EC-CUBEコラム
ECサイト運用におけるセキュリティ環境とチェックリストの重要性
ECサイト運用において、強固なセキュリティ環境を築いて常に更新し続けることは、企業イメージの確立や顧客の信頼を得続けるための最重要事項といえます。この記事では、オープンソースコードでセキュアな環境を提供し続けるEC-CUBEでのセキュリティ対策や、ECサイト運用におけるセキュリティチェックのポイントをご紹介します。
目次
◎ECサイト運用におけるセキュリティの脆弱性
ECサイト運用における脆弱性について、正しく認識する必要があります。ECサイト運用における脆弱性とは、コンピュータのOSやプログラム上の不具合や設計上のミスが原因によって発生したセキュリティホールのことであると総務省が定義しています。セキュリティホール、すなわちセキュリティ攻撃を受ける隙をハッカーに与える機会となっているのです。ECサイト運用をするにあたり、どんなにチェック体制を厳重に整えてもセキュリティリスクがゼロになることは不可能といえます。
これはEC-CUBEのようなオープンソースコードの使用有無に関わらず、すべての企業のすべてのシステムにおいてリスクはゼロではないということを念頭に置く必要があります。そのうえで企業イメージや顧客への信頼、情報漏洩による株価の下落など、さまざまなリスクと向き合うためには、脆弱性を迅速に把握することが必要です。EC-CUBEでは脆弱性が発見された場合、即座に公式ホームページ内で告知をし、企業が対策に取り組めるように周知を徹底しています。また、セキュリティチェックリストはEC-CUBE公式ホームページからダウンロード可能です。どのような事象でどのような対策をするべきなのか、開発者にわかりやすいチェックリストの仕様になっています。
昨今のECサイトへのセキュリティ攻撃の傾向を見ると、大企業や大手ECモールだけではなく、中小企業や自社ブランドオンリーのECサイトも攻撃の対象となっています。中小規模のECサイトへの攻撃を足掛かりに取引先の大企業のセキュリティ攻撃につなげるパターンが増加しているのです。理由としては大企業や大手ECサイトのセキュリティがより堅牢になっているためです。取引先や系列会社が運用しているECサイトへセキュリティ攻撃を仕掛け、そこで得た情報を足掛かりに大手ECサイトや企業が直接運用しているECサイトへ攻撃するルートが確保されます。そうしてハッカーは、大手ECサイトや大企業のセキュリティの脆弱性を把握したり個人情報を盗んでいきます。関係各社や顧客の情報を保護する観点でも、自社運用のECサイトのセキュリティリスク軽減の対策は必須です。
EC-CUBEでは、ECサイト開発者向けに脆弱性チェックリストとセキュリティチェックの手順の詳細を、EC-CUBEの公式ホームページ上で公開しています。EC-CUBEのセキュリティチェックリストでは既知の脆弱性とその確認方法、対応方法がシートにわかりやすく記載されています。EC-CUBEを利用すれば、ECサイト公開前にセキュリティリストの手順に則り、セキュリティホールや構築漏れがないかの確認を徹底したうえで、安全なECサイト運用をはじめることができます。
◎ECサイト運用で起こりえるセキュリティ被害の種類
顧客情報漏洩の被害額は1億弱にものぼる場合があります。なかでも、ランサムウェアの被害がここ数年増加しています。ランサムウェアとは、自社のPCを操作不能にしたうえで身代金のように解除料金を要求するというものです。2017年には中学生がランサムウェアを使ったハッキングを行い逮捕されたことで、「誰でもハッキングが可能」になった時代が到来しています。もう1点近年急増しているセキュリティ被害は、cookieに保存されている個人情報を盗むためのセッションハイジャックという攻撃です。お問い合わせフォーム等企業と顧客を結びつける架け橋部分に不正なコードを入力してECサイト内のJava Scriptを書き換えて情報を盗み出す手法です。盗み出された情報により、顧客のクレジットカードが不正利用され、情報漏洩が発覚するのです。
セッションハイジャックの脅威は顧客情報の不正利用だけではありません。クロスサイトスクリプティングという罠を問い合わせフォームに仕掛けてサーバーが攻撃を受けたことにより、大量の個人情報が流出するような事例も発生しています。加えてそのECサイト管理者が仕掛けられた不正なURLをクリックしてしまったため、サイトの管理者権限が乗っ取られてしまい、ECサイト自体を改変されるという事態も発生しています。EC-CUBEでは、ECサイト構築前・構築後のセキュリティ支援をさまざまな企業のシステムと連携し、セキュリティ強化に有効なプラグインを提供しているため、継続的で安全性の高い環境でのECサイト運用が可能です。
◎ECサイト運用における最重要なセキュリティチェック環境
ECサイト構築と運用にあたり、最低限かつ重要なセキュリティチェック項目は多数あります。EC-CUBEは、あらゆるセキュリティの脅威に合わせたプラグインに対応しています。業態によって開発者が重視したいセキュリティ項目は異なりますが、EC-CUBEはエンターテイメントや学習分野など、さまざまな業態での利用実績があります。
○脆弱性診断
脆弱性診断は、ECサイト運用において定期的に診断しなければならない重要な項目です。EC-CUBEでは、脆弱性を診断できるチェックリストが無料でダウンロードできます。チェックリストの観点や、変更点等細部に渡り項目が分かれているためタイムリーかつ具体的な対策が可能です。脆弱性が発見された際の情報もEC-CUBEの公式ホームページで随時更新されています。EC-CUBEのチェックリストを参照し、自社のデイリーチェックリストを作成するなど、活用方法はさまざまです。
EC-CUBEの脆弱性チェックの特徴として、定期的かつ多層的であるという2点があげられます。EC-CUBEではリリース前にOWAS ZAPで脆弱性診断を行い、リリース後は週に1回VAddyによるセキュリティチェックを実施しています。さらに年に2回、専門企業による診断を受けています。経産省が発表している「ECサイト運用時におけるセキュリティ対策要件一覧」では、脆弱性の定期的なチェックは必須項目となっています。チェックリストに則ったECサイト構築ができても、セキュリティに完璧はありません。これは大手ECサイトでも中小企業でも同様です。ECサイト運用中も常に正確性が高く速報性のあるチェックリストを確認し、脆弱性の対策を継続的に行いましょう。EC-CUBEは脆弱性発見時のスピーディな情報更新を常に心がけています。
EC-CUBEでは、中小企業や個人事業主向けにSHIFT SECURITYという無料診断があります。SHIFT SECURITYではEC-CUBEやWordPress(ワードプレス)の脆弱性診断を行っています。一般企業向けには、EC-Secure Solutionsという無料診断サービスを提供しています。EC-CUBEでは、通常の脆弱性診断と共に更なるセキュリティ強化のツールとしてEC-CUBE独自のサポート体制が充実しています。
〇WAF(Web Application Firewall)の導入
大前提として構築したECサイトのアプリケーションやCMSは常に最新バージョンにアップデートしておく必要があります。アップデートをしないままシステムの利用し続けると、脆弱性をリカバリできていないまま運用し続けることになり、セキュリティリスクが高くなります。しかし、アプリケーションやCMSのアップデートだけでは未知の脆弱性を防ぐことはできません。その未知の脆弱性に有効なシステムがWAF(Web Application Firewall)です。
WAFは経済産業省が定めた「ECサイト構築と運用のセキュリティライン」で導入が推奨されているシステムです。WAFは24時間自動でECサイトへのアクセスを監視します。主に、SQLインジェクションなどのECサイトの脆弱性に効果的です。お問い合わせフォーム等に悪意がある文字列が入力された場合に、攻撃性を予知して排除する画期的な仕組みになっています。これはWAFが攻撃性のパターンを学習し、予知が可能となっているシステムなので実現できるセキュリティです。たとえば、自社のECサイトに脆弱性があったとしても、脆弱性に付け込まれる前に危険因子を排除することができます。また、決済画面の改ざん等の改ざん検知にも有効なシステムです。
EC-CUBEではクラウドWAFサービス「攻撃遮断くん」と連携しています。従来WAFは初期導入に高額な費用が必要でしたが、EC-CUBEが提携している「攻撃遮断くん」はクラウドサービスなので、従来のWAFと比較してコストダウンを実現できています。システムの脆弱性の発見から復旧まで3か月以内に完了できた企業は30%にも満たないとされています。この期間を狙うサイバー攻撃を、ゼロデイ攻撃といいます。このゼロデイ期間にも対応したセキュリティシステムがWAFです。EC-CUBEであれば、クラウド化されたWAFを実装し、コストを抑えた安全性の高いECサイト運用ができます。
〇不正注文検知システムの実装
自社のECサイトからセッションハイジャックで盗まれた個人情報が、どのサイトで利用されるかは不明です。情報を盗まれた顧客はクレジットカード明細で身に覚えのない請求を確認し、被害にあったことに気が付きます。ECサイト運用側から考えると、他社のECサイトから盗んだ顧客のクレジットカード情報を利用し、不正注文をされる可能性もあるということです。不審な注文を目視で管理をするには限界があります。販売点数の少ない高額商品が大量に売れたなど、普段は目視で確認できる注文内容であっても、繁忙期や急なSNSでの拡散で商品の知名度が向上した場合、目視では管理しきれません。
EC-CUBEでは、クレカ決済不正検知システムのプラグインも提携しています。民間企業による2023年度のECサイト事業者へ向けた不正注文被害に関するアンケート結果では、不正注文被害に会ったことがあるECサイト事業者が34%にも及ぶことがわかりました。被害内容で1番多い項目がクレジットカードの不正利用で22.9%、次が悪徳転売で14.5%となっています。被害金額は年間25万~35万円との回答が割合として最も多く、高額な被害だと500万円以上との回答も5.3%もあります。EC-CUBEでのクレカ決済不正検知システムのプラグインを実装し、不正注文による被害抑止や顧客への安全性の提供が万全に行える環境こそが、安定したECサイト運用につながります。
◎EC-CUBEのセキュリティチェックリストとセキュリティ意識
EC-CUBEは2020年経済産業省から「EC-CUBEの脆弱性について」注意喚起を受けています。具体的には一部のEC-CUBEのバージョンを利用してサイト運用をしている事業者のセキュリティに脆弱性が発見されました。EC-CUBEのシステム自体というより、サーバーへ正常にソフトがインストールされていないことが根本原因とされています。EC-CUBEはオープンソースコードを使用して誰でも気軽に利用でき、カスタマイズできる性質上、セキュリティの問題が発生した際に利用者に周知が行き届かないというマンパワー的な脆弱性がありました。
EC-CUBEは経済産業省と協議を重ねた結果、EC-CUBE公式ホームページの周知やサポートだけではなく、経済産業省からEC-CUBEの脆弱性に関する注意喚起を実施することになりました。このようにEC-CUBEは、オープンソースコードを提供しているプラットフォームならではの徹底した情報公開と周知に努め、事業者がセキュアな環境でECサイト運用ができるサポートを徹底しています。無償でダウンロードできるチェックリストの提供や、ECサイト構築前の無料相談など、構築前のセキュリティチェックから、構築後の脆弱性の情報の周知までEC-CUBEのサポートは行き届いています。脆弱性対策のなかでも、EC-CUBEの特徴的なシステムがバグバウンディです。EC-CUBEでは、脆弱性を発見した人に報酬が与えられるバグバウンディという仕組みを採用しています。
このようにEC-CUBEは、セキュリティリスクに対して透明度の高い運用を実現しています。また、EC-CUBEではさまざまなプラグインを得意分野としている150社以上のインテグレートパートナーと提携しています。インテグレートパートナーとはEC-CUBEと強力な協力体制を敷いているEC-CUBEのパートナー企業です。特定のジャンルを得意としているパートナー企業や、セキュリティ構築が得意なインテグレートパートナーが登録しています。自社内だけのカバーが難しい場合、より専門的な知識をもとにEC-CUBEのインテグレートパートナーとのセキュリティ構築を検討しましょう。
◎まとめ
ECサイトを運用するにあたり、セキュアな環境を守り続けることは顧客の信頼と企業イメージを左右する最重要事項です。EC-CUBEが提供している自動システムの定期診断やチェックリストなど、サポート体制が充実しているシステムを利用し、運用実績の豊富なEC-CUBEで安定したECサイト運用を目指しましょう。