ホリデーシーズンとサイバーセキュリティ

クリスマスから年始にかけてのホリデーシーズンを、「一年で最も素敵な時期（the most wonderful time of the year）」と呼ぶ人もいます。しかし、e-コマースの Web サイトを監視しなければならないITセキュリティ管理者にとって、クリスマス商戦が展開されるこの時期は、「一年で最も恐ろしい時期」かもしれません。

2018年のホリデーシーズン中にサイバー犯罪者がどれほど暗躍したかを振り返ると、ITセキュリティ管理者がホリデーシーズンを憂鬱に感じる気持ちは理解できます。

• Cyber Defense Magazine は、ハッカーがホリデーシーズンに向けて準備を始めたことを示唆する数字を公表しました。2018年第３四半期に判明した悪意あるアプリの数が、第2四半期より220％増加しました。
• ホリデーシーズンが始まると、最もトラフィックの多い10サイトのブランド用語を含むブラックリスト・アプリが50％近く増加しました。

この Cyber Defense Magazine では、サイバー犯罪者がブラックフライデーと新年の間に、e-コマース・サイトを侵害して7,000近くのデジタルクレジットカードスキマーを置いたとも報じています。つまり、2018年のホリデーシーズンの間に、毎日ほぼ180のインシデントが発生したことになります。

セキュリティの基本は12月も7月も同じ、いっそうの厳重さが必要

2018年のサイバー犯罪の統計はこのような震撼すべきデータを示していますが、ホリデーシーズン中の e-コマース・サイトのITセキュリティの基本は、他の季節と変わりません。デジタル資産と顧客情報を保護するために12月に行うべきことは、7月に行うべきことと同じです。

違いは、ホリデーシーズン中は、動くお金がはるかに多いことです。他のどの季節よりも多くの買い物客がオンラインにアクセスし、より多くのお金を使います。それと同時に、より多くのハッカーが、クレジットカード情報をできるだけたくさん盗もうと、躍起になってオンラインにアクセスします。特に、今年も最高を更新したサイバーマンデーのような多忙な日は、皆クレイジーになります。

この最大の贈答シーズンに顧客を憤らせることだけは避けるべきです。7月に家族への贈り物を買おうとした人が何か不満を感じたとしても、挽回の余地があるかもしれませんが、もし、その同じ人が12月の大切な贈り物を買おうとして問題があった場合は、顧客から永久に見放されてしまうかもしれません。

9つの主要なセキュリティ防衛策

ITセキュリティプランの一環として、ホリデーシーズンに最初に行うべきことは、おそらく、e-コマース・サイトを保護し、顧客情報を保護するためにあらゆる手段を尽くしいていることを顧客に知らせることでしょう。ホームページにバナーをつけて、Webサイトが安全であることを強調し、セキュリティを確保するために利用しているテクノロジー、ポリシー、プロセスについて詳細を説明するページへのリンクを張ることも一考に値します。

e-コマース・サイトの堅固なセキュリティ体制を確立するために検討すべきセキュリティ防衛策として、次の９つが考えられます。

1. PCI DSS コンプライアンス認定

もし、今の時点で PCI DSS コンプライアンスを満たしていない場合は、このホリデーシーズンには間に合いませんから来年の課題になりますが、検討すべきセキュリティ対策です。PCI DSS コンプライアンス認定を受けるということは、高いセキュリティ・コントロールができていることの証明であり、これを顧客に提示できれば、セキュリティに真摯に取り組んでいる企業として、大きな信頼が得られます。

2. 仮想プライベートサーバー

プラットフォームをホストしているプロバイダが仮想プライベートサーバーをセットアップしていることを確認してください。共有ホスティングサービスよりもコストがかかりますが、セキュリティ体制が脆弱な共有プラットフォーム上の別の e-コマース・サイトが侵害された場合に、そこから侵害が広がるリスクから保護します。

3. サイト全体での HTTPS 使用

サイトの支払いページでだけ安全な HTTPS プロトコルを使用する会社もありますが、すべてのページがハッキングされる可能性があるので、サイト全体にこのレベルの保護を適用することが重要です。HTTPS を使用することは、Google のランキング向上にもつながります。

4. プラットフォームのセキュリティチェック

Webサイトのプラットフォームプロバイダと最初に契約したときに、おそらく提供されるセキュリティのレベルを調査したのではないかと思いますが、セキュリティのレベルは確認し続けることが重要です。ホリデーシーズンの前には、特にチェックしてください。セキュリティ・レベルが保持され、パッチが適用される必要があります。

5. 管理者の資格情報の変更

管理者の資格情報は、ホリデーシーズンの前を含め、定期的に変更する必要があります。再設定するユーザー名とパスワードは、推測するのが困難なものを使用するよう注意してください。また、特定のユーザーIPアドレスへの管理者アクセスを制限するようにします。失敗したログイン試行が続く場合、ハッカーが試行している可能性があるので、それを検出するような警告設定も行うべきでしょう。

6. クレジットカードのデータを保存しない施策

顧客のクレジットカード情報を保存するオプションを提供する e-コマースのプラットフォームは多いですが、クレジットカードのデータを保存する場所があるということは、データ侵害にあった場合のリスクが甚大になります。クレジットカードのデータは顧客保護のために保存しないという方針をホームページで強調すれば、セキュリティ対策に真摯に取り組んでいる企業という良い心証が得られます。

7. 不正検出ソフトウェア

注文するデバイスのIPアドレスやクローキングなどをチェックすることで、各トランザクションのリスクレベルをリアルタイムで判定できる不正検出ソフトウェアがあります。疑わしいと思われる場合は、注文を拒否するか、身元確認のための追加情報を求めることができます。

8. 多層セキュリティ

データ保護は、何か1つだけあれば対応できるというものではありません。様々な地域の多くの顧客を保護するには、マルウェア検出、物理ファイアウォール、Webアプリケーションファイアウォール、などの複数のセキュリティ層を用意するべきです。e-コマース・サイトへのアクセスに多要素認証を使用することもできます。身元確認のための追加手順が必要になるので多少の便利さは犠牲になるとしても、悪意ある人物がアクセスを許されてしまうことと比べれば、受け入れられると思います。

9. データのバックアップと災害復旧

ホリデーシーズン中のセキュリティという観点から特に重要なことは、データのバックアップと災害復旧プロセスが適切に機能することを確認することです。データ保護対策の隙間をついて万一サイバー攻撃に遭ってしまった場合、少なくともオーダーを受信することができるよう、できるだけ早く操作を復元する必要があります。

セキュリティは企業責任

このようなセキュリティ保護のためには、ホストプロバイダと緊密に連携する必要がありますが、e-コマース・サイトのセキュリティは最終的にはサイトを所有する企業の責任になります。そのため、ホストプロバイダが行っていると主張することをしっかり実証できる専門知識を持ったセキュリティ・コンサルタントに協力を依頼することも視野に入れていいでしょう。セキュリティ・コンサルタントは、希望すれば、社内のセキュリティメカニズムが十分かどうかもチェックしてくれるはずです。

すべてうまくいって、（サイバー犯罪者以外の）誰にとってもハッピーなホリデーシーズンになりますように！