ポイントサービスを実施する企業にとって不可欠!講じるべきセキュリティ対策とは?
ポイントサービスは、「紙のポイントカードにスタンプを押して管理する方式」と「オンラインでデータをやり取りする方式」に大別されます。前者であれば、インターネット経由でクラッキング被害を受ける心配はありません。
しかし、後者、つまりオンラインでデータをやり取りするのであれば、会員向けのWebサイトに不正アクセスされたり、情報漏洩が起こったりするリスクがあることを認識したうえで、セキュリティ対策をしっかりと講じておく必要があります。
ポイント関連では、過去に不正アクセスによるJREポイントの盗用事件がありました。「悪意を持った人物が他者のアカウントに不正アクセスし、JR東日本が運営するポイントサービスのポイントを詐取した事件」というもので、記憶に残っている方もいるかもしれません。
セキュリティに「穴」がある状態のままサービスを開始すると、ポイントが不正に利用されたり、顧客の個人情報が流出したりして、信用を失ってしまうかもしれません。本記事では、これからポイントサービスを実施する予定の事業者に向けて、講じるべきセキュリティ対策をご紹介します。重要な対策のひとつである多段階認証のシステムを展開する企業にも、そのメリットを伺った声も掲載しています。ぜひ参考にしてください。
<この記事のポイント>
ポイント1 オンラインでデータのやり取りをするなら、セキュリティ対策が必須
- ポイント2 ポイントサービスのシステム構築を外部に委託することも検討しよう
- ポイント3 オンプレミス型よりも、クラウド型のシステムを選定するほうが良い
目次[非表示]
ポイントサービスを実施する企業が講じるべきセキュリティ対策の例
ポイントサービスを実施する場合は、以下に示すようなセキュリティ対策を講じましょう。
- 従業員に対する情報セキュリティ教育
- 専門業者によるシステムの構築や監査の実施
- 多段階(多要素)認証
それぞれについて詳しく説明します。
従業員に対する情報セキュリティ教育
しばしば、「従業員が顧客の個人情報を故意に外部に流出させる」という事件が発生しています。多段階(多要素)認証によって「悪意を持った第三者による不正アクセス」を防げたとしても、企業内部(従業員)の犯行は防げません。
そのため、「個人情報保護法などを遵守する」という観点から、従業員に対して、情報リテラシーやセキュリティに関する教育・研修を実施し、モラルの向上を図ることも大切です。
専門業者によるシステムの構築や監査の実施
「多段階(多要素)認証と情報セキュリティ教育を実施すれば、セキュリティ対策は万全」というわけではありません。複雑なITシステムの場合、専門的な知見を有しない人材では発見できない「穴」「不具合」が存在することがあります。
「多段階(多要素)認証と情報セキュリティ教育を実施すれば、セキュリティ対策は万全」というわけではありません。複雑なITシステムの場合、専門的な知見を有しない人材では発見できない「穴」「不具合」が存在することがあります。
ソフトウェアの開発やサーバー・ネットワークの設定などを専門としている企業であれば、社内の人材だけでも、堅牢なセキュリティ体制を構築できるかもしれません。しかし、社内にITに詳しい人材がいない場合は、外部の専門業者にシステムの構築やセキュリティ体制の監査を実施してもらうべきです。
多段階(多要素)認証
多段階(多要素)認証とは、複数の要素(「IDと通常のパスワード」に加えて、メール・SMSで送信する「ワンタイムパスワード」や「指紋認証」「顔認証」など)を組み合わせて、他人が成りすまして利用しているのではなく、ユーザー本人が利用していることを確認する仕組みです。
このような仕組みを実装しておけば、何らかの原因でユーザーのIDやパスワードが第三者に知られても、不正にログインされる心配がありません。
なお、「自社で多段階(多要素)認証の仕組みを構築できない」という場合は、株式会社オスティアリーズの電話認証サービス「着信認証」などを導入することも選択肢として検討してみてはいかがでしょうか。
多段階認証のメリット
前述のとおり、多段階認証の仕組みはいくつもあります。実際に仕組みをサービスとして展開している企業の立場から、着信認証などの多段階認証を使うメリットを聞いておくとさらに安心ではないでしょうか。
ここで、株式会社オスティアリーズ営業部の土橋様にお話を伺いました。
<オスティアリーズさまのコメント>
冒頭でご説明のあった通り、個人情報や情報資産の漏洩/流出により、企業の被害は「コスト」「信用」「企業ブランド」「時間/リソース」と様々な損失につながる恐れがあります。不正アクセス対策を後回しにすると一般的に数百万~数億円の対応コストが発生します。
さて、ログイン時にパスワードなどの知識情報のみを利用した認証では、他社から漏洩した情報やSNSからの推測、BOTによる機械的な攻撃から本人になりすまし(不正ログイン)されるケースが多く発生しております。
個人情報を取り扱うサイトのセキュリティでは、これら全ての攻撃に対応できる様、パスワード+なりすましが困難な1要素(多要素)を利用することが重要となります。
一般的に偽装が困難とされる生体情報を利用した認証では開発コストも重く導入障壁があるのではないでしょうか。そこでメール認証やSMS認証、弊社の「着信認証」のような所有物情報を利用した認証が広く普及しています。
また、同じ所有物情報でもワンタイムパスワード等、ユーザーへの通知が必要なメール認証やSMS認証では端末がマルウェア感染している場合、ワンタイムパスワード等が抜き取られて、不正ログインされる可能性がある為、通知不要の認証方法がベストプラクティスといえます。
「着信認証」では上記のことから、通知を不要とし認証を利用するユーザーは画面に表示された電話番号へワンコールするだけで本人確認が完了する利便性とセキュリティ強度を両立した認証方法といえます。
副次効果として、複数アカウントも効果的に排除できる認証方法となりますので、既にポイントサービスを運営される方も、これからポイントサービスを検討される方もご興味ございましたら是非、お声がけ下さい。
▼株式会社オスティアリーズの電話認証サービス「着信認証」の詳細はこちら
オンプレミス型とクラウド型のどちらが良い?
会員情報やポイントを管理するためのシステムは、以下の2種類に大別されます。
- オンプレミス型
- クラウド型
それぞれのメリット・デメリットを把握したうえで、自社に適したシステムを採用しましょう。
オンプレミス型システムの特徴
オンプレミス型システムとは、自社の施設内にサーバー機器などを設置して管理・運用する形態のシステムです。
「自由に機器を選定できる」「拡張性や設定の自由度が高い」というメリットがある一方で、「自社で機器の購入費用や維持管理費用を負担する必要がある」「セキュリティ対策を自社で実施しなければならない」というデメリットがあることにご留意ください。
クラウド型システムの特徴
クラウド型システムとは、インターネットを介してサービス提供者(ベンダー)のサーバーにアクセスし、さまざまな機能を利用する形態のシステムです。
メリットとしては、「自社で物理的な機器を保有しないため、購入費用やメンテナンスにかかるコストを削減できる」「セキュリティ対策をクラウドサービス提供事業者にお任せできる」といった点が挙げられます。なお、サービスによっては設定(カスタマイズ)の自由度が低い場合もあるので、業者の公式サイトなどで事前に確認しておきましょう。
近年、クラウド型サービスへの移行が急速に進んでいる
近年、オンプレミス型システムからクラウド型システムに移行する企業が増加中です。日本政府も「クラウド・バイ・デフォルト原則(オンプレミス型システムの調達よりも、クラウドサービスの利用を優先する方針)」を掲げ、官公庁のシステムのクラウド化を推進しています。
ITの専門スキルを有する人材が社内にいない場合は、無理にオンプレミス型システムを構築・運用するのではなく、クラウド型システムで会員情報やポイントを管理するべきです。セキュリティ対策をベンダーに一任できるので、本業(コア事業)にリソースを集中することが可能になり、売上増を実現しやすくなるでしょう。
まとめ
ポイントサービスを実施するのであれば、不正アクセスや情報流出を防止するために、セキュリティ対策をしっかりと講じておかなければなりません。社内にITに詳しい人材がいない場合は、オンプレミス型システムではなく、クラウド型システムを選定し、セキュリティ対策をベンダーに一任しましょう。
また、セキュリティ対策だけではなく、ポイント交換サービス(自社の独自ポイントを他社ポイントと交換できる仕組み)も顧客に提供するべきです。
例えば、ジー・プランのポイント交換ソリューション「ポイント・コンセント」や「PCT LITE」を導入すれば、自社の独自ポイントを、ユーザーが共通ポイントなどに交換することが可能になります。自社の独自ポイントの魅力が向上し、集客に役立つので、選択肢のひとつとして検討してはいかがでしょうか。
おすすめの資料はこちら
関連記事