為的ミスの予防対策として、アクセス権限の厳重な管理やアカウントロック機能を活用しましょう。

管理者教育を実施する

サイトそのものの設計も重要ですが、BtoB ECサイトの管理者に対する教育も重要です。情報を安全に管理するための手順をマニュアル化し、受発注に関わる全員に周知・徹底しましょう。マニュアル化は属人化の防止にも貢献するため、新入社員でも安全にECセキュリティを高めることが可能です。

特に力を入れるべきポイントは、個人情報や機密情報の取り扱いに関する教育です。利用端末にアンチウイルスソフトを必ず導入するのはもちろん、取引関連書類の持ち出しを禁止するなどのルールを徹底し、ECサイト構築時にしっかり教育して、定期的にチェックしましょう。

定期的に脆弱性診断を実施する

セキュリティが強化されればサイバー攻撃も進化していきます。手を変え品を変え日々新たな攻撃手法が増えているため、定期的に更新プログラムを確認して最新のセキュリティを取り入れつつ、外部の脆弱性診断を実施していく必要があります。

自社の判断を過信せず、常に第三者の目線からセキュリティチェックを行って、抜け漏れがないか確認する習慣をつけましょう。

セキュリティ強化にはBtoB EC「アラジンEC」がおすすめ

BtoB ECサイト構築・Web受発注システム「アラジンEC」を提供するアイルでは、徹底したセキュリティ対策を実施しています。

すでに紹介したアカウントロックのほか、多要素認証（二段階認証）も標準機能として搭載しており、管理者・取引先のログインにおいて任意でシステムに適用できます。ほかにも、常時SSL化などにも対応していて、ISO27001（ISMS認証）やプライバシーマークも取得しているため国内外の取引において十分な信用を獲得可能です。

アラジンECが多くの企業から支持されている理由や、スムーズに導入・運用できるアフターサポートについては、こちらよりご確認いただけます。