e2info

045-620-5788 (平日9:00-17:00) tel
contact

セキュリティECサイトの脆弱性診断が必須に!
どんな対策が必要?

この記事の目次

  1. 近年のインターネットショッピング利用率
  2. ECサイトの市場拡大に伴うサイバー攻撃リスク
  3. サイバー攻撃を受けやすいECサイトとは?
  4. ECサイトのセキュリティ対策を疎かにした場合の代償
  5. ECサイトのセキュリティ確保に伴う必要な取り組みとは?
  6. ECサイトのセキュリティ対策である脆弱性診断は自社で対応すべき?
    1. 脆弱性診断ープラットフォーム診断
    2. 脆弱性診断ーWebアプリケーション診断
  7. セキュリティ対策におけるECサイト構築前と構築後の脆弱性診断
    1. ECサイト構築時の脆弱性診断
    2. ECサイト構築後の脆弱性診断
  8. ECサイトの脆弱性診断ならイーツー・インフォにお任せ!
  9. ECサイト保守運用サービスに関するお問い合わせはこちら

インターネットショッピングは今や私たちの生活に欠かせないものとなり、利用者の割合は年々増加しています。
総務省の調査ではどの世代においても利用率70%~80%前後と世代間の差も少ない傾向で、ECサイトの利用は世代を問わずまんべんなく普及していると言えます。
決済方法もクレジットカードまたはデビットカードの利用率がどの世代においても70%前後を占める結果となりましたが、特にクレジットカード決済はポイント付与サービスや利便性から積極的に利用する消費者は多いでしょう。

参考:総務省 デジタル利用環境・サービス等の活用状況
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/html/nd111110.html

ECサイトの市場拡大に伴うサイバー攻撃リスク

ECサイトの市場拡大に比例する形でECサイトを狙ったサイバー攻撃のリスクも高まっています。
ECサイトからのクレジットカード情報流出件数は2024年4〜6月は120,727件と、1〜3月と比べて約2倍、カード情報流出件数は約5倍に急増しており、クレジットカードの利用は便利な反面、セキュリティ面での不安が付きまとう状況です。

参考:株式会社リンク ECサイトからの情報漏洩が前年同期比11倍超の12万件を突破
https://prtimes.jp/main/html/rd/p/000000126.000007832.html


私たちが普段利用しているECサイトがサイバー攻撃の被害にあい、もしカード情報が流出したら…と考えると非常に恐ろしいですが、経済産業省は多発しているサイバー攻撃による被害や経済的損失を未然に防ぐべく、「クレジットカード・セキュリティガイドライン」を公開しました。

参考:クレジットカード・セキュリティガイドライン【4.0版】が改訂されました
https://www.meti.go.jp/press/2022/03/20230315001/20230315001.html


ガイドラインにはセキュリティ対策としてECサイトの構築や運営を担う側が遵守すべき内容が技術的観点で盛り込まれていますが、このガイドラインには「2024年度末までにECサイト自体の脆弱性対策などのセキュリティ対策を必須とすることを追記すること」が求められています。

追記に関しては(この記事を書いている2024年12月20日時点では)まだ確認できませんが、ECサイトの脆弱性診断などのセキュリティ対策は今後ますます重要視されるでしょう。
この記事ではガイドラインの内容と共に、ECサイト構築や運営に関わる方が実施すべきセキュリティ対策についてお伝えします。

サイバー攻撃を受けやすいECサイトとは?

ECサイトには様々な構築形態があります。
Amazonや楽天市場などのショッピングモールを利用した形態から、自社URLを持ち、パッケージ、スクラッチ開発、SaaS型ECプラットフォームなどを利用して構築されているサイトなどがありますが、サイバー攻撃を受けたECサイトの97%が自社構築サイトです。

上記の自社構築サイトとは、オープンソースで制作したECサイトやフルスクラッチで構築したECサイト、SaaS型サービスを自身でカスタマイズしたものが含まれますが、ECサイトのサイバー攻撃による被害が増えている背景として、不十分なセキュリティ対策が挙げられます。

ECサイト構築パッケージやSaaS型サービスを利用すれば簡単にECサイトを構築できるようになった反面、セキュリティ対策に注力できていない自社構築サイトが多く、そのようなセキュリティ対策面で隙のあるECサイトを狙ったサイバー攻撃が増加しています。
ガイドラインに記載されている経済産業省のIT政策実施機関であるIPAの調査によると、最近サイバー攻撃による被害を受けたECサイト(20サイト)の75%がOSS(オープンソースソフトウェア)を主とするECサイト構築パッケージやCMSの脆弱性を悪用されて被害が発生しており、継続的なセキュリティ運用や保守などのセキュリティ対策への経営資源の割り当ても課題となっています。

ECサイトのセキュリティ対策を疎かにした場合の代償

ECサイトのサイバー攻撃によるセキュリティ面での被害が発生した原因としては、ECサイトの脆弱性に対するアップデートの不十分が最も多く、次いでECサイト構築パッケージやCMSなどの設定不備がガイドラインでも挙げられています。

サイバー攻撃によりクレジットカード情報流出などのセキュリティ事故を起こしてしまった場合の影響範囲は大きく、ECサイトの閉鎖に伴う売上高の減少、クレジットカード決済機能の停止、事故対応費用の大きな負担や顧客からの信用失墜、ブランド毀損、風評被害に伴う離客など多種多様です。
一度失った信用を取り戻すのは容易ではないことを肝に銘じ、サイバー攻撃の被害にあう前にセキュリティ対策を講じましょう!

ECサイトのセキュリティ確保に伴う必要な取り組みとは?

ガイドラインに記載されているECサイトのセキュリティ対策要件は、ECサイト構築時とECサイト運営時の2軸に分かれています。
求められるセキュリティの水準に応じて、「必須」、「必要」、「推奨」が定められており、 それぞれの要件に合ったセキュリティ対策をおこなう必要があります。
セキュリティ対策として特に重要視されている脆弱性診断については、ECサイト構築時の要件3とECサイト運営時の要件2に必須項目として「脆弱性診断の実施」に関する要件が含まれています。

No セキュリティ対策要件(構築時) 区分
要件1 「安全なウェブサイトの作り方」及び「セキュリティ実装チェックリスト」に準拠して、ECサイトを構築する。 必須
要件2 サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。 必須
要件3 ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する。 必須
要件4 管理者画面や管理用ソフトウェアへ接続する端末を制限する。 必須
要件5 管理者画面や管理用ソフトウェアへ接続する端末のセキュリティ対策を実施する。 必須
要件6 クレジット取引セキュリティ対策協議会が作成する「クレジットカード・セキュリティガイドライン」を遵守する。 必須
要件7 サイト利用者情報の登録時及びパスワード入力時における、不正ログイン対策を実施する。 必須
要件8 サイト利用者の個人情報に対して安全管理措置を講じる。 必須
要件9 ドメイン名の正当性証明とTLSの利用を行う。 必須
要件10 サイト利用者のログイン時における二要素認証を導入する。 必須
要件11 サイト利用者のパスワードの初期化及び変更といった重要な処理を行う際、サイト利用者へ通知する機能を導入する。 必須
要件12 WebサーバやWebアプリケーション等のログや、取引データ等のバックアップデータを保管する。 必須
要件13 保管するログやバックアップデータを保護する。 推奨
要件14 サーバ及び管理端末において、セキュリティ対策を実施する。 推奨
No セキュリティ対策要件(運用時) 区分
要件1 サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。 必須
要件2 EC サイトへの脆弱性診断を定期的及びカスタマイズをおこなった際に行い、見つかった脆弱性を対策する。 必須
要件3 Webサイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Webサイト改ざん検知ツールによる監視を行う。 必須
要件4 システムの定期的なバックアップの取得及びアクセスログの定期的な確認を行い不正アクセス等があればアクセスの制限等の対策を実施する。 必須
要件5 重要な情報はバックアップを取得する。 必須
要件6 WAFを導入する。 推奨
要件7 サイバー保険に加入する。 推奨

ECサイトのセキュリティ対策である脆弱性診断は自社で対応すべき?

ECサイトの脆弱性診断はECサイト構築時/構築後を問わず、ECサイト運営者がおこなうのではなく、原則、外部委託先事業者や第三者が実施することがガイドラインでも推奨されています。
セキュリティ対策として実施する脆弱性診断は、プラットフォーム診断、Webアプリケーション診断の2種類となります。

脆弱性診断ープラットフォーム診断

脆弱性診断であるプラットフォーム診断は、ネットワーク機器やOS、サーバー、ミドルウェアにおける潜在的な脆弱性を調査し、セキュリティ上の問題を特定する診断サービスです。

ミドルウェアは、OSとアプリケーションの間に存在するソフトウェアを指し代表的なミドルウェアは以下となります。

データベース管理サーバー
MySQL、Oracle、MariaDBなど

Webサーバー
Apache、IIS、Nginxなど

アプリケーションサーバー
Tomcat(Java)、Apache(PHP)、Unicorn(Ruby)、GlassFish(Java)など

脆弱性診断ーWebアプリケーション診断

脆弱性診断であるWebアプリケーション診断は、Webアプリケーションに設定不備や脆弱性がないかを診断するサービスです。
セキュリティ対策として最低でも以下の画面について脆弱性診断を実施する必要があります。

■ログイン画面
■サイト利用者情報登録/変更画面
■商品検索画面
■注文・決済画面など

セキュリティ対策におけるECサイト構築前と構築後の脆弱性診断

ECサイトの脆弱性診断はサイバー攻撃を未然に防ぐセキュリティ対策として非常に重要なため、ECサイト構築時も構築後も必要です。
ECサイト構築時と構築後の各タイミングで脆弱性診断を実施し、セキュリティ面を強化しましょう。

ECサイト構築時の脆弱性診断

ECサイトを新規構築する際は、ECサイトの公開前に必ず脆弱性対策を実施する期間を確保しましょう。
ECサイトの脆弱性診断を実施する場合は、ECサイト自体を保有している自社ではなく他社に依頼することがセキュリティ対策として重要です。

セキュリティ確保における脆弱性診断の診断結果として、実害に至る攻撃難易度を考慮した危険度は、一般的に「高」・「中」・「低」の3段階で分類されています。
攻撃難易度を考慮した危険度「高」の脆弱性については迅速に対策をおこなうことをガイドラインでも推奨しており、攻撃難易度を考慮した危険度「中」の脆弱性については、3ヶ月程度を目途に対策をおこなうことを推奨しています。

セキュリティ対策を徹底するためにもECサイトを公開する前に必ずECサイトの脆弱性の有無を確認し、もし脆弱性が発見された場合は攻撃難易度を考慮した危険度「高」・「中」の脆弱性への対策をおこなった上でECサイトを公開しましょう。

ECサイト構築後の定期的な脆弱性診断

ECサイト構築後は、新たな脆弱性が発見されたり新たな脆弱性を作り込む可能性があります。
ガイドラインに記載されていますが、脆弱性を見落とさないためにも、セキュリティ対策として定期的な脆弱性診断の実施が必要です。

特に新機能の開発・追加や、システム改修などに伴うカスタマイズをおこなった際の脆弱性診断はセキュリティ対策として重要なため、最低でも新機能の開発や追加・システム改修などをおこなった箇所を対象とした脆弱性診断を実施してください。
上記のような新機能の開発や追加・システム改修などのカスタマイズをおこなっていない場合でも、OSやミドルウェアなどの脆弱性は継続的に発見されているため、四半期に1回の頻度で定期的に脆弱性診断であるプラットフォーム診断を実施し、セキュリティ対策を強化しましょう。

ECサイトの脆弱性診断ならイーツー・インフォにお任せ!

セキュリティ対策として重要な脆弱性診断はECサイト構築時と構築後の各タイミングでの実施が必須!
脆弱性診断は1度実施したら終わりではなく定期的に実施することでサイバー攻撃のリスクからECサイトを守ります。
定期的な脆弱性診断でサイバー攻撃による情報漏洩などの被害や経済的損失を未然に防ぎ、セキュリティ面で隙のないECサイトを目指しましょう!

イーツー・インフォでは、ガイドラインに盛り込まれている脆弱性対策などのセキュリティ対策としてセキュリティ診断・脆弱性ツール診断サービスをご提供しております。
最新の検査エンジンを用いてセキュリティ診断を実施し、問題点とその改善案をレポートから対策まで対応しています。
他社が設計・構築したサーバー、システムも診断することが可能です。
セキュリティ診断・脆弱性ツール診断サービスの詳細については以下のページをご覧くださいませ!

セキュリティ診断・
脆弱性ツール診断サービス

ECサイト保守運用サービスに関するお問い合わせはこちら

イーツー・インフォでは、セキュリティ診断・脆弱性ツール診断サービス以外にウェブサイト・システムの保守/運用サービスもご提供しております。

ウェブサイト・システムの円滑な運用を実現するために、日々の正常動作確認や運用支援、技術面でのご質問や改善のご相談に対する調査とご回答を継続的に支援させていただきます。
また、緊急時の障害切り分けや障害復旧サポートおよび、事後の再発防止策検討などもおこないます。
ECサイト運営時のトラブルやお困りごと、ウェブサイトのセキュリティ対策など、まずはお気軽にお問い合わせください。

ECサイトカスタマイズ情報

  • Read more
    セキュリティー

    2025.02.04 ECサイトの脆弱性診断が必須に!どんな対策が必要?

    インターネットショッピングは今や私たちの生活に欠かせないものとなり、利用者の割合は年々増加しています。

  • Read more
    カスタマイズ

    2025.02.04 EC-CUBEプラグイン導入時の利便性と注意点

    日本製オープンソースのECサイト構築パッケージであるEC-CUBEでは、ECサイトを店舗独自にカスタマイズできるプラグインが提供されています。

  • Read more
    カスタマイズ

    2025.02.04 EC-CUBEカスタマイズで「売れるECサイト」をつくる方法

    ECマーケティングが2020年11月に発表したネットショップ動向調査結果によると、EC-CUBEは「月商1000万円以上で利用されているカートシステム」の利用数において2位の2.5倍以上となる大差をつけて1位を獲得しました。

  • Read more
    バージョンアップ

    2025.02.04 EC-CUBEバージョンアップ移行のポイントを紹介

    EC-CUBEに限らずどのパッケージでも、バージョンアップにはメリットとデメリットがあります。「バージョンアップでセキュリティー強化はされたけれど、今まで使っていたあの機能はどうなるの?」

read more
TOP