電通デジタルコマースニュース

髙田：ライブコマースとは、販売したい商品のライブ動画を配信し、商品の内容を詳しく説明しながら購入を促す販売形態です。視聴者とリアルタイムでやりとりすることで、高い販促効果を発揮します。特に中国で広がっていて、現在は多くのブランドやインフルエンサーが利用しています。日本でも近年、企業が積極的に取り入れている方法です。

ライブコマースでは、企業やインフルエンサーが特定のプラットフォームにて商品を紹介します。視聴者はリアルタイムで商品の使用感や利用シーンを確認しつつ、疑問があればコメントできる仕組みです。配信画面に表示される購入リンクや、QRコードから商品を購入できる機能が用意されているプラットフォームもあります。

2018年に日本人を対象に行われたライブコマースについての調査では、ライブコマースを知っている人の割合は31.9%で、視聴経験があると答えた人は3.9%だったようです。そこから数年経っているので、割合は増えていると思いますが、一方でなかなか日本では浸透していないようにも思えます。

ちなみに視聴経験のある人のうち、54.8%はそこから購入経験があるとのことです^[1]。

なぜ日本では広がらないのか？

過去に大手企業がECモール型プラットフォームに参入したものの、売上が伸びずに撤退した例が複数あるためかもしれません。また成功事例があまり知られていないことや、ライブコマースを行う配信者が少ないことも、ライブコマースが流行らないといわれる原因の1つと考えられます。

たしかに、動画配信やSNSでの商品宣伝を行うインフルエンサーは増えていますが、ライブ配信に必要な能力を持つ人は多くいません。しかし、近年は大手百貨店やアパレルメーカーなどがライブコマースを導入し始めています。また、配信用プラットフォームも増えてきており、ポジティブな要素も増えてきているのが現状です。

相性の良いジャンルと言われているのは、アパレル・食品・雑貨・化粧品です。例えばアパレルならば実際にモデルさんが着てみて、質感やサイズ感、使い勝手を映像で説明するのが視聴者にも伝わりやすいことかと考えます。

InstagramのストーリーズやYouTubeなどでも同じように商品紹介が行えますが、リアルタイムにユーザーと交流しながら、さらに商品への導線もわかりすいライブコマースは、特に商品力に強みのあるメーカーや、新商品・限定商品などをアピールする場として有効活用できます。もちろん配信も1回で終わりではなく、アーカイブなども行いましょう。^[2]

事例

ニトリ

2023年3月期中に86回のライブコマースを実施し、視聴者数は累計で260万人を突破。ニトリネット内でのニトリLIVEで週3~4回ほど、「季節のニーズに合わせた商品の特集企画」「インテリアコーディネートを学べる講座『ニトコーデ」』「出演社員の『好き」に特化したジャンル別配信」を実施。他、屋外イベントのライブ配信やコラボ配信も行っている。

ユニクロ

20年12月にライブコマース「UNIQLO LIVE STATION」をスタート。22年度(22年9月~23年8月）は、年間累計視聴者数が1,000万人を突破。23年9月からは、「外国人観光客へ向けたインバウンド配信」「47都道府県の各店舗が配信する地域密着型配信」も取り入れている。　

これらの名だたるECサイトでも事例が増えてきておりますし、導入障壁も以前より低くなってきておりますので、安心して販促活動に活かせるかと思います。^[3]

さてここからは、ECのセキュリティ対策について浦辻さんよりお伝えいたします。

浦辻：今回はECサイト運営において近年問題視されている、クレジットカードの不正利用、クレジットマスターアタック、あるいはサイバー攻撃といったEC事業を行う上で脅威になるこれらの不正行為に対して、最新のガイドラインに基づいた現状と対処方法についてご案内いたします。

今回参考にする1つ目のガイドラインは、クレジットカードの安心安全な利用環境の構築を目的とした「クレジットカード・セキュリティガイドライン」です。

そして2つ目のガイドラインは、ECサイトを運営する上での総合的なセキュリティ対策をまとめた「ECサイト構築・運用セキュリティガイドライン」となります。

まずは近年の「ECサイトへの脅威の傾向」から見ていきましょう。

国内の電子商取引において、2023年のクレジットカードの不正利用の被害額は「540億円」にもなります。10年前と比較しますと、なんと10倍です。ではなぜ被害が増加しているのでしょうか？

1つ目の理由は、ターゲットになる商材の多様化、低価格化があげられます。

従来高リスクとされていた商材に留まらず、単価数千円の化粧品、健康食品、衣料品、食料品などの被害が急増しています。つまり狙われる商材が多様化し、低価格化したことによって、被害もまた増加しているのです。

2つ目の理由は、クレジットカード不正利用の手口が巧妙化しているという点です。従来は不正に入手した第三者のクレジットカードを悪用し、ECサイトから商品を購入、不正拠点にため込み、転売するという流れでした。貸倉庫などの不正拠点が一定のため、住所から判断しやすいという特長がありました。

しかし近年では、空売りを行い、売れたあとに購入者の住所へ直接商品を送付するなどして、不正に取得した商品をストックしておく不正拠点を必要としない手口が増えてきました。

海外転送サービスを利用し、不正に入手した商品を海外拠点へ転送してしまう手口も散見されます。事業者の皆さまも常に最新の動向をキャッチアップし、対処方法をアップデートしていく必要があります。

そもそも不正利用されているクレジットカードの情報は、どこからきているのでしょうか。

カード情報の不正な入手方法にはさまざまな手口があります。その中でもネットワーク上で行われるフィッシング詐欺、クレジットマスターアタック、サイバー攻撃などは、それらの行為そのものが、事業者の皆さまの脅威となります。

NICTのサイバー攻撃観測網（NICTER）によると、国内のサイバー攻撃関連の通信数は、10年前と比較し25倍に達しています。現実にそれだけ多くの国内サイトやサーバーが狙われているのです。

では、さまざまな不正行為による事業者の皆さまへの影響を見ていきましょう。

まずクレジットカードの不正利用では、不正に購入された代金は事業者の皆さまが負担することになります。クレジットマスターアタックでは、与信時のトランザクション料を請求されます。たった1日で数十万円もの金額になることもあります。

金銭面での損失だけではありません。不正アクセスによって、顧客アカウントが乗っ取られた場合、顧客からの信頼を失い、サービスや企業イメージが大きく棄損されることになります。

そしてサイバー攻撃により、万一、個人情報やカード情報が流出した場合、その損失は計り知れないものになります。

実際に不正アクセスなどの被害にあったECサイト47社を対象とした調査結果（ECサイト構築・運用セキュリティガイドライン）では、平均8.6か月もの間、ECサイトを閉鎖せざるをえませんでした。さらに全体の14％がECサイトの再開を断念されております。

このような事態にいたらないためにクレジットカード・セキュリティガイドラインが提唱する4つの方策と脆弱性診断について確認していきましょう。

方策の1つ目は、本人認証です。クレジットカードが本人のものであるかどうか、カード情報を活用し確認していきます。この仕組みには「3Dセキュア」を利用します。3Dセキュア2.0ではリスクベース認証により、リスクの可能性がある方のみ認証が求められます。ユーザーの利便性に最大限の配慮がなされています。

２つ目は、券面認証です。クレジットカードの裏面にある数字を入力する方式です。この仕組みには「セキュリティコード」を利用します。ユーザー、事業者ともに負担が少なく、導入が進んでいます。

3つ目は、属性・行動分析です。デバイス情報、IPアドレス、その他さまざまなデータポイントからユーザーの属性や行動を分析し、不正行為を未然に阻止します。ユーザー自身は検知行為そのものを意識しなくてすむのが特長です。この仕組みには「不正検知システム」を利用します。

４つ目は、配送先情報です。不正利用された配送先情報を参照し出荷を差し止めます。この仕組みには「データベース」を利用します。一部の不正検知システムも対応しています。

経済産業省は2024年度末を目処にすべてのECサイトに対して、脆弱性診断の実施を義務化する方針を発表しました。

診断対象企業50社における脆弱性診断の結果では、ECサイトの52%がいつサイバー被害に遭ってもおかしくない状況という調査結果も出ています。

最新のクレジットカード・セキュリティガイドラインでは、重要なことは「点」ではなく「線」で考えて対策をしていくことが必要と提唱しています。

ユーザーがWebサイトへアクセスし、ログインのうえで、商品を選択して決済画面へと進む。この一連の流れを俯瞰したうえで、各プロセスに沿った対策を行うことが重要となります。

そして脆弱性診断は、すべてのシーンで脆弱性を可視化し問題解決へとつなげ、あらゆるリスクを軽減してくれます。

ここで脆弱性診断について、深堀りします。

「脆弱性診断」はシステムの”脆弱性“を可視化するサービスです。

脆弱性診断では、さまざまな手法を通じてシステムの潜在的な脆弱性を可視化します。

脆弱性が可視化されれば、リスクに対して具体的な対策を講じることができ、サービスの安全性を高めることができます。

仮にセキュリティインシデントが発生した場合でも、脆弱性対策をあらかじめ行っておけば、被害を最小限に抑えられる可能性が高くなります。

脆弱性診断を実施するタイミングとしては、一般的に以下とされています。

• 「新たな脆弱性が生まれやすい時」 
• 「サイバー攻撃によるリスク増大が想定される時」

しかしながら、個人情報やクレジットカード情報等の重要なデータを大量に扱うシステムの場合は、上記のタイミングに限らず「3ヵ月に1回」「半年に1回」といったように定期的な実施が推奨されます。

脆弱性診断を選択する上で、サービスサイトに下記の表記があるかどうかが１つの参考になるかと思います。

「情報セキュリティサービス基準」とは、情報セキュリティサービスに関する一定の技術要件、および品質管理要件の基準を示したものであり、経済産業省が策定しています。

こちらへの適合性を、当情報セキュリティサービス基準審査登録委員会が審査し、適合とされたサービスが「情報セキュリティサービス台帳」に記載されています。
https://sss-erc.org/iss_book/vds/

その為、台帳に載っているかどうかといった点が、サービス採用の1つの判断基準として参考にできるかと思います。

また、下記のような表記もよく見かけます。

OWASP（Open Web Application Security Project）とは、ソフトウェアやWebアプリケーションのセキュリティ分野の研究やガイドラインの作成、脆弱性診断ツールの開発、イベント開催など多岐にわたる活動をしているオープンソース・ソフトウェアコミュニティです。
世界各地に支部があり、日本にも存在します。

OWASPがWebアプリケーションに関する脆弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された10項目を2～3年周期でまとめたものが「OWASP Top 10」になります。

ただ、Top10に入っていない脅威については診断されない可能性もあるため、以降でよりセキュアで広い範囲をサポートするサービスをご紹介します。

OWASP ASVSというセキュリティ要件リストがあります。

OWASP ASVSとは「Application Security Verification Standard（アプリケーションセキュリティ検証標準）」の略で、OWASPが策定した286項目の要求事項からなる、

• Webアプリケーションに関する網羅的なセキュリティ要件のリスト

になります。

セキュアなWebアプリケーションとは何か、を定義したリストとも言えます。
ASVSはOWASP Top 10に比べて広い範囲をサポートしており、よりセキュアなアプリケーション開発に適しています。

気を付ける点としては、ASVSにはレベルがあります。

レベル２で「機密データ」が出てきますので、機密情報や個人情報を扱う場合は“レベル２（またはレベル3）に準拠”もしくは”ASVS準拠 個人情報を扱うサイトに対応”
といった脆弱性診断サービスが推奨と言えるかと思います。

常に最新のガイドラインに基づき、全体像を把握したうえで、効果的な対策方法を行っていきましょう。

さて、いかがだったでしょうか？あまり普段注力されないかもしれないECおけるセキュリティと脆弱性について、実は事業においても見逃すことのできない重要な要素であると考えます。是非一度皆さまのECに立ち戻ってみて、対策が取れていない事業者様は早期にご検討くださいますと良いかと考えます。
皆さまの業務に少しでもお役立ていただければ幸いです。