ECサイト運営者が直面するセキュリティリスクと誤解について、セキュリティーサービスのカスペルスキーがまとめた記事が公開されていますので、要約を掲載します。
社員個人向けの啓もう資料もダウンロードできます。

1. ECサイトにおける情報漏洩の現状
   ECサイトの利用は増加しているが、情報漏洩事故も多発。

クレジットカードの不正利用被害は2023年だけで500億円超。

ECサイトには個人情報や購入履歴など、犯罪者にとって価値のあるデータが蓄積されている。

2. 運営者にありがちな3つの誤解
   誤解①：「ウチは大手じゃないから狙われない」
   規模に関係なく、ネット上のサイトは自動的に攻撃対象になりうる。

攻撃者はランダムに脆弱性を探索し、侵入可能なサイトを狙う。

誤解②：「開発・保守会社がセキュリティ対策をしてくれる」
セキュリティは発注先任せにできない。

クラウド事業者のセキュリティ範囲には限界がある。

運営者自身が管理・契約内容を確認し、対策を講じる必要がある。

誤解③：「クレカ情報を保持していないから大丈夫」
「ウェブスキミング」攻撃により、ECサイトを通じてクレジットカード情報が盗まれる可能性がある。

顧客が偽フォームに誘導され、情報を盗まれるケースが増加。

3. クレカ情報以外も狙われるリスク
   会員の個人情報、ログイン情報も攻撃対象。

侵入されたサイトは、別の攻撃の踏み台としても利用される。

4. ECサイト運営者が取るべき対策
   ① セキュリティガイドラインの活用
   「クレジットカード・セキュリティガイドライン」（2025年3月改訂）：EC加盟店全体のセキュリティ対策を強化。

「ECサイト構築・運用セキュリティガイドライン」（IPA発行）：具体的なセキュリティ対策を示す。

② 侵入を防ぐための具体的対策
ウェブサイトの脆弱性診断を定期的に実施。

管理画面のアクセス制限や二要素認証の導入。

異常を検知する監視システムの導入。

③ コストとセキュリティのバランスを取る
セキュリティ対策にはコストがかかるが、リスクを考慮し適切な投資を行う。

信頼できるベンダーと連携し、効果的な対策を進める。

5. 最後に
   ECサイト運営者が自らセキュリティの重要性を理解し、継続的に対策を実施することが事業の安定と顧客の信頼につながる。