コマースサイトで頻発する重大な情報セキュリティ問題

　 コマースサイトは今、驚くべきスピードで進歩を遂げている。商品の注文はもちろん、 クレジット決済、銀行の口座チェックや振り込みもできるし、最近増えているネット証券 を使えば株の売買も可能だ。さらに、ネットオークションは、個人対個人の手軽な商取引 の場を提供してみせた。
　しかしこれは、膨大な量の個人情報が日々ネットワーク上を流れているということでも ある。氏名や住所、電話番号から家族の人数、趣味や嗜好、果てはクレジットカードや銀 行の口座番号まで、ありとあらゆる重要なデータが流通しているのだ。

　もちろん各Webサイトの運営者は、そうしたデータの暗号化や不正アクセスを防ぐファ イアウォールやアクセス監視システムといった防御策を講じている。だが、それにもかか わらず、新聞やテレビでは毎日のように顧客データの漏えいや持ち出し事件が報じられる。 それも、金融機関や情報産業といった、情報資産の重要性を知り抜いているはずの企業が こうした事例の対象となっている例が少なくない。これはどういうことだろうか。

コンピュータシステムよりもむしろ、人間が問題

　第一に、情報セキュリティの問題は、「人」に多くの原因があるという点が挙げられる。 いくらコンピュータシステムのセキュリティを強固にしても、それを利用する人間に問題 があれば、いともたやすく守りは破られる。事実、顧客リストの流出は、その会社の元社 員や外注企業のスタッフによって行われた例が多い。また、故意ではなくとも、パソコン 操作が苦手なスタッフが誤って得意先リストを一斉メールで配信してしまったとか、設計 上のミスでWebサイト上の重要データに外部から侵入できるネットワークの穴があったと いった例も後を絶たない。

　コンピュータウイルスやワームによる感染被害も深刻だ。「善意の第三者」からのメール などで送り込まれてくるコンピュータウイルスや、インターネットにつないでいるだけで 感染するワーム。これらが侵入すれば、社内のネットワークシステムに障害を引き起こす。 また、Webサイトに不正アクセスしてページの改ざんや悪質な書き込みを行ったり、集中 的にWebサイトにアクセスしてWebサーバに高負荷をかけてダウンさせる「DoS攻撃」 などもある。 　コンピュータウイルスやワームにしても、不正アクセスにしても、まさにネットワーク 時代ならではの、目に見えない人間による脅威といえる。

セキュリティの穴を放置しておけば自社ビジネスに甚大な被害が！

　このような情報セキュリティ上の非常事態を「情報インシデント」と呼ぶ。では、もし コマースサイトを運営する企業が情報インシデントを未然に防ぐことができなかった場合、 具体的にどんな問題が発生するのかを見てみよう。

Webの不具合はブランドイメージの低下に直結

　現代のコマースサイトでのセキュリティの信頼性は、その企業や商品のブランドイメー ジを大きく左右する要因である。セキュリティ問題を起こしたWebサイトを運営する企業 は、それだけでビジネスへの意識が低いと見られてしまう。過去に起きたシステム上の信 用失墜の例では、大手銀行の合併時に起きたシステムダウンなど、信用第一の業種での事 件も少なくない。

コマースサイトは数分落ちれば数億の売上損失が発生

　コマースサイトサービス停止は、そのまま売り上げの損失につながる。ある不動産販売 サイトでは、顧客からの問い合わせアクセスが増えてサーバがダウンする事態が続いたが、 このような1日数分間の停止が年額に換算すると約1億円の損失に上るという試算がある。 また、Webサイトで買い物をするユーザーは、一度でもサービスが利用できなかったサイ トには帰ってこない傾向が強いという。

流出した顧客名簿の当事者から訴えられても文句は言えない

　コマースサイトには、膨大な顧客データがある。ネットワークのセキュリティの穴を突 いて、このリストを盗み取られたら大事だ。これに加え、内部の人間がデータをコピーし て持ち出した例はいくらでもある。 　2005年4月から全面施行される個人情報保護法では、本人の承諾なしに個人情報の売買 や譲渡が禁じられており、漏えいなどの被害届や訴えが当事者からあれば、業者には実刑 もありうるという厳しさだ。

ワームの二次感染源となってしまった場合は加害者になる

　自社のサーバがコンピュータウイルス感染しているのに気づかず、アクセスしたユーザ に二次感染させてしまった場合、被害者は膨大な数になる。コンピュータウイルスの被害 者だったはずが、知らない間に加害者になってしまうのだ。二次感染の被害者全員に損害 賠償を要求されたとしたら、経営破綻する可能性もないとはいえない。