【shopify】ECサイトのセキュリティ:守るべき場所
昨今、ECサイトからの個人情報漏洩がよく取り沙汰されるようになっており、今もってECサイトを運営している方はもちろん、今後運営したいと考えている方も、非常に大きな関心がある分野だと思います。
shopifyのみならずECサイトを制作すると必ずついて回るこの「個人情報保護」における問題。
この記事では「守るべき場所」がどこなのか?にスポットを当てて、ざっくり守らなきゃいけない場所を知っていきましょう!
シリーズものなので、他のものと合わせ読むと「セキュリティ」の全体がわかりますよ!
目次
守るべき物は何か?
守るべき場所を把握する前に、前提条件としてまずは「守るべき物」が何なのかに軽く触れておきましょう!
顧客情報
ECサイトから漏れて困る情報は圧倒的に「顧客情報」になります。
これは顧客の個人情報で「氏名」「住所」「連絡先」と言う基本的な情報から、場合によっては「性別」「誕生日」「趣味」なども情報として含まれることがあります。
もっともプライベートな情報で、これを保護するための個人情報保護法がある物です。
決済情報
決済情報は主には「クレジットカード」の情報だと思えばいいでしょう。
それ以外にもApplePayやPaypay、後払い決済なども悪用される可能性はあるので、気を付けなければいけない点です。
商品データ
パーソナルな情報とは違いますが、在庫情報や価格の情報など「ライバル」に知られたくない情報だって当然あります。この辺りも守るべきポイントにはなってきますよ。
だって、在庫数を利用して値下げや、販売促進はするわけです。
サイトのデータやコンテンツ
例えば今読んでいる「ブログ」対外的に守れるわけないですが(読んでもらいたいですからね)、これも情報です。あとオリジナルで創意工夫したような機能のコードなんかもぜひ守りたいものの1つになるかもしれません!企業秘密の「秘伝のタレ」みたいな機能だってあるかもしれないですもん。
4つ書いてはいますが、やはり圧倒的に「顧客情報」と「決済情報」の2つがが守らなきゃいけない「情報」にはなるので、セキュリティの話をする時は、主にこの2点だと思ってくださいませ!
守るべき場所はどこか?
では、その守るべき情報のありかってどこでしょうか?
これは完全に2つの場所に分かれてきます。それが
- オンライン上のデータ
- ローカルデータ
この2つが守るべきポイントになってきます。
オンライン上のデータ
ECサイトを運営すれば、当然オンライン上にお店が出来上がり、そこに様々な情報が集まってくるわけです。その管理をするのも基本的にはオンライン上で行うことが多いのではないでしょうか?
そうなると「守るべき情報」はオンライン上に沢山存在することになります。
顧客情報の一覧など、よく売れているお店だと1万人なんて軽く超えるほど、たくさんの個人情報を抱えていく事になり、これを守らなくてはいけません!
このオンライン上のデータを守るためのセキュリティと言うのは、そのデータの保存方法がどうなっているのか?によってかなり方法が変わってきます!
と言のもECサイトは何かしらのプラットフォームなりプログラムを使って制作するわけですが、土台となるプログラムが
・どこにあるのか?
・どうやってアクセスするのか?
等と言う状況はお店によってもマチマチです。
自分たちで運用しているお店にとって最適なセキュリティを実施していく必要があります!
詳しい事は別の2つの記事を読むことで保管できるようにしておきますが、ここではまずざっくりと2つのポイントを押さえましょう。
3種類の本体とサードパーティー
ECサイトにはまず「本体」と言えるECサイトその物のプログラムが存在しています。それともう1つは、サードパーティー制のアプリが絡んでくるパターンが一般的な構造です。
まず本体に焦点を当てて考えてみますが
本体にも大きく分けると3つの方式が存在します。
- 自社サーバー型
- ASP型
- モール型
自社サーバー型は自社でレンタルサーバーなどを借りて、プログラムをインストールする物。ASP型はshopifyやBASE、STORES、MakeshopなどECサイトのシステムをオンライン上で使うようなシステムでサーバーは自社で用意する必要がないタイプです。
それからモール型(楽天、Amazon等)が存在しています。
このうち最もセキュリティ上厄介なのは「自社サーバー型」です。
圧倒的に守りが手薄になりやすい方式で、守るとなるとしっかりとしたセキュリティ対策をする必要があります。
近年、個人情報が洩れているのもほぼほぼこの「自社サーバー型」である事が多いと思われます。
逆に「ASP型」「モール型」は本体から情報が漏れる事は基本的にはあまりないと思ってよい部分ですね。
詳しくはまた別記事で
それからサードパーティー制のアプリですが、代表的なのは「CRM」系のツールです。
要は顧客管理ツールですね。メルマガスタンドなどはその代表例じゃないでしょうか?
例えばメルマガスタンドは、ECサイトの本体機能の一部になっている場合もありますが、それだと大抵機能不足におちいるので、外部ツールを使うケースが多くなります。
そうなるとそのメルマガスタンドにも顧客情報をアップロードして使うことになるので、そちら側のセキュリティはどうなんだ?と言う話になってきますが、ここは使う企業の信頼感にかなり左右されます!
こちらも詳しい仕組みなどは別記事で解説しますが、サードパーティー制アプリはほぼすべてのケースで使うことになります!
たまにサードパーティーアプリの信頼性で疑問に持たれる方もいらっしゃいますが(特に大企業さん)、そこを気にしていると何も議論が進みません。
もちろんセキュリティの事なので、しっかりと対策をする事は非常に重要なのですが「じゃあ、そのCRMツールを1から作るの?多額のコストをかけて?」と言う問題と常に天秤にかかる事もお忘れなく!と言う非常に難しい問題をはらんでいるのが、サードパーティーアプリです。
ローカルのデータ
ローカルのデータと言うのは、オンライン上にあるデータをダウンロードして活用するとなると、社内のサーバーや個人のパソコンに保存されることになるかと思いますが、それです!
一昔前によく合った「USBメモリ」なんかで持ち出せちゃうので、ローカル上の保存と言うのは意外なまでに神経を使うべき場所です。
特に小さな会社の場合、ITリテラシー上もやり取りがオンラインよりもUSBメモリや、社内LAN程度のものでやり取りする方が楽だと思いますが、せめて管理者権限で閲覧できる人を限るなど対策をしておく必要はあるかと思います。
小さなECサイトだとしても扱っている情報はそれなりに重みのある物だということは把握しておきましょう!
あとはダウンロードした個人情報だけでなく、オンライン上のデータにアクセスするための「ID」「パスワード」も非常に重要な情報です!
これがあったらオンライン上のデータを取られちゃいますからね。
「ASP型」「モール型」は情報漏洩の可能性が低いですが、「ID」「パスワード」が洩れると意味がなくなってしまいます。
パスワード管理が大変で、社内のExcelとかで誰でも閲覧できる状態。なんて会社も存在しているのも事実ですし、後はWEB制作系の会社にもパスワードを預ける事もあるかと思います、特にスポットで対応してくれた企業さんが対応終わった後などは、本来はパスワードの変更が望ましいとは思います。
ローカルの情報は、人の手で気にする必要がある部分なので、こちらも留意しましょう!
またハッカー的な存在が社内サーバーに対して攻撃してくるかもしれません。
ので常にウィルスソフトやセキュリティソフトの導入はケチらないでしっかりやりましょう!
そして何より社員教育も非常に重要です!1人1人が意識を持ってくれないと対策しきれないのがローカルデータである場合が多いですからね。
まとめ
この記事では大きく分けるとセキュリティ対策をする場所は2つ!
・オンライン上
・ローカルデータ
であると言う話をさせて頂きました。
オンライン上と言うのは主に「本体」「サードパーティー」の2つでデータを持つ事になるので、そのそれぞれのセキュリティを確かめておきましょう!
サードパーティーはある程度信頼感のあるサービスを使うことで、セキュリティを担保するしかない!と言う状況も往々にしてありますよ。
そしてローカルのデータは自分たちで守るしかない部分です。
ID、パスワードの管理と社外からの攻撃もあるかも?
USBメモリは使わない!
等、社員教育も含めて徹底しましょう!
こんな所がまとめになってくるかと思います。
まずざっくりこの記事での概要を学んで、個別記事なども見てくださいね!