EC担当も知っておくべきWebサイトのセキュリティ対策


ECサイトを安全に運用することもEC担当者の重要な業務の一つです。ECをはじめWebサイトのセキュリティ対策は多岐にわたりますが、EC担当が最初に押さえておくべき対策があります。

Webやインターネットの領域でも「絶対に安全」という言葉はありませんが、今回紹介する9つの対策を講じることで、Webサイトの基本的なセキュリティを維持できるでしょう。

この記事では、インターファクトリーでマーケティングを実施している筆者が、Webサイトのセキュリティの基本として9つの対策を紹介します。

Webサイトのセキュリティの基本である9つの対策

EC担当者が押さえておくべきセキュリティ対策は次の9つです。

◆Webサイトのセキュリティの基本である9つの対策

対策① SSL対応
対策② 安全性の高いパスワードポリシーの策定
対策③ カート機能のPCI DSS対応
対策④ セキュリティテストの実施
対策⑤ システムアップデートとパッチの適用
対策⑥ アクセス制御と権限管理
対策⑦ 不正アクセスや不審な挙動の監視
対策⑧ バックアップ/復旧手順の策定と運用の徹底
対策⑨ セキュリティ意識の向上

対策① SSL対応

SSL対応とは、SSL(Secure Sockets Layer)証明書を使用して、WebサーバーとWebブラウザ間の通信を暗号化し、不正アクセスができないようにすることです。例えば、SSL対応が済んでいないWebサイトで個人情報やクレジットカード情報を入力した場合は通信が暗号化されないため、悪意のある第三者が情報をのぞき見ることができてしまいます

2014年にGoogleが、検索順位を評価するアルゴリズムの要素にWebサイトのSSL対応の状況を追加したこともあり、今日ではECサイトに限らず、すべてのWebサイトで対応が不可欠のセキュリティ対策になっています。

参考:Google検索セントラルブログ「ランキング シグナルとしてのHTTPS」(2014年8月7日掲載)

ASPサービスやクラウドサービスを利用してWebサイトを構築している場合にはSSL対応がなされているので問題ないのですが、自社で構築・運用している場合には、自社でSSL化の対応が必要になります。

例えば、レンタルサーバの「エックスサーバー」などではSSLに関する高度な知識がなくても、シンプルな手順でSSLに対応したWebサーバを構築できます。

参考:エックスサーバー公式サイト「機能|独自SSL」

昔から運用しているWebサイトには、SSL対応が済んでいないサイトも見られます。EC担当の方も、改めて自社のECサイトがSSL対応済みであることを確認しておきましょう。

対策② 安全性の高いパスワードポリシーの策定

Webサイトを利用するユーザーに安全かつ強力なパスワードを使用してもらうために、パスワードに使う文字の長さや種類などの条件と、定期的に変更を強制するためのポリシーを策定します。以下は、よく見られるパスワードポリシーの例です。

パスワードポリシーの例

・文字数の指定(例:10文字以上の文字列)
・英字、数字、記号の全てを含む文字の組み合わせ
・1つ以上の大文字英字を使用する

上記のように、いくつかの条件を組み合わせたポリシーにすることで、セキュリティを高めることができます。しかし、あまり複雑なポリシーにしすぎると、ユーザーが入力を面倒に感じたり、パスワードを忘れたりするなどし、新規ユーザー数の減少や休眠ユーザーの増加につながる可能性もあります

総務省では、ランダムな文字列だけでなく、複数の単語を結合してパスワードを作成する方法も推奨しています。パスワード設定画面で推奨パスワードの作成方法を紹介することでも、パスワード設定時のユーザーの手間を緩和して、パスワードのセキュリティを高めることができるかもしれません。

理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、無関係な(文章にならない)複数の英単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。

引用:総務省「国民のためのサイバーセキュリティサイト|基礎知識|インターネットの安全な歩き方|IDとパスワード|設定と管理のあり方

対策③ カート機能のPCI DSS対応

ECサイトのカート機能では、PCI DSS対応が求められます。「PCI DSS」は、個人情報を安全に取り扱うために策定されたクレジットカード業界のセキュリティ基準で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)という独立機関が運用、管理を行っています。

PCI DSSに準拠することで、ユーザーの個人情報を不正アクセスから守り、Webサイトの改ざんなどによる悪用を防ぐことができます。そのため、PCI DSS準拠を明示することは、企業やサービスに対するユーザーの信頼を高めることにもつながります

しかし、PCI DSSへの対応には膨大な費用と時間がかかるため、自社だけで対応するにはハードルが高すぎます。そのため、PCI DSSに準拠しているASPサービスやクラウドサービスを利用するという方法が現実的な選択肢となるでしょう。

PCI DSSについては、下記の関連記事で詳しく解説していますので参考にしてみてください。

関連記事:EC事業者が行うべきセキュリティ対策とは?PCI DSS準拠が必要な理由

対策④ セキュリティテストの実施

定期的なセキュリティテストを実施して、Webサイトの脆弱性を確認、特定し、必要な場合には修正します。Webセキュリティ診断などのサービスを提供している専門企業は数多くあり、さまざまな角度でセキュリティの脆弱性診断等を実施してもらえるので、定期的なセキュリティテストは専門企業に依頼して実施することをおすすめします。

筆者が以前の勤務先で自社サイトを運用していた時は、Webセキュリティの専門ベンダーに依頼して登録フォームのセキュリティテストを実施し、情報が漏えいしていないことを定期的に確認していました。

対策⑤ システムアップデートとパッチの適用

セキュリティアップデートや修正パッチが提供された場合は、動作検証を行い、運用に影響がなければ速やかに適用して、既知の脆弱性を修正します。

ASPサービスやクラウドサービスの場合は、サービス側で標準機能の動作検証を行った上で適時アップデートや修正パッチを適用してくれますが、自社で構築している場合は、OSをはじめとするすべてのソフトウェアの最新アップデートや修正パッチを確認して、都度、動作検証から適用までのあらゆる作業を自社のリソースで行う必要があります。

例えば、オープンソースのCMS「WordPress」では、多種多様な機能がプラグインとして提供されており、多くのユーザーの利便性を向上しています。しかし、WordPressの最新バージョンに対応したアップデートや修正パッチが、すぐに、あるいは、まったく提供されていないプラグインもあり、それらがWordPressで構築しているWebサイトのセキュリティホールとなっています

自社で構築・運用しているWebシステムの場合には、独自の仕様や複雑な外部連携などを実装していることも少なくなく、また社内のリソース不足などで、すぐに最新アップデートや修正パッチを適用できないという事態が生じやすくなります

そのため、Webサイトをクラウドサービスで構築・運用することは、セキュリティ対策として有効な方法です。

インターファクトリーのクラウドECプラットフォーム「ebisumart(エビスマート)」では、常に最新のセキュリティ環境を提供しています。もちろんPCI DSSに準拠しているので、信頼性の高いECサイトの構築と安全な運用が可能です。

公式サイト:クラウドECプラットフォーム「ebisumart(エビスマート)」

対策⑥ アクセス制御と権限管理

サイト管理者や従業員には業務に必要なアクセス権だけを付与することで、重要なデータやシステム機能へのアクセスを制御します。

ASPサービスの場合は細分化した権限設定ができないケースも多いのですが、高価格帯のサービスでは詳細な権限設定が可能な場合が多いです。

例えば、個人情報を取り扱う処理や決済関連の処理は正規社員にしか使わせない、あるいは、プログラムやシステム設定の変更はシステム管理者しか使用できない、というように権限を細分化して管理することで、業務効率とセキュリティの両立が可能になります。

対策⑦ 不正アクセスや不審な挙動の監視

対策⑤でも述べたように、自社で構築・運営しているWebサイトでは脆弱性が見つかった際に、修正が困難であったり、時間がかかったりする場合があります。そのため、日頃からWebサイトを監視して保護できるように、WAF(ワフ、Web Application Firewall)の導入をおすすめします。

WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)などのWebサイトの脆弱性を狙ったサイバー攻撃から、Webアプリケーションを保護することに特化したファイアウォールです。

保護対象のWebサーバーアプリケーションの前段に設置することで、ネットワーク層を防御するファイアウォールやOS、Webサーバーを防御するIPS(不正侵入防止システム、Intrusion Prevention System)だけでは防ぐことができない、Webアプリケーションへの通信を監視し、攻撃を防御します。

◆ファイアウォール、IPS、WAFによる不正アクセス防御の流れ(イメージ)

出典(画像):筆者作成

対策⑧ バックアップ/復旧手順の策定と運用の徹底

定期的なシステムおよびデータのバックアップ計画と、災害時やデータ破損時の復旧計画を策定します。バックアップデータを安全な場所で保管するとともに、必要な場合にスムーズに復元できるよう手順書を作成しておきましょう。

「いつ、何を、どのように」バックアップすべきかをバックアップポリシーとして定義し、バックアップ運用を徹底することが重要です。

システムバックアップは、データだけでなく、現在運用しているシステム全体を丸ごとバックアップする必要があるため、バックアップにも、復元にも時間がかかります。そのため、バックアップ計画は、前日との差分データは日ごとに、フルデータバックアップは休業日ごとに、システムバックアップは変更の都度と年ごとに、などバックアップを取得する対象と実施スケジュールを十分に考慮して作成しましょう。

バックアップデータの保管場所が同じハードウェア内の場合には、ハードウェア障害の際のリスクを回避することができないため、必ず異なるハードウェアでバックアップデータを保管するようにしましょう。

以下はかなり古い記事ではありますが、大規模なデータ消失事故を起こしたサーバ会社の事例です。バックアップの重要性を理解するためにも、他社の事故事例などをチェックして、理解を深めておくことをおすすめします。

参考:ASCII.jp×ビジネス「前代未聞のデータ消失事故の真実を追う データ消失!あのとき、ファーストサーバになにが起こったか?」(2014年7月23日掲載)

対策⑨ セキュリティ意識の向上

従業員に対してセキュリティ教育を実施するなどし、企業全体のセキュリティ意識の向上に努めましょう。特に、ECサイトは決済情報や個人情報を取り扱っており、サイトの規模にかかわらずサイバー攻撃の標的になりやすいため、ソーシャルエンジニアリングやフィッシングなどの犯罪に対する知識と警戒心を高めることが重要です。

また、セキュリティ意識の高い企業にもセキュリティリスクは常に存在しています。そのため予防の取り組みだけでなく、障害や情報漏えいなどの事故が起きた場合の手順についても策定しておきましょう。発生から事後対応まで、インシデントのすべてを記録し、解決後に事例として共有することが、有効なセキュリティ対策のナレッジとなります

Webサイトを安全に運用するための管理手順とセキュリティ対策のチェックポイントとは?

ECサイト運営者やシステムおよびネットワーク管理者は、サイトの安全性を保つため、アプリケーションやサーバ、ネットワークなどの対象ごとに適切なセキュリティ対策を行う必要があります。

独立行政法人情報処理推進機構(IPA)の公式サイトでは、Webサイトのセキュリティ対策のための20個のチェックポイントが掲載されています。すべてのEC担当者ならびにWebサイトの運用管理者は、各ポイントを確認して、未対応の場合には早急に対策を施すべきでしょう。

以下に20個のチェックポイントの項目のみを紹介します、必ず情報処理推進機構(IPA)の公式サイトで詳細を確認するようにしましょう。

「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」

1. ウェブアプリケーションのセキュリティ対策
(1) 公開すべきでないファイルを公開していませんか?
(2) 不要になったページやウェブサイトを公開していませんか?
(3) 「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
(4) ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
(5) 不必要なエラーメッセージを返していませんか?
(6) ウェブアプリケーションのログを保管し、定期的に確認していますか?
(7) インターネットを介して送受信する通信内容の暗号化はできていますか?
(8) 不正ログインの対策はできていますか?

2. ウェブサーバのセキュリティ対策
(9) OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
(10) 不要なサービスやアプリケーションがありませんか?
(11) 不要なアカウントが登録されていませんか?
(12) 推測されやすい単純なパスワードを使用していませんか?
(13) ファイル、ディレクトリへの適切なアクセス制御をしていますか?
(14) ウェブサーバのログを保管し、定期的に確認していますか?

3. ネットワークのセキュリティ対策
(15) ルータなどを使用してネットワークの境界で不要な通信を遮断していますか?
(16) ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
(17) ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
(18) ネットワーク機器のログを保管し、定期的に確認していますか?

4. その他のセキュリティ対策
(19) クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?
(20) 定期的にセキュリティ検査(診断)、監査していますか?

引用:独立行政法人情報処理推進機構(IPA)「安全なウェブサイトの運用管理に向けての20ヶ条 〜セキュリティ対策のチェックポイント〜」(2019年3月6日更新)

まとめ

この記事では比較的重要度の高いセキュリティ対策を紹介してきましたが、言うまでもなく、絶対安全なセキュリティ対策はありません。最新のセキュリティ対策を講じたとしても、脆弱性を攻撃されるリスクは常に存在します。

セキュリティ対策を講じることはもちろんですが、それと同時に、EC業務に携わるすべての従業員へのセキュリティ教育を徹底し、セキュリティに対する関心と意識を高めることが重要です。また、リスクや事故などのインシデントが発生した場合には、必ず情報の共有と検証を行い、定期的にセキュリティポリシーを見直すようにしましょう

高いセキュリティのECシステムをお探しであれば、インターファクトリーのクラウドECプラットフォーム「ebisumart(エビスマート)」もぜひご検討ください。

カスタマイズや外部連携にも対応可能で、最新の安全性と高い柔軟性を提供しているECプラットフォームです。

詳しくは、下記の公式サイトでご確認ください。

公式サイト:クラウドECプラットフォーム「ebisumart(エビスマート)」


セミナー情報

ABOUT US
井幡 貴司
forUSERS株式会社 代表取締役。 株式会社インターファクトリーのWEBマーケティングシニアアドバイザーとして、ebisumartやECマーケティングの支援、多数セミナーでの講演を行う。著作には「図解 EC担当者の基礎と実務がまるごとわかる本」などあり、執筆活動にも力を入れている。