ECサイトのセキュリティ|重要な対策方法をわかりやすく解説

「ECサイトを狙ったサイバー攻撃にはどのようなものがある?」
「ECサイトを安全に運用するためにはどんな対策を実施すれば良い?」

各種システムやサービスの拡充により、コストをおさえながら自社でECサイトが構築できる時代になっています。

しかし、手軽にECサイトが作成できるがゆえに、セキュリティ対策がおろそかになっていたり、どのような対策を実施すべきか分からないといった企業も多いのではないでしょうか。

ECサイトはクレジットカード情報や個人情報など、機密情報を多く保有しているため、セキュリティ対策が不十分だと大きな被害につながる恐れがあります。

そこで本記事では、以下の内容について解説します。

  • ECサイトにセキュリティ対策が必要な理由
  • ECサイトに想定される攻撃と被害
  • ECサイトに必要なセキュリティ対策

本記事を読むことで、ECサイトを安全に構築・運用するためのポイントが分かります。ECサイトのセキュリティを強化したいとお考えの企業の方は、ぜひご一読ください。

オンラインサービスを提供している企業の方、必見!

ECサイトの対策は、何から取り組むべき?

ECサイトのセキュリティ強化には、構築時・運用時それぞれに行うべきことがあり、安全性を保つには継続的な実施が必要です。企業がやるべき対策をわかりやすくまとめた資料がありますので、まずは、こちらをご覧ください。

ECサイトにセキュリティ対策が必要な3つの理由

なぜ、ECサイトにセキュリティ対策が欠かせないのでしょうか。
ここでは、セキュリティ対策が必要な理由と、経済産業省およびIPAが推奨するECサイトに対するセキュリティ方針について解説します。

1. ECサイトはサイバー攻撃の標的になりやすい

ECサイトがサイバー攻撃の標的になりやすい理由として、以下があげられます。

  • 一元化されたシステムやサービスで簡単に作成できるようになり、ECサイト数が一気に増加した
  • セキュリティ対策が不十分なまま公開されてるECサイトが多く存在する
  • 顧客情報やクレジットカード情報など機密情報が多い

近年、「Shopify」や「EC-CUBE」など、手軽にECサイトを構築できるシステムが多く提供されています。以前よりも簡単にECサイトが作れるようになった反面、セキュリティ対策が整っていないECサイトも散見されています。

ECサイトは顧客情報やクレジットカード情報など、重要な情報を多く含んでいます。攻撃者にとってリターンが大きく、セキュリティの欠陥を残したまま運用されているECサイトは攻撃者の標的になりやすいのです。

▼関連記事
 EC-CUBEの脆弱性|リスクを最小限にするための簡単な方法

2. クレジットカード不正利用の増加

経済産業省は、2022年8月から「クレジットカード決済システムのセキュリティ対策強化検討会」を開催し、専門家や関連団体と協議を重ねてきました。2023年1月20日に公表された報告書案では、ECサイトの脆弱性対策と本人認証の仕組みの導入を義務化する方針を示しています。

  • 基本的なセキュリティ対策として、EC加盟店のシステム、ECサイト自体の脆弱性対策を必須とする。
  • EC加盟店の不正利用防止措置として、2025年3月までに、固定パスワード以外のワンタイムパスワードなど利用者本人しか知り得ない・持ち得ない情報により、利用者本人の認証を行うための仕組みを順次導入する。

引用:クレジットカード決済システムのセキュリティ対策強化検討会 報告書(案)|経済産業省

従来、ECサイトはクレジットカード情報の保持/非保持で対策レベルが分かれており、「クレジットカード情報を持たないEC加盟店」は脆弱性診断を必須化していませんでした。しかし、ECサイトの悪用を起因とするクレジットカード不正利用の急激な増加を受け、「脆弱性診断を実施すべきではないか」という意見が報告書案で挙がっています。

報告書案の内容は現時点で決定事項ではありませんが、近い将来義務化される可能性は十分にあります。この問題に対処するため、今後一層のセキュリティ対策が求められるでしょう。

3. ECサイトへの不正アクセスの増加

近年の不正アクセスの増加に伴い、経済産業省は2023年3月に「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公表しています。

また、独立行政法人情報処理推進機構(IPA)は、経済産業省と連携し、「ECサイト構築・運用セキュリティガイドライン」を策定しています。

本ガイドラインは、ECサイトの構築・運営を指揮する経営層向けの「経営者編」と、セキュリティ対策を実施する担当者・責任者向けの「実践編」から構成されており、ECサイトに携わる全員が参照すべき内容となっています。

ECサイトの構築・運営の際は本ガイドラインを参照し、自社のECサイトを不正アクセスから守るためのセキュリティ対策の状況把握や、方針の策定に活用することを推奨します。

ECサイトで想定される3つの攻撃と被害

ECサイトがサイバー攻撃にあうと、どのような被害が想定されるのでしょうか。ここでは、想定されるECサイトへの攻撃とその被害について紹介します。

  1. サイトの改ざん
  2. マルウェア感染
  3. DoS攻撃・DDoS攻撃

1. サイトの改ざん

不正アクセスによってECサイトが改ざんされると、ユーザーの個人情報やクレジットカード情報などの窃取・漏えいにつながる恐れがあります。

ECサイトでは、「Webスキミング」と呼ばれる手法によってユーザーのクレジットカード情報が窃取される被害が発生しています。「Webスキミング」は、攻撃者が不正なスクリプトをサイトに仕込み、ユーザーが商品の閲覧や購入を行うと、クレジットカードなどの情報が攻撃者に送信されてしまう攻撃です。

2. マルウェア感染

ECサイトのサーバーや管理者端末などがマルウェアに感染してしまうことで、被害につながる恐れがあります。企業情報の窃取や、ECサイト内のデータ破壊、ユーザーへのスパムメールの送信といった被害が想定されます。

マルウェアの中でも、特に問題視されているのがランサムウェアです。ランサムウェアは、感染したコンピュータをロックしたりデータを暗号化して、復元と引き換えに「身代金(ランサム)」を要求するマルウェアで、近年世界的に猛威をふるっている脅威の一つです。

3. DoS攻撃・DDoS攻撃

DoS攻撃やDDoS攻撃も、ECサイトが受ける可能性が高い攻撃のひとつです。Webサイトにアクセスを集中させたり、サーバーに大量のデータを送り付るなどしてサーバーをパンクさせる攻撃です。

攻撃を受けるとECサイトの動作が重くなり、ユーザーは買い物ができなくなるため、離脱による金銭的損失や信頼の低下につながってしまいます。最悪の場合サーバーがダウンしてしまうため、復旧までの時間的・金銭的な損失を被る場合もあります。

▼関連記事
 サーバーセキュリティ|攻撃トレンドからみた必須対策とは

ECサイトに必要なセキュリティ対策

ここでは、ECサイトに必要なセキュリティ対策を3つのフェーズに分けて紹介します。

  1. 構築時に必要な対策
  2. 運用時に必要な対策
  3. 構築時・運用時共に必要な対策

1. 構築時に必要な対策

構築時に必要なセキュリティ対策は、以下の通りです。

  • 安全なECサイト構築の計画・実装
  • 構築、管理を行う端末のセキュリティチェック
  • クレジットカード情報を守る具体的な方針を決める

安全なECサイト構築の計画・実装

ECサイトを構築する前に、脆弱性を作りこまない安全な構築を計画する必要があります。脆弱性を意識せず、利便性ばかりに注目して構築してしまうと、攻撃リスクが上がります。

構築時にECサイトをカスタマイズする場合や、プラグインを導入することで脆弱性が作りこまれてしまうケースもあります。カスタマイズする場合は脆弱性が発生していないか定期的に脆弱性診断を実施する、プラグインを導入する場合は最新のバージョンを利用するなど、初期段階から安全な構築を意識することが大切です。

構築、管理を行う端末のセキュリティチェック

ECサイトを構築・管理する端末のセキュリティ対策を確認しておきましょう。端末がマルウェアに感染してしまったり、不正アクセスを受けてしまうと、ECサイトにも脅威が及ぶ可能性があります。

マルウェア対策ソフトを導入するなど、ECサイト管理者が使用する端末がECサイトへの攻撃を媒介してしまわないよう、注意が必要です。

また、管理者権限へアクセスできる端末の数を社内で制限し、万が一、不正アクセスが実行された場合でも、被害が最小限になるようにしておきましょう。

クレジットカード情報を守る具体的な方針を決める

クレジットカードの不正利用被害額は年々増加傾向にあり、2022年には過去最高の約437億円の被害が発生しています。

被害のうち、9割強が「番号盗用被害」です。
「番号盗用被害」とは、クレジットカードそのものの盗難や偽造ではなく、カード情報だけで不正に決済が行われた被害、ということになります。

2023年までのクレジットカード不正利用被害の年間発生状況の図 エーアイセキュリティラボ
クレジットカード不正利用被害の発生状況|一般社団法人日本クレジット協会を参考に作成

以下は「クレジット取引セキュリティ対策協議会」の「クレジットカード・セキュリティガイドライン [4.0版](公表版)|クレジット取引セキュリティ対策協議会」に記載の一文です。

そもそもカード情報を自社で保持していなければ、カード情報を窃取されることがなく、情報漏えいの観点からは有効なセキュリティ対策と考えられていましたが、最近の漏えい事故の傾向として、非保持化を達成した EC 加盟店からもカード情報が窃取されていることから、カード情報の保持又は非保持にかかわらず、EC 加盟店は自社システムの定期的な点検を行い、この点検結果に基づき、必要あれば追加的な対策を導入するなどの適切な対応をとることが求められる。

上述のとおり、攻撃は常に進化しています。自社システムの定期的な点検など、クレジットカード番号盗用被害にあわないための具体的な方針や対策について構築時から社内で決めておき、クレジットカード情報の安全な取り扱いを考慮した構築を進めましょう。

2. 運用時に必要な対策

運用時に必要なセキュリティ対策は、以下の2つです。

  • WAFの導入
  • 定期的なバックアップ・ログの取得

WAFの導入

ECサイト運用中は、WAFを導入してサイバー攻撃に備えましょう。WAFは「Web Application Firewall」の略称で、ECサイトをはじめとするWebアプリケーションへの攻撃を排除する機能があります。通信を監視し、攻撃性のある通信が試みられた場合に通信を遮断することで、Webアプリケーションへのサイバー攻撃をある程度防ぐことが可能です。

WAFを導入しても全ての攻撃を防ぐことができるわけではないため、脆弱性診断をはじめとする他の対策も欠かせませんが、ECサイトを標的にした攻撃のリスクを軽減できるでしょう。

▼関連記事
 WAFとは|どこまで守れる?セキュリティ対策の効果をわかりやすく解説

定期的なバックアップ・ログの取得

定期的にバックアップやログを取得することも大切です。定期的にチェックすることで、ECサイトの改ざんに気づけるのはもちろん、万が一、サイバー攻撃にあった場合にも原因究明や復旧に役立てられます。

3. 構築時・運用時ともに必要な対策

構築時・運用時に必要なセキュリティ対策は、以下の5つです。

  1. 脆弱性診断の実施
  2. ソフトウェアのアップデート
  3. セキュリティ教育の徹底
  4. インシデント発生時の対応
  5. 外部委託先のセキュリティレベルの確認

1. 脆弱性診断の実施

公開前・運用中ともに脆弱性診断を定期的に実施しましょう。経済産業省が方針をあげている通り、システムおよびECサイトの脆弱性診断は欠かせないセキュリティ対策です。脆弱性診断を実施すれば、サイバー攻撃を招く脆弱性を早期発見でき、ECサイトの安全性を高められます。

なお、「ECサイト構築・運用セキュリティガイドライン」では、脆弱性診断を行うときのポイントとして以下を挙げています。

  • 新規に構築したECサイトは、公開前に脆弱性診断を実施し、脆弱性が潜んでいないか確認する
  • 新機能の追加やシステム改修を行った際は、その都度Webアプリケーション診断を実施する
    ※Webアプリケーション診断:インターネット上で使用するWebアプリケーションを診断する
  • 新機能の追加やシステム改修がなくても、OS・ミドルウェアの新たな脆弱性発見に備え、四半期に1回の頻度でプラットフォーム診断を実施する
    ※プラットフォーム診断:OS・ネットワーク機器・サーバーなどを診断する
  • ECサイトの公開前に脆弱性診断を行った場合、診断結果が「高」「中」の場合は対策を行ったうえでECサイトを公開する
  • ECサイトの運用中に脆弱性診断を行った場合、診断結果が「高」の場合は迅速に、「中」の場合は3ヶ月程度を目途に対策を行う

引用:経済産業省独立行政法人情報処理推進機構(IPA)「ECサイト構築・運用セキュリティガイドライン

また、ガイドラインでは脆弱性診断の実施を外部の事業者に依頼することを推奨しています。しかし、定期的にECサイト全体を外部委託で診断してもらうには莫大な費用がかかるため、現実的にはリリース時、もしくは一部の主要画面のみの手動で診断、ということも少なくないでしょう。

そのような時は、脆弱性診断ツールを導入するとよいでしょう。機械による診断でコストをおさえつつ、クロスサイトスクリプティングやSQLインジェクションなど、ECサイトに生じやすい脆弱性を検知できるうえ、自社の都合の良いタイミングで診断が実施できます。

詳しくは以下の記事をお読みいただき、自社にあう脆弱性診断を検討されることをおすすめします。

▼関連記事
 脆弱性診断(セキュリティ診断)とは|必要性からやり方まで、すべて解説
 脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント

2. ソフトウェアのアップデート

自社のECサイトで利用している各種ソフトウェアのアップデートを忘れずに行いましょう。ECサイトの構築に使っているシステムはもちろん、各種プラグインやサーバー、OSなど、常に最新バージョンで利用するのが基本的なセキュリティ対策です。

古いバージョンの製品を使い続けていると、脆弱性を悪用した攻撃を受けるリスクが高まります。利用状況を管理し、各ベンダーの情報やJVN、IPAなどの情報を見逃さずにチェックしておきましょう。

3. セキュリティ教育の徹底

従業員へのセキュリティ教育の徹底も、重要な施策の1つです。ECサイトそのものへのセキュリティ対策が万全であったとしても、ECサイトを扱う従業員側に過失があれば、インシデントにつながる可能性があります。

不審なメールの開封によるマルウェア感染や、PCの開きっぱなしによる情報漏えいなど、セキュリティ教育によって回避できるリスクもあります。

4. インシデント発生時の対応

インシデント発生時に被害を最小限に抑えるには、どのような対応をすべきか自社で検討・策定しておくことも大切です。フォレンジックを依頼する、サイバー保険への加入なども視野に入れて検討するとよいでしょう。

5. 外部委託先のセキュリティレベルの確認

ECサイトの構築をすべて、もしくは一部を外部に委託する場合、委託先企業がどのようにセキュリティを担保した構築をするのか事前に確認することが大切です。

もし、構築時に脆弱性を作りこんでしまった事に気づかず、そのECサイトが納品されたとします。後日、ECサイト運用中にその脆弱性を突いた攻撃を受けてしまった場合、依頼者である自社が様々な責任を負う可能性が高いでしょう。

このような被害を防ぐには、「いつ、どのようなセキュリティ上の問題が発生した場合、どこまで保証があり、修正対応があるのか」など、契約書類に双方の責任についてしっかりと記載されている必要があります。

また、前提として、以下の点を押さえている委託先を選ぶとセキュリティ面で安心です。

  • 納品前に脆弱性診断を実施している
  • ISMSやPマークなど第三者認証を取得している
  • 委託実績が豊富
  • 自社と近い業種の企業が委託を受けた事例がある

まとめ|自社のECサイトを守るには継続的なセキュリティ対策を

自社で手軽にECサイトを構築できる時代になりましたが、セキュリティ対策が不十分なままで構築・運用してしまうと、クレジットカード情報をはじめとする重要な情報の漏えいや不正利用の引き金となり、大きな被害につながる恐れがあります。

まずは構築時の対策をしっかりと行い、運用時は以下の対策を継続的に実施するとよいでしょう。

  • 脆弱性診断の実施
  • ソフトウェアのアップデート
  • セキュリティ教育の徹底
  • インシデント発生時の対応
  • 外部委託先のセキュリティレベルの確認

脆弱性診断はツールを利用すると、手軽かつコストを抑えながらECサイトのセキュリティを強化することが可能です。将来的に脆弱性診断が必須化される可能性もあるため、今のうちに導入を検討することをおすすめします。

適切な対策を実施し、セキュアなECサイトの運用を行いましょう。

セキュリティ課題の解決に役立つコンテンツを配信!

脆弱性に関する最新情報やイベント・セミナーのご案内など、様々な情報をお届けします。ぜひご登録ください。

メルマガ登録はこちら
エーアイスキャン編集部

エーアイスキャン編集部

クラウド型Webアプリケーション診断ツールAeyeScanなどを提供している、株式会社エーアイセキュリティラボのオウンドメディアを運営しています。セキュリティや脆弱性に関する情報について、わかりやすさと正確さをモットーに発信していきます!

FAQ

  • ECサイトにはなぜセキュリティ対策が必要なのですか?

    ECサイトは自社で手軽に構築・運用できることから、セキュリティ対策がおろそかになっていることが多く、攻撃者にとって都合が良いためです。また、クレジットカード情報をはじめとする個人情報を多数保有していることから、攻撃者にとってリターンが大きいのもポイントです。

    サイバー攻撃の標的になりやすいため、Webアプリケーションの中でも特にセキュリティ対策に気を遣わなければなりません。

    詳しくは、「ECサイトにセキュリティ対策が必要な3つの理由」をご覧ください。

  • ECサイトではどのようなセキュリティ対策を実施すべきですか?

    ECサイトのセキュリティ対策は、以下の3つの段階に分けて実施してみてください。

    • ECサイト構築時に必要な対策
    • ECサイト運用時に必要な対策
    • ECサイト構築時・運用時共に必要な対策

    対策は多岐に渡るため、コストや運用状況などもふまえ、まずは以下の2つの対策から着手することをおすすめします。

    • 脆弱性診断の実施
    • ソフトウェアのアップデート

    詳しくは、「ECサイトに必要なセキュリティ対策」をご覧ください。

AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス紹介資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス紹介資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム