ECサイトのセキュリティ対策｜不正注文防止・個人情報保護・PCI DSS対応ガイド

この記事でわかること

ECサイトが直面するセキュリティリスクの全体像
不正注文の手口と具体的な防止策
クレジットカード情報・個人情報の保護方法
PCI DSS準拠の考え方と対応レベル
中小EC事業者向けセキュリティチェックリスト

ECサイトのセキュリティが経営リスクになる理由

ECサイトは「お金」と「個人情報」が集まる場所です。そのため、サイバー攻撃者にとって格好のターゲットになります。

IPA（情報処理推進機構）の調査によると、ECサイトへの不正アクセスによる情報漏洩事故は年々増加しており、1件あたりの平均被害額は数千万円規模に及びます。被害は金銭だけではありません。顧客の信頼を失い、事業継続そのものが危うくなるケースも少なくありません。

「うちは小規模だから狙われない」は危険な思い込みです。むしろ中小ECサイトはセキュリティ対策が手薄であることを攻撃者は知っており、自動化されたツールで無差別に攻撃を仕掛けてきます。

ECサイトが直面する4つのセキュリティリスク

リスク①：クレジットカード情報の漏洩

最も深刻なリスクです。ECサイトからカード情報が漏洩した場合、カード会社への報告・顧客への個別通知・フォレンジック調査（専門業者による原因調査）が必要になります。調査費用だけで500万〜1,000万円程度かかることが一般的です。

主な攻撃手法

フォームジャッキング — 決済ページにJavaScriptを不正に埋め込み、入力されたカード情報を外部に送信
SQLインジェクション — データベースに不正なクエリを送り、保存された情報を抜き取る
管理画面への不正アクセス — 脆弱なパスワードや未対策の管理画面から侵入

リスク②：不正注文・チャージバック

盗まれたクレジットカード情報を使った不正購入です。商品は発送済みなのに、後からカード会社経由で売上が取り消される（チャージバック）ため、商品と売上の両方を失います。

不正注文の特徴

初回注文で高額商品を購入
配送先と請求先が異なる
短時間に複数回の注文
転売しやすい商品（家電、ブランド品、ギフトカード等）が狙われやすい

リスク③：個人情報の漏洩

氏名・住所・電話番号・メールアドレスなどの顧客情報が漏洩するリスクです。2022年に改正された個人情報保護法では、漏洩が発生した場合に個人情報保護委員会への報告と本人への通知が義務化されています。

リスク④：サイト改ざん・サービス停止

ECサイト自体が改ざんされ、偽の決済ページに誘導されたり、DDoS攻撃でサイトが停止するリスクです。サイト停止は直接的な売上損失に加え、SEO評価の低下にもつながります。

クレジットカード情報を守る — PCI DSSと非保持化

PCI DSSとは

PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード情報を取り扱う事業者が準拠すべきセキュリティ基準です。VISAやMastercardなどの国際ブランドが共同で策定しています。

PCI DSSには4つのレベルがあり、年間のカード取引件数によって求められる対応が異なります。

レベル	年間取引件数	求められる対応
レベル1	600万件超	外部監査機関（QSA）による年次監査
レベル2	100万〜600万件	自己問診（SAQ）＋四半期スキャン
レベル3	2万〜100万件	自己問診（SAQ）＋四半期スキャン
レベル4	2万件未満	自己問診（SAQ）推奨

中小ECサイトの現実的な対応 — カード情報の非保持化

中小ECサイトがPCI DSSの全要件（約300項目）に準拠するのは現実的ではありません。そこで推奨されるのが「カード情報の非保持化」です。

カード情報の非保持化とは、自社のサーバーにカード番号を一切保存・処理・通過させない方式です。具体的には以下の方法があります。

リダイレクト型（リンク型） — 決済時に決済代行会社のページに遷移し、カード情報を入力
JavaScript型（トークン型） — 決済代行会社のJavaScriptがブラウザ上でカード情報を暗号化し、トークンとして送信。自社サーバーにはカード番号が通過しない

JavaScript型が主流で、UX（ユーザー体験）を損なわずにセキュリティを確保できます。Stripe、GMOペイメントゲートウェイ、PAY.JPなど主要な決済代行サービスはすべてこの方式に対応しています。

セキュリティの専門家からひとこと

「非保持化はゴールではなくスタートラインです。カード情報を保持しなくても、決済ページが改ざんされれば情報は漏洩します。フォームジャッキング対策として、CSP（Content Security Policy）の設定や、決済ページの変更検知を導入することを強くおすすめします。」

不正注文を防ぐ具体的な対策

対策①：3Dセキュア2.0の導入

2025年3月末までに全EC加盟店への導入が義務化された本人認証の仕組みです。リスクベース認証により、不正の疑いがある取引のみ追加認証を要求するため、正常な取引への影響は最小限です。

対策②：不正検知サービスの活用

AI・機械学習を活用して不正注文をリアルタイムに検知するサービスです。

O-PLUX（かっこ株式会社） — 国内EC向けの不正検知。共有ネガティブデータベースで高い検知率
ASUKA（アクル） — チャージバック保証付きの不正検知
Sift — グローバル対応のリアルタイム不正検知。大手ECでの導入実績

導入コストは月額数万円〜が一般的ですが、チャージバック被害額と比較すれば十分な投資対効果があります。

対策③：配送先スクリーニング

不正利用で多用される配送パターンを検知する仕組みです。

私書箱・転送サービスへの配送を監視
同一住所への複数アカウントからの注文を検知
注文者名と配送先名の不一致をフラグ

対策④：高額注文のマニュアルレビュー

一定金額以上の初回注文は自動承認せず、スタッフが目視確認するルールを設けます。手間はかかりますが、高額チャージバックの防止には効果的です。

個人情報を守るための技術的対策

SSL/TLS（HTTPS化）

サイト全体のHTTPS化は最低限の対策です。ブラウザとサーバー間の通信を暗号化し、盗聴を防ぎます。GoogleのSEO評価にも影響するため、EC運営なら対応必須です。

WAF（Web Application Firewall）の導入

SQLインジェクション、クロスサイトスクリプティング（XSS）、DDoS攻撃など、Webアプリケーションへの攻撃を検知・遮断する仕組みです。

クラウド型WAF — 攻撃遮断くん、Cloudflare、AWS WAF（月額1万円〜）
Shopify — プラットフォーム側でWAFを提供（追加費用なし）
EC-CUBE — 別途クラウドWAFの導入が必要

管理画面のセキュリティ強化

二要素認証（2FA）の必須化 — 管理画面ログインにSMS認証や認証アプリを追加
IP制限 — 管理画面へのアクセスを社内IP・VPN経由に限定
ログイン試行回数の制限 — ブルートフォース攻撃の防止（5回失敗でロック等）
管理画面URLの変更 — デフォルトの /admin を推測されにくいURLに変更

脆弱性管理

CMSやプラグインの定期アップデート — 脆弱性の放置が攻撃の入口になる
脆弱性診断の実施 — 年1回以上の診断を推奨（自動診断ツールは月額1万円〜）
不要なプラグインの削除 — 使っていないプラグインも攻撃対象になる

個人情報保護法への対応

ECサイトは大量の個人情報を扱うため、個人情報保護法の遵守が必須です。2022年の改正で以下が強化されました。

漏洩報告の義務化 — 一定規模以上の漏洩時、個人情報保護委員会への報告と本人通知が義務
罰則の強化 — 法人への罰金が最大1億円に引き上げ
越境移転規制 — 海外への個人情報移転にはより厳格な同意取得が必要

ECサイト運営者が最低限やるべきこと

プライバシーポリシーの整備と定期更新
個人情報の利用目的の明示
Cookie同意バナーの設置（Google Analyticsなどのトラッキング利用時）
漏洩時の対応フロー（報告先・手順・連絡体制）の整備
従業員への個人情報取り扱い教育

セキュリティチェックリスト

中小EC事業者向けに、最低限確認すべきセキュリティ項目をまとめました。

決済セキュリティ

☐ クレジットカード情報の非保持化を実施しているか
☐ 3Dセキュア2.0を導入しているか
☐ セキュリティコード（CVV）入力を必須にしているか
☐ 不正検知の仕組み（サービス or マニュアルルール）があるか

サイトセキュリティ

☐ サイト全体がHTTPS化されているか
☐ WAF（Web Application Firewall）を導入しているか
☐ CMS・プラグインを最新バージョンに保っているか
☐ 不要なプラグインを削除しているか
☐ 管理画面に二要素認証を設定しているか
☐ 管理画面へのアクセスをIP制限しているか

個人情報保護

☐ プライバシーポリシーが最新の法令に対応しているか
☐ 漏洩時の対応フローを文書化しているか
☐ 顧客データのバックアップと暗号化を実施しているか
☐ 従業員のアクセス権限を最小限にしているか

運用・監視

☐ アクセスログを取得・保管しているか（最低3ヶ月）
☐ 定期的な脆弱性診断を実施しているか（年1回以上）
☐ インシデント発生時の連絡体制が明確か

まとめ

ECサイトのセキュリティ事故は事業存続に関わる。「小規模だから狙われない」は通用しない
カード情報の非保持化が基本。JavaScript型（トークン決済）で自社サーバーにカード情報を通過させない
3Dセキュア2.0は全EC加盟店に義務化。未対応はチャージバックリスク増大
不正注文対策は多層防御。3Dセキュア＋不正検知＋配送先スクリーニングの組み合わせ
WAF・2FA・脆弱性管理で技術的な基盤を固める
個人情報保護法の改正に対応。漏洩報告義務と罰則強化を把握しておく

ECサイトのセキュリティ対策でお困りの方は、お問い合わせからご相談ください。FUNBREWでは、ECサイトの構築からセキュリティ診断・改善まで一貫してサポートしています。

よくある質問

中小企業でもセキュリティ対策は必要ですか？

はい、必要です。サイバー攻撃は企業規模を問わず発生しており、中小企業はセキュリティ対策が手薄なため、むしろ標的になりやすい傾向があります。IPAの調査でも中小企業の被害報告は増加しています。

セキュリティ対策の優先順位は？

まずはパスワード管理の強化、OSやソフトウェアのアップデート、ウイルス対策ソフトの導入など基本的な対策から始めましょう。その上で、データのバックアップ体制、従業員への教育と進めていくのが効果的です。

セキュリティ対策にかかる費用の目安は？

基本的な対策（ウイルス対策・ファイアウォール等）は月額数千円〜数万円程度から始められます。ISMS認証取得の場合は初期費用50〜200万円、維持費用が年間30〜100万円程度が目安です。

セキュリティ対策のご相談

情報セキュリティの仕組みづくり、システムのセキュリティ強化について、お気軽にご相談ください。

無料で相談する

この記事をシェア

セキュリティ対策のシステム構築はFUNBREWへ

FUNBREWでは、セキュリティを考慮したシステム設計・開発を行っています。まずはお気軽にお問い合わせください。

お問い合わせはこちら