パンデミックの影響でオンライン決済の需要が高まる中、そのような状況を利用して悪事を働くサイバー犯罪者の数も増加しています。
そしてEC運営者の懸念点となるのが、Eコマース運営プラットフォームの安全性です。以前の記事でコロナウイルスによって懸念点となるセキュリティー対策や来月11月に行われるセールスイベントBlack FridayやCyber Mondayが及ぼすセキュリティー対策への影響について記載しましたが、Shopifyはセキュリティー対策のため様々な対策をしています。本記事ではShopifyがEC運営者様に快適なEコマースビジネスを行って頂くためにしている対処法や対策方法を紹介していきます。
Shopifyのウェブサイト上で入力されたクレジットカード情報は256ビットでSSL暗号化され、万が一データが喪失された場合に備えてバックアップシステムが導入されています。また、ShopifyはLevel 1 PCI DSS (The Payment Card Industry Data Security Standard)セキュリティー基準を満たしているEコマースプラットフォームであり、6つのカテゴリーで分類されたPCIカテゴリーの全てに対応しています。カテゴリーは以下の通りです。
- 安全性の高いネットワークを維持する
- ファイアーウォールの導入が必須
- 既存のパスワード利用をしないことが条件
2. クレジットカード利用者の個人情報を保護する
- カード利用者の情報を暗号化することが条件
3. セキュリティーの脆弱性管理を維持する
- ウイルス対策のソフトウェアとプログラムを日々利用しアップデート することが条件
- 安全性の高いシステムを開発しシステムとアプリケーションを保護することが条件
4. アクセス管理・利用制限の審査基準を強化する
- クレジットカード利用者の情報アクセスの管理をすることが条件
- ウェブサイト上にアクセスしたユーザーにそれぞれ特別なIDを割り当てることでセキュリティー強化をすることが条件
- クレジットカード利用者の情報へのアクセス制限
5. ネットワークを日々監視・テストする
- ネットワーク上へのアクセスを追跡・監視することが条件
- セキュリティーシステムを常にテストすることが条件
Shopifyが満たす基準であるLevel 1は最上級のレベルであり、年間600万件以上取引をする企業が対象となります。
AmazonやAlibaba、楽天といったEコマース企業が例として挙げられます。これらの大規模な会社は、PCIコンプライアンスを直接銀行に報告することが条件となっています。ちなみにPCI DSS誕生の起源は、クレジットカード会社が連携してインターネット上の顧客情報の取り扱い方法について検討した結果、PCI基準を4つのレベルに分類したことが始まりです。
また、Level 1 PCI基準を満たすためには、3ヶ月に一 度ウイルスチェックのスキャンをすること、年に最低4回PCI DSS準拠公認の第三者監査会社による訪問審査を行うこと、クレジットカード決済システムのセキュリティ対策チェックを行うこと、そして準拠証明書の発行をすることが条件となります。これらを行う理由として、新たなウイルスやサイバー攻撃の手法が常に開発・試験されていることが挙げられます。さらに年に1度、PCI SSCが認定した審査機関からセキュリティー対策に関して報告書を発行してもらうことも挙げられます。
オンラインショッピングの需要が高まる中、EC運営者として優先すべきこととしてプラットフォームのセキュリティー対策はトップ3にランクインするでしょう。というのも、顧客の個人情報やクレジットカード情報を安全にすることで顧客満足度だけでなく、EC運営者様の企業の信頼度の向上にも繋がるからです。Shopifyは日々Eコマースプラットフォームのサイバーセキュリティー向上に努めています。
Lizuna (https://lizuna.com/) は、3つのテクノロジーを用いてオンラインショッピングサイト上の詐欺や悪意のある注文を監視・防止する会社です。EC運営者の安全なビジネス経営のため、日々研究に刻苦勉励しています。
参考文献
RSI Security. (2019, November 6). PCI LEVELS 101 — EVERYTHING YOU NEED TO KNOW. RSI. https://blog.rsisecurity.com/pci-levels-101-everything-you-need-to-know/
JOSEP. (2020, April 21). Shopify Review: What’s all the hype about?. WebsiteToolTester.