トピックス 2021.10.15 アマゾンビジネスアカウントを社内複数人で共有する注意点とは？

一般的に、サービスが便利になれば業務は効率化されていきますが、便利さはセキュリティとトレードオフの関係になっていることも多く、業務の効率化を考える場合はセキュリティの意識も高めていかなければなりません。

以前は、何か備品が必要になっても、経理を通さなければ購入できなかったので大きなミスは起きにくかったのですが、アマゾンビジネスアカウントが普及して購入の敷居が下がると、意識しなければならないセキュリティリスクも増えてきます。

この記事では、企業が使うアマゾンビジネスアカウントについて、注意点やセキュリティ対策を詳しく解説していきます。

アマゾンビジネスは、あらゆる事業者を対象としたECサービスです。日本国内に拠点を有する会社組織が必要ですが、基本的には個人事業主から大企業まで誰でも利用できます。

アマゾンビジネスの特徴は、以下のようなものがあります。

● 法人向け商品が購買可能になる
● 法人価格での購入が可能になる
● 対応しやすい決済方法が選べる
● 社内でアカウントを共有できる
● ビジネスプライムでお急ぎ便利用や購買分析などもできる

1つ目は、「法人向け商品が購買可能になる」ということです。

Amazonで一般販売されている商品に加えて、ビジネス向けのオフィス用品・消耗品・清掃用品なども購入できるようになります。社内の購買システムとの連携もできるので便利です。

2つ目は、「法人価格での購入が可能になる」ということです。

ビジネス向け商品の多くに法人特別割引が適用されています。割引情報は商品一覧ページで簡単に確認できます。数量割引が適用される商品も多いのが魅力です。

3つ目は、「対応しやすい決済方法が選べる」ということです。

通常の決済方法に加えて「請求書払い（後払い）」や「法人向けクレジットカード払い」なども利用可能です。購入前に見積書もダウンロードできるため、社内の申請もスムーズです。

請求書払いは月末締めで、翌月末が支払期限となっています。

4つ目は、「社内でアカウントを共有できる」ということです。

アマゾンビジネスアカウントは複数のユーザーについて、ユーザーごとに権限を設定した登録・利用ができます。部署ごとにアカウントを作成すると経理処理も簡単です。決済も一括で管理でき、立替精算などの手間が省けます。

5つ目は、「ビジネスプライムでお急ぎ便利用や購買分析などもできる」ということです。

アマゾンビジネスプライムに申し込めば、無料のお急ぎ便を利用できます。ビジネスプライムに申し込まなくても、Amazonが直接発送する商品は購入価格2,000円以上で配送料無料になりますが、ビジネスプライムに申し込んでおくと便利です。

その他、購入者・購入日時・購入商品・購入数などのデータを管理・分析する購買分析ダッシュボードが使用できるようになり、累積購入割引、購買コントロールなどの機能も利用可能になります。

ビジネスプライム会員になるには、下記の年会費が必要です。

● 3人まで：4,900円
● 10人まで：13,500円
● 100人まで：37,800円
● 101人以上：270,000円

アマゾンビジネスアカウントを活用することで、企業でのアマゾンの利便性が飛躍的に高まるといえます。

しかしながら、アマゾンビジネスアカウントを複数人で共有する場合は、注意しなければならない点があります。

社内において複数人でアマゾンビジネスアカウントを共有する場合の注意点は以下の通りです。

● 配送料に注意
● 承認者は必ず設定
● アマゾンの規約には注意する

1つ目は、「配送料に注意」することです。

商品によっては多額の配送料がかかる場合があります。特に海外の事業者から購入する場合は注意しましょう。

2つ目は、「承認者は必ず設定」することです。

アカウントを作成する際には、承認者を必ず設定し、不正な購買をさせないように注意が必要です。

また高額な配送料がかかっていないかなど、承認者によるダブルチェックも可能なため、セキュリティ以外のリスクも回避できる確率が高まります。

3つ目は、「アマゾンの規約には注意する」ことです。

アマゾンの規約は、十分な予告の周知がされずに変更になることもあります。自社にとって不都合な内容が追加されていないか注意を払いましょう。

これらの点に注意すれば、円滑に複数人でアマゾンビジネスアカウントを共有して利用できます。

ただし、アカウントを運用するうえでは、どうしてもセキュリティの問題がつきまといますので、セキュリティの対策もしていかなければなりません。

ここからは、アマゾンビジネスアカウントで必要なセキュリティ対策について、みていきましょう。必要なセキュリティ対策には、以下のようなものがあります。

● パスワードが漏洩しないように注意
● ログインしっぱなしにしない
● 2段階認証を必ず設定する
● 強固なパスワードを設定する
● パスワードの使い回しは避ける
● 修正プログラムの適用
● セキュリティソフトの導入および定義ファイルの最新化
● 所有者が不明のUSBメモリや不審なメールに注意
● パソコン等の画面ロック機能の設定

1つ目は、「適切な権限を与える」ということです。

アマゾンビジネスアカウントは複数人で共有できますが、セキュリティに配慮して利用するためには、各ユーザーに適切な権限を設定しましょう。ユーザーに設定できる権限は以下の通りです。

● 管理者：ビジネスアカウントへ他のユーザーを招待して、共通の支払い方法、配送先住所、配送オプションを管理
● 購買依頼者：商品を注文できる
● カタログ連携購買依頼者：購買システムを通じて注文できる
● 会計担当者：Amazonビジネスレポートへのアクセス、カスタマイズ、スケジュール設定を実施し、税務情報を管理
● システム担当者：社内システム連携などの管理を実施

2つ目は、「カード情報や注文履歴は定期的に棚卸し」することです。

法人向けクレジットカード情報を登録している場合は、問題なく使えるか定期的に確認が必要です。

クレジットカードが使えない場合は、業務が滞ってしまいかねません。不正な注文がされていないか、注文履歴も定期的に棚卸ししましょう。

3つ目は、「パスワードが漏洩しないように注意」することです。

パスワードの漏洩には特に注意が必要です。カフェのテレワークなどで、肩越しに情報を盗み見られるショルダーハッキングに注意しましょう。

家族などが会社のアマゾンビジネスアカウントを利用できないよう、自宅のテレワーク時でも離席時のPCロックなどは必須です。

身に覚えのない注文履歴があるなど、万が一パスワードの漏洩が疑われるような場合は、すぐにパスワードを変更しましょう。

4つ目は、「ログインしっぱなしにしない」ことです。

アマゾンビジネスアカウントにログインしたままの状態で不正なURLなどにアクセスしてしまった場合、通信を乗っ取って不正操作をするセッションハイジャックなどの被害に遭うことが予想されます。

要件が完了したら、必ずアマゾンビジネスアカウントからログアウトしましょう。

5つ目は、「2段階認証を必ず設定する」ことです。

2段階認証は、ログイン設定の項目から簡単に実施できます。2段階認証を採用することによって、万が一パスワードが漏洩しても簡単にはログインできなくなるため、必ず設定するようにしましょう。

6つ目は、「強固なパスワードを設定する」ことです。

IPA（独立行政法人 情報処理推進機構）の2015年の記事「チョコっとプラスパスワード」によると、強固なパスワードの条件として以下3つの条件が挙げられています。

● 最低でも8文字以上の文字数で構成されている
● パスワードの中に数字や「@」「%」「"」などの記号も混ぜている
● パスワード内のアルファベットに大文字と小文字の両方を入れている

ただし、これは2015年当時の内容であり、現在だと例えばパスワード強度計測サイトである「How Secure Is My Password？」では、数字+英字大文字+英字小文字+記号を組み合わせた8文字のパスワードは9時間で解析されてしまいます。

10文字にすると6年間になりますので、現状では10文字以上の数字やアルファベット大文字小文字、記号の組み合わせで考えるのがよいでしょう。

7つ目は、「パスワードの使い回しは避ける」ことです。

他のサービスで使用しているパスワードは、絶対に使用してはいけません。他のサービスのパスワードが漏洩した場合、アマゾンビジネスアカウントにもログインを許してしまう可能性があります。

複数サービスでパスワードを利用する場合には、コアとなる文字列を決めておき、サービスによってコア文字列以外の文字列を変化させる「コアパスワード」を使った方法がおすすめです。

コアとなる文字列の作り方は、例えば趣味のサッカーを用いて「soccerlove」という文字列を作り、「socceRLovE」などの形で一部を大文字に変換して、末尾に「!」と好きな選手の背番号11を加え「socceRLovE!!11」とするなどです。

このコア文字列を用いて、例えばABCサービスでは「ABCsocceRLovE!!11」、IPAメールでは「IPAsocceRLovE!!11」などと作成すれば簡単に各サービスのパスワードを強固にできます。

8つ目は、「修正プログラムの適用」です。

利用するパソコン、スマートフォン等のOS（オペレーティングシステム）やWebブラウザ、Amazonアプリケーションなどが旧バージョンである場合には、脆弱性を攻撃者に利用されて、サイバー攻撃の標的になってしまう可能性があります。

修正プログラムを適用し、必ず最新のバージョンを使用するようにしましょう。

9つ目は、「セキュリティソフトの導入および定義ファイルの最新化」です。

セキュリティソフトは、極力最新のマルウェア情報に対応させ、マルウェア感染の可能性を抑えなければなりません。

利用するパソコン、スマートフォン等にセキュリティソフトを導入するとともに、セキュリティソフトの定義ファイル（パターンファイル）を常に最新になるよう設定しましょう。

10個目は、「所有者が不明のUSBメモリや不審なメールに注意」することです。

マルウェア感染やサイバー攻撃の危険があるため、所有者が不明もしくは自身が管理していないUSBメモリは使わないようにしましょう。不審なメールも不用意に開かないことが重要です。

11個目は、「パソコン等の画面ロック機能の設定」です。

第三者に見られたり操作されたりしないよう、パソコンやスマートフォン等には画面ロックを設定しましょう。

また、席を離れる際にパソコンは画面ロックをかけ、スマートフォンは放置しないようにすることが大切です。

これらの内容は、アマゾンビジネスアカウントのセキュリティに特化したものではなく、一般的なアカウントセキュリティ対策の内容がほとんどです。

他のアカウントと同じく、アマゾンビジネスアカウントについてもセキュリティ対策を確実に実施していきましょう。

アマゾンビジネスは、個人事業主から大企業まであらゆる事業者を対象としたECサービスです。

通常のアマゾンと比較して、法人向け商品の購買や法人価格での購入、社内でアカウント購入ができるなどの特徴がありますが、特にアマゾンビジネスアカウントを複数人で共有することによって、経理処理を簡素化できる点が大きな魅力です。

アマゾンビジネスアカウントを共有する際には、配送料や承認者の設定、適切な権限の設定、パスワードの漏洩などに注意することが重要です。

適切な対策を実施し、リスクを抑えたアマゾンビジネスアカウントの共有をしていきましょう。

【参考サイト  】

・チョコっとプラスパスワード（独立行政法人 情報処理推進機構）
https://www.ipa.go.jp/chocotto/pw.html

・安心相談窓口だより（独立行政法人 情報処理推進機構）
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html

・ユーザーをビジネスアカウントに追加する（Amazon.co.jp）
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201633260

・個別の設定と共通の設定（Amazon.co.jp）
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202025770

TEXT：セキュリティ通信 編集部
PHOTO：iStock