オンラインショップサイトの見極め、こんなところにも注目を（1/3 ページ）

個人情報を預かるオンラインショップの運営においては、セキュリティへの配慮が重要だ。見た目の華やかさだけでなく、正しい設計にも目を配りたい。

[小林哲雄，ITmedia]

　「オンラインショップの運営」が企業にとって特殊な業態ではなくなって久しい。これにともない、「よく売れるオンラインショップのコツ」や「オンラインマーケティングの極意」といった情報も、運営者側の関心を呼んでいるようだ。

　しかし、オンラインショップの運営においては、マーケティング戦略以上に重要なことがある。取引に際して預かることになる顧客の個人情報の保護や安全なトランザクションの確立、すなわちセキュリティの確保だ。

　シマンテックが11月に公表した「オンライン詐欺に関する実態調査」によると、日本のインターネットユーザーは、オンライン取引に関して最も不安に思っている事柄として「インターネット上で入力した個人情報やログイン情報が漏れたり盗まれること」を挙げた。しかも回答者の14％は、インターネット上で詐欺行為が広がっていることを受け、オンラインでの個人情報入力を止めたという。これはオンラインショップ側にとって憂慮すべき事態だろう（関連記事）。

　オンラインショップサイトにアクセスしていて、情報漏えいやセキュリティリスクにつながると感じるようであれば、ユーザーがそのサイトの利用を停止する可能性は少なくない。

　運営側としてはまず、認証局が発行したサーバ証明書を購入し、SSLによる暗号化通信を行って顧客が入力する情報を保護しよう。同時に情報漏えいを防ぐため、クロスサイトスクリプティングをはじめとするWebアプリケーションにつきものの脆弱性が存在しないか、定期的に確認を行うことが重要だ。さらに、こうした技術的な対策以外に、画面設計に関しても「アドレスバーやステータスバーを隠さず表示する」といったいくつかのポイントがある。

　この記事では、筆者のオンラインショップサイト利用経験を踏まえ、ユーザーが「見た目」で判断できる、セキュリティリスクにかかわるポイントの一部を紹介しよう。

情報漏えいルートをあらかじめなくす工夫

　その前に、まず最初に紹介したいのは「任天堂オンライン販売」だ。このサイトには、販売条件や個人情報の取り扱い方針に関する分かりやすい記載という点以外に、一つ感心させられたポイントがあった。それは、注文確認メールに関する扱いだ。

　このサイトの場合、住所氏名などの入力後に表示される確認画面に「注文内容確認メールに、郵便番号、住所、電話番号を記載しない」というチェックボックスが用意されている。つまり、暗号化されて送信されるわけではない注文確認用の電子メールに、必要以上の個人情報は記載しないというオプションが用意されているわけだ。

「情報が漏えいしかねないポイント」をつぶしているのは好印象だ

　ほとんどのオンラインショップサイトでは、購入後に、届け先住所などを記した注文確認メールが届く仕組みになっている。だが、電子メールは一般に平文で送られ、PCに保存されるときも暗号化されるケースはまれだ。こうした部分に、どうしても必要とは限らない個人情報を載せない手段を用意するやり方は正しいと思う。

せっかくの暗号化技術はきちんと実装を

　昔話になるが、とあるオンラインショップの作りはなかなかすごかった。

　住所などの情報入力画面は、当然、SSLで暗号化されている。ここでInternet Explorerのステータスバー右下に表示される「鍵」アイコンにカーソルを当てたところ、40ビットSSLによる暗号化だということが分かった。

　この40ビットというのは、高速なマシンを用いれば妥当な時間で解読が可能な程度の強度であり、安全ではない。現在広く利用されている128ビット、あるいはそれ以上のSSL暗号を用いるべきだろう。同様に、いくつかセキュリティ上の欠陥が指摘されているSSL 2.0も利用すべきではなく、SSL 3.0を用いるべきだ。

　かつては、暗号化技術が米国の「戦略物資」に相当するため、日本では128ビット暗号が使えないという時代があった。だが、このサイトにアクセスした当時（2003年か2004年ごろだった）にはそのような問題は解消されていた。そのため「オンラインショップサイトなのに、今どき40ビットSSLで暗号化か！」と驚いた記憶がある。むろん、購入は中止した。

　もしかしたら、この企業がWebサイトを開設した段階では、上記の理由によって128ビット暗号化のためのサーバ証明書が取得できなかったのかもしれない。その後の更新時にもサーバプログラムをリプレース（あるいは再設定）しなかったのだろう。

　ただ、この2点について質問するメールを送ったところ、担当者からはきちんと返答が返ってきた。いわく「リニューアルを予定しており、そのときにまとめて対処する」という内容だった。このサイトは、結局オンラインショッピングから撤退してしまったが、こうした対応には好感が持てた。

　なお、40ビットSSLはもちろん、信頼できる認証機関による署名ではなく、自己署名のサーバ証明書を利用したり、証明書の期限が切れていたりして、「このサイトのセキュリティ証明書には問題があります」といった警告ウィンドウが表示されるようなオンラインショッピングサイトは論外である。こうしたダイアログが出てきたら「OK」を押すべきではない。