VINXニューリテール・コラム
【2024年は被害が甚大化!】システム開発においてのセキュリティ対策の基本とは
2024年も数多くのサイバー攻撃の事例が報告されており、その被害は従来よりも大きなものとなっています。以前であれば国内の被害事例は情報漏洩などが大半でしたが、2024年にはシステム障害などによって業務停止に追い込まれるような事態も発生しています。
そこで今回は、サイバー攻撃などに備えるためのセキュリティ対策の基本をご紹介したいと思います。
サイバー攻撃によって生じる流通小売業の被害
当たり前ですが、流通小売業の企業でもサイバー攻撃を受けることで甚大な被害が生じる危険性があります。
▶大量のご発注・物流の混乱
システムに侵入され、悪意ある第3者に操作されてしまうと……必要のない発注が大量に行われたり、それに伴う物流の混乱が生じてしまったりしかねません。
▶決済システムの停止
POSシステムがサイバー攻撃を受け、お客様が決済を行えなくなるような事態も想定されます。そのような被害を受ければ、復旧までの期間は店舗営業を行うことができなくなってしまいます。
▶顧客情報の流出
クレジットカードなどの決済関連の情報を含めて漏洩の危険性があります。決済情報を流出させたとなると、お客様からの信頼を大きく損なってしまいかねません。
システムそのもののセキュリティ
システムのセキュリティを考える上では、大きく2つの視点が必要です。
ひとつはシステムそのもののセキュリティ。サイバー攻撃などからシステムを守り、維持していくための対策です。十分な対策を行うためには、開発工程の上流である要件定義の段階でどのような対応を実施するか考慮し、セキュリティ面を意識しながら設計やテストを行う必要もあります。
ここでは、基本となる8個のセキュリティ対策をご紹介します。
開発・運用工程でのセキュリティ
セキュリティにおいてもうひとつの重要な視点が、開発・運用工程での対策です。設計書などのドキュメントやソースコードにはお客様と開発ベンダーの機密情報が含まれており、万一流出してしまうと重大な問題に発展してしまうでしょう。
また、設計書やソースコードからはシステムの内部構造を解析することもできるため、その情報をもとにサイバー攻撃を受ける可能性もあります。こうした理由からシステムそのもののセキュリティ同様に、開発・運用工程での対策が必要になるのです。
セキュリティを担保するベンダーの役割
セキュリティの基本についてご紹介してきましたが、流通小売業の企業自身がセキュリティ対策に精通するのは難しいものです。そのため、ご紹介したような対策は開発ベンダーが責任を持って行うべきこととも言えます。
例えばヴィンクスは、情報セキュリティのリスクを管理する仕組みであるISMS(情報セキュリティマネジメントシステム)の認証を取得するとともに、お客様のシステムを開発・運用する上では社内にセキュリティルームを構築するなどの対策を行っています。そのセキュリティルームには、プロジェクト関係者以外は、例え経営層であっても入ることはできません。
また、流通小売業では、社員とパートでアクセスできる情報の制限を区別したり、システム内に店長以上の役職者だけしかログインできない領域を設けたりするものです。そうした対策を業務に悪影響が出ないように実施するには綿密な計画のもとでの対策が必要となるため、長年流通小売業を支援することで培ったヴィンクスの知見が役立ちます。
おわりに
最後までお読みくださりありがとうございます。
ヴィンクスではお客様のシステムのセキュリティを守るために、日々さまざまな努力を続けています。セキュリティ対策でお困りの際には、ぜひご相談ください。
関連コラム「【DXプロジェクトにも不可欠!】チームビルディングの考え方とは」を読む
関連コラム「【PoC後のテストも不可欠!】DX時代のシステム構築の落とし穴とは」を読む
