ECサイトのセキュリティ｜重要な対策方法をわかりやすく解説

「ECサイトを狙ったサイバー攻撃にはどのようなものがある？」
「ECサイトを安全に運用するためにはどんな対策を実施すれば良い？」

各種システムやサービスの拡充により、コストをおさえながら自社でECサイトが構築できる時代になっています。

しかし、手軽にECサイトが作成できるがゆえに、セキュリティ対策がおろそかになっていたり、どのような対策を実施すべきか分からないといった企業も多いのではないでしょうか。

ECサイトはクレジットカード情報や個人情報など、機密情報を多く保有しているため、セキュリティ対策が不十分だと大きな被害につながる恐れがあります。

そこで本記事では、以下の内容について解説します。

• ECサイトにセキュリティ対策が必要な理由
• ECサイトに想定される攻撃と被害
• ECサイトに必要なセキュリティ対策

本記事を読むことで、ECサイトを安全に構築・運用するためのポイントが分かります。ECサイトのセキュリティを強化したいとお考えの企業の方は、ぜひご一読ください。

ECサイトにセキュリティ対策が必要な3つの理由

なぜ、ECサイトにセキュリティ対策が欠かせないのでしょうか。
ここでは、セキュリティ対策が必要な理由と、経済産業省およびIPAが推奨するECサイトに対するセキュリティ方針について解説します。

1. ECサイトはサイバー攻撃の標的になりやすい

ECサイトがサイバー攻撃の標的になりやすい理由として、以下があげられます。

近年、「Shopify」や「EC-CUBE」など、手軽にECサイトを構築できるシステムが多く提供されています。以前よりも簡単にECサイトが作れるようになった反面、セキュリティ対策が整っていないECサイトも散見されています。

ECサイトは顧客情報やクレジットカード情報など、重要な情報を多く含んでいます。攻撃者にとってリターンが大きく、セキュリティの欠陥を残したまま運用されているECサイトは攻撃者の標的になりやすいのです。

▼関連記事
　EC-CUBEの脆弱性｜リスクを最小限にするための簡単な方法

2. クレジットカード不正利用の増加

経済産業省は2023年1月20日、ECサイトの脆弱性対策と本人認証の仕組みの導入を義務化する方針を示しています。

ECサイトに脆弱性対策や本人認証のしくみが求められる背景には、ECサイトの悪用を起因とするクレジットカード不正利用の急激な増加があります。

この問題に対処するため、今後一層のセキュリティ対策が求められるでしょう。

3. ECサイトへの不正アクセスの増加

近年の不正アクセスの増加に伴い、経済産業省は2023年3月に「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公表しています。

また、独立行政法人情報処理推進機構（IPA）は、経済産業省と連携し、「ECサイト構築・運用セキュリティガイドライン」を策定しています。

本ガイドラインは、ECサイトの構築・運営を指揮する経営層向けの「経営者編」と、セキュリティ対策を実施する担当者・責任者向けの「実践編」から構成されており、ECサイトに携わる全員が参照すべき内容となっています。

ECサイトの構築・運営の際は本ガイドラインを参照し、自社のECサイトを不正アクセスから守るためのセキュリティ対策の状況把握や、方針の策定に活用することを推奨します。

ECサイトで想定される3つの攻撃と被害

ECサイトがサイバー攻撃にあうと、どのような被害が想定されるのでしょうか。ここでは、想定されるECサイトへの攻撃とその被害について紹介します。

1. サイトの改ざん

不正アクセスによってECサイトが改ざんされると、ユーザーの個人情報やクレジットカード情報などの窃取・漏えいにつながる恐れがあります。

ECサイトでは、「Webスキミング」と呼ばれる手法によってユーザーのクレジットカード情報が窃取される被害が発生しています。「Webスキミング」は、攻撃者が不正なスクリプトをサイトに仕込み、ユーザーが商品の閲覧や購入を行うと、クレジットカードなどの情報が攻撃者に送信されてしまう攻撃です。

2. マルウェア感染

ECサイトのサーバーや管理者端末などがマルウェアに感染してしまうことで、被害につながる恐れがあります。企業情報の窃取や、ECサイト内のデータ破壊、ユーザーへのスパムメールの送信といった被害が想定されます。

マルウェアの中でも、特に問題視されているのがランサムウェアです。ランサムウェアは、感染したコンピュータをロックしたりデータを暗号化して、復元と引き換えに「身代金（ランサム）」を要求するマルウェアで、近年世界的に猛威をふるっている脅威の一つです。

3. DoS攻撃・DDoS攻撃

DoS攻撃やDDoS攻撃も、ECサイトが受ける可能性が高い攻撃のひとつです。Webサイトにアクセスを集中させたり、サーバーに大量のデータを送り付るなどしてサーバーをパンクさせる攻撃です。

攻撃を受けるとECサイトの動作が重くなり、ユーザーは買い物ができなくなるため、離脱による金銭的損失や信頼の低下につながってしまいます。最悪の場合サーバーがダウンしてしまうため、復旧までの時間的・金銭的な損失を被る場合もあります。

▼関連記事
　サーバーセキュリティ｜攻撃トレンドからみた必須対策とは

ECサイトに必要なセキュリティ対策

ここでは、ECサイトに必要なセキュリティ対策を3つのフェーズに分けて紹介します。

1. 構築時に必要な対策

構築時に必要なセキュリティ対策は、以下の通りです。

安全なECサイト構築の計画・実装

ECサイトを構築する前に、脆弱性を作りこまない安全な構築を計画する必要があります。脆弱性を意識せず、利便性ばかりに注目して構築してしまうと、攻撃リスクが上がります。

構築時にECサイトをカスタマイズする場合や、プラグインを導入することで脆弱性が作りこまれてしまうケースもあります。カスタマイズする場合は脆弱性が発生していないか定期的に脆弱性診断を実施する、プラグインを導入する場合は最新のバージョンを利用するなど、初期段階から安全な構築を意識することが大切です。

構築、管理を行う端末のセキュリティチェック

ECサイトを構築・管理する端末のセキュリティ対策を確認しておきましょう。端末がマルウェアに感染してしまったり、不正アクセスを受けてしまうと、ECサイトにも脅威が及ぶ可能性があります。

マルウェア対策ソフトを導入するなど、ECサイト管理者が使用する端末がECサイトへの攻撃を媒介してしまわないよう、注意が必要です。

また、管理者権限へアクセスできる端末の数を社内で制限し、万が一、不正アクセスが実行された場合でも、被害が最小限になるようにしておきましょう。

クレジットカード情報を守る具体的な方針を決める

クレジットカードの不正利用被害額は年々増加傾向にあり、2022年には過去最高の約437億円の被害が発生しています。

被害のうち、9割強が「番号盗用被害」です。
「番号盗用被害」とは、クレジットカードそのものの盗難や偽造ではなく、カード情報だけで不正に決済が行われた被害、ということになります。

以下は「クレジット取引セキュリティ対策協議会」の「クレジットカード・セキュリティガイドライン [4.0版]（公表版）｜クレジット取引セキュリティ対策協議会」に記載の一文です。

上述のとおり、攻撃は常に進化しています。自社システムの定期的な点検など、クレジットカード番号盗用被害にあわないための具体的な方針や対策について構築時から社内で決めておき、クレジットカード情報の安全な取り扱いを考慮した構築を進めましょう。

2. 運用時に必要な対策

運用時に必要なセキュリティ対策は、以下の2つです。

WAFの導入

ECサイト運用中は、WAFを導入してサイバー攻撃に備えましょう。WAFは「Web Application Firewall」の略称で、ECサイトをはじめとするWebアプリケーションへの攻撃を排除する機能があります。通信を監視し、攻撃性のある通信が試みられた場合に通信を遮断することで、Webアプリケーションへのサイバー攻撃をある程度防ぐことが可能です。

WAFを導入しても全ての攻撃を防ぐことができるわけではないため、脆弱性診断をはじめとする他の対策も欠かせませんが、ECサイトを標的にした攻撃のリスクを軽減できるでしょう。

▼関連記事
　WAFとは｜どこまで守れる？セキュリティ対策の効果をわかりやすく解説

定期的なバックアップ・ログの取得

定期的にバックアップやログを取得することも大切です。定期的にチェックすることで、ECサイトの改ざんに気づけるのはもちろん、万が一、サイバー攻撃にあった場合にも原因究明や復旧に役立てられます。

3. 構築時・運用時ともに必要な対策

構築時・運用時に必要なセキュリティ対策は、以下の5つです。

1. 脆弱性診断の実施

公開前・運用中ともに脆弱性診断を定期的に実施しましょう。経済産業省が方針をあげている通り、システムおよびECサイトの脆弱性診断は欠かせないセキュリティ対策です。

脆弱性診断を実施するには専門のベンダーへ依頼するのがおすすめです。しかし、定期的にECサイト全体を外部委託で診断してもらうには莫大な費用がかかるため、現実的にはリリース時、もしくは一部の主要画面のみの手動で診断、ということも少なくないでしょう。

そのような時は、脆弱性診断ツールを導入するとよいでしょう。機械による診断でコストをおさえつつ、クロスサイトスクリプティングやSQLインジェクションなど、ECサイトに生じやすい脆弱性を検知できるうえ、自社の都合の良いタイミングで診断が実施できます。

詳しくは以下の記事をお読みいただき、自社にあう脆弱性診断を検討されることをおすすめします。

▼関連記事
　脆弱性診断（セキュリティ診断）とは｜必要性からやり方まで、すべて解説
　脆弱性診断ツール（サービス）｜有料・無料の違いと5つの選定ポイント

2. ソフトウェアのアップデート

自社のECサイトで利用している各種ソフトウェアのアップデートを忘れずに行いましょう。ECサイトの構築に使っているシステムはもちろん、各種プラグインやサーバー、OSなど、常に最新バージョンで利用するのが基本的なセキュリティ対策です。

古いバージョンの製品を使い続けていると、脆弱性を悪用した攻撃を受けるリスクが高まります。利用状況を管理し、各ベンダーの情報やJVN、IPAなどの情報を見逃さずにチェックしておきましょう。

3. セキュリティ教育の徹底

従業員へのセキュリティ教育の徹底も、重要な施策の1つです。ECサイトそのものへのセキュリティ対策が万全であったとしても、ECサイトを扱う従業員側に過失があれば、インシデントにつながる可能性があります。

不審なメールの開封によるマルウェア感染や、PCの開きっぱなしによる情報漏えいなど、セキュリティ教育によって回避できるリスクもあります。

4. インシデント発生時の対応

インシデント発生時に被害を最小限に抑えるには、どのような対応をすべきか自社で検討・策定しておくことも大切です。フォレンジックを依頼する、サイバー保険への加入なども視野に入れて検討するとよいでしょう。

5. 外部委託先のセキュリティレベルの確認

ECサイトの構築をすべて、もしくは一部を外部に委託する場合、委託先企業がどのようにセキュリティを担保した構築をするのか事前に確認することが大切です。

もし、構築時に脆弱性を作りこんでしまった事に気づかず、そのECサイトが納品されたとします。後日、ECサイト運用中にその脆弱性を突いた攻撃を受けてしまった場合、依頼者である自社が様々な責任を負う可能性が高いでしょう。

このような被害を防ぐには、「いつ、どのようなセキュリティ上の問題が発生した場合、どこまで保証があり、修正対応があるのか」など、契約書類に双方の責任についてしっかりと記載されている必要があります。

また、前提として、以下の点を押さえている委託先を選ぶとセキュリティ面で安心です。

まとめ｜自社のECサイトを守るには継続的なセキュリティ対策を

自社で手軽にECサイトを構築できる時代になりましたが、セキュリティ対策が不十分なままで構築・運用してしまうと、クレジットカード情報をはじめとする重要な情報の漏えいや不正利用の引き金となり、大きな被害につながる恐れがあります。

まずは構築時の対策をしっかりと行い、運用時は以下の対策を継続的に実施するとよいでしょう。

脆弱性診断はツールを利用すると、手軽かつコストを抑えながらECサイトのセキュリティを強化することが可能です。

適切な対策を実施し、セキュアなECサイトの運用を行いましょう。