不正アクセスのECサイト多数に外部丸投げなどの実態–個人情報保護委が調査

今回は「不正アクセスのECサイト多数に外部丸投げなどの実態–個人情報保護委が調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 不正アクセスによって情報漏えいが発生した電子商取引(EC)サイト事業者の多くが、システムの構築や運用を外部委託先に任せ切りにしており、契約書にセキュリティ対策事項を記載していないなどの実態が個人情報保護委員会の調査で分かった。

 個人情報保護委員会は、3月に「ECサイトへの不正アクセスに関する実態調査」(PDF)と題する報告書を公開した。調査は、2018年4月~2021年3月に同委員会へ個人データの漏えいなどを報告したEC事業者を対象として、これに協力した71事業者に(1)発生原因、(2)検討された再発防止策、(3)損失――をアンケートしている。

 まずECサイトの開発・構築形態は、自社開発(独自アプリケーション利用)が6%、自社開発(オープンソース利用)が14%、外部委託が77%、ECサイト構築のクラウドサービス利用が3%で、ショッピングモールサービスの利用は0%だった。

 不正アクセスの直接的な原因では、37%が「不正アクセスの直接的な原因」、31%が「SQLインジェクション」、13%が「その他」、11%が「管理者画面へのアクセス制限不備」を挙げた。

 不正アクセスの発生理由に対する事業者の認識状況は、「脆弱性についての理解不足」(該当する:66%、該当しない:32%)、「委託先任せの姿勢」(該当する:59%、該当しない:39%)、「技術的ノウハウの不足」(該当する:59%、該当しない:39%)、「リスク意識の欠如」(該当する:44%、該当しない:55%)、「予算・人的リソースの不足」(該当する:44%、該当しない:55%)だった。

 ECサイトの開発・構築を外部委託やクラウドサービスとした事業者(該当57社)に、自自社と外部委託との責任範囲の状況を尋ねたところ、最多は「責任範囲を理解しておらず委託先とも合意していない」の38%(27社)だった。以下は「責任範囲を理解し委託先と合意」が25%(18社)、「責任範囲を理解していたが委託先と合意していない」が13%(9社)などで、大多数は責任範囲の取り決めに不備があった。

 また、ECサイトの開発・構築における外部委託先との契約書、仕様書におけるセキュリティ対策の記載については、39%(28社)が「していない」、23%(16社)が「不明・無回答」、15%(11社)が「あるが具体的でない」という状況だった。外部委託先からのセキュリティ対策に関する提案についても、42%(30社)は「受けたことはない」、15%(11社)は「分からない」とした。

 ECサイトの運用・保守形態は、開発・構築時の委託先と同じケースが56%で最も多く、開発・構築の委託先とは別のケースが11%、自社が21%で、「運用・保守は特にしていない」事業者も11%に上った。

 外部委託(該当48社)における責任範囲の状況は、最多が「責任範囲を理解しておらず委託先とも合意していない」の34%(24社)だった。以下は「責任範囲を理解し委託先と合意」が20%(14社)、「責任範囲を理解していたが委託先と合意していない」が10%(7社)などで、サイトの開発・構築の際と同様に大多数で責任範囲の取り決めに不備があった。

 外部委託先との契約書、仕様書におけるセキュリティ対策の記載についても、30%(21社)が「していない」、21%(15社)が「不明・無回答」14%(10社)が「あるが具体的でない」という状況だった。外部委託先からのセキュリティ対策に関する提案についても、28%(20社)は「受けたことはない」、20%(14社)は「分からない」とし、ここでもサイトの開発・構築の際と同様の結果だった。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
マイクロソフト「Teams」でセールスフォースのデータにアクセス可能に
IT関連
2021-07-09 09:02
SAPジャパンが新オフィス開設–ウェルビーイングの種をちりばめる
IT関連
2022-09-07 14:08
アライドテレシス、AI/MLを用いてITインフラの運用・管理コストを削減
IT関連
2023-02-07 20:31
生成AIがDX推進の起爆剤に–PwC Japan、「2023年 AI予測調査 日本版」
IT関連
2023-06-21 05:11
PS4版「Apex Legends」、データ初期化のバグが発生 開発元「DDoS攻撃を受けた」
セキュリティ
2021-04-07 01:44
AIで試合のハイライト動画を自動生成 NTTドコモが3人制バスケリーグ参加チームに提供
DX
2021-05-25 13:22
チューブ入り「大根おろし」 ハウスが発売 開発に5年以上
くらテク
2021-07-29 02:12
QuantumScapeが株式を売却し全固体電池の生産資金調達、市場価値を高める
モビリティ
2021-03-25 16:52
凸版印刷、社内運動会をeスポーツに 新型コロナ対策で
最近の注目ニュース
2021-01-26 18:31
EVP兼CROに聞くシトリックスの今–再び成長軌道を目指す
IT関連
2024-11-15 20:26
GNOMEとMonoとXamarinの開発者Miguel de Icaza(ミゲル・デ・イカザ)氏がマイクロソフト退職を発表
Microsoft
2022-03-07 00:24
ビジネス文書の電子化と活用に潜む法的課題と対応とは?
IT関連
2022-11-19 03:57
日経平均反発、出遅れ「世界景気敏感株」として外国人が買い戻し
IT関連
2021-05-31 14:19
新種のランサムウェアとその亜種、2021年には大幅に減少–ウィズセキュア調査
IT関連
2022-06-28 23:04