TEL
MAIL

EC-CUBEコラム

EC-CUBEとWordPressを併用する際に注意すべきリスク

WordPressは世界で最も普及率が高く、ITリテラシーの有無にかかわらず使いやすいという点から多くのECサイトで利用されています。しかし、世界で最も普及しているという点が、逆に多くのWordPressならではの脆弱性を生む結果となっています。この記事では、 EC-CUBEとWordPressを併用する際のポイントとCMSのセキュリティについてご紹介します。
 

◎安全なセキュリティ環境でECサイトを運用する責任

ECサイト運用において最も重要な項目はセキュリティ環境です。どんなに優れた商品やサービスでも、セキュリティ環境の脆弱性により個人情報流出などのインシデントが発生してしまうと、自社の信頼は大きく低下します。実際の被害事例では、企業のホームページをWordPressで制作したため脆弱性を突かれ、アクセスすると悪意のあるホームページに誘導されてしまう事例が発生しています。個人情報流出とは種類の違う被害事例ではありますが、企業の管理体制そのものを問われる大きな問題といえます。WAFをインストールしていないなど、根本的な管理体制の甘さもありましたが、WordPressが脆弱性を突かれやすいCMSであることは、ハッカーから見れば一目瞭然です。
 
2017年にはWordPressに搭載されているプラグインの脆弱性が原因で、ゼロデイ攻撃が行われ、1,500万件ものWordPressのホームページが改ざんされた事案が発生しています。ゼロデイ攻撃とは、脆弱性が発見されてから解消するまでの無防備ともいえる期間を狙って攻撃するハッキングのことです。脆弱性そのものを利用する攻撃手法なので、どのような手口で来るのかは毎回攻撃を受けてからでないと知ることはできません。また、WordPress特有のテーマが原因となり攻撃を受けた事例もあります。WordPressの顧客情報等が保存されているSQLインジェクションに対しての攻撃で、WordPressのテーマの脆弱性が原因とされています。開発者がテーマのアップデートを行わなくなったため、利用者はやむなくほかのテーマへ乗り換えました。
 
ホームページやECサイトのインターフェースは利便性や企業イメージを左右する非常に大切な要素です。このように、セキュアな環境でサイト運用ができなくなると、顧客の利便性や売上、企業イメージを大きく低下させてしまいます。個人情報が含まれているコアな部分への攻撃を防げないのは、利用者から見れば社会的責任を問われかねない事態といえます。このような事態を避けるため、自社のホームページやECサイトの運用はセキュリティ環境を整える必要があります。EC-CUBEは、オープンソースコードで利用可能なプラットフォームとして、強固で多様なセキュリティ環境を兼ね備えています。構築から決済等のアプリケーションなど、一括で管理できるのがEC-CUBEの魅力です。一括管理が可能なセキュリティ環境は、ECサイトやホームページの安定運用につながります。
 
安全なセキュリティ環境でECサイトを運用する責任

◎EC-CUBEとWordPressを併用するリスク

WordPressは利便性が高く世界的にも利用者の多いCMSですが、その反面多くの脆弱性を抱えています。EC-CUBEのカートをWordPress経由でハッキングされ、情報流出した事例も報告されています。EC-CUBEとWordPressを併用する際は、注意すべき点を理解しておくことが大切です。
 
○効率よく攻撃できるため狙われやすい
WordPressは、世界において1番利用されているCMSのため、ひとつの脆弱性を発見されてしまうと、ハッカーにより効率よく大量に攻撃を仕掛けます。そのため、ほかのCMSと比較しても一斉攻撃の対象になりやすいのです。ECサイト運用においてハッキングを受け、個人情報の流出が起きてしまうことや、スパムメールの踏み台にされてしまうことは、企業の信頼を大きく損ない自社の顧客のみならず社会的に損害を与える事態にもなりかねません。また、使い勝手の良さからITリテラシーが低くてもECサイトの運用ができるため、攻撃になかなか気付けないユーザーもいます。
 
テーマは、おしゃれなインターフェースやオリジナリティあふれるデザインがあり、多種多様な目的での利用者が多い点も大きな特徴です。その一方で、WordPressのテーマのセキュリティアップデートが、開発者により止まっていることがあります。ユーザー個人でのセキュリティ対策は限界があるため、ほかのテーマへの乗り換えとWebサイトの再構築が必要になります。そのため、構築からセキュリティ対策まで一貫して行えるEC-CUBEは、非常に安心感が高いCMSといえます。
 
〇新しく実装されたプラグインに脆弱性が潜んでいる
WordPressそのものにその時点で脆弱性がなく、セキュリティ環境が整っていたとしても、新しく実装されたWordPressのブラグイン自体に脆弱性が潜んでおり、ハッカーから攻撃をされてしまうことがあります。テスト環境であっても起こり得る事態ですが、WordPressを熟知している開発者でないと、テスト環境段階で気が付くのは難しい状態といえます。また、WordPressのテスト環境でECサイトを再構築中にプラグインのアップデートが行われ、そのアップデートを怠ったがあまりにテスト環境からハッキングを受けてECサイトの書き換えが行われた事例も発生しています。
 
EC-CUBEは、サイトリリース前のチェックツールを提供しているため、このような事態を防ぐことができます。WordPress内の不要なプラグインやテーマはできる限りすぐに削除し、システム内を整理整頓しておくこともひとつの対策になります。余分なブラグインや機能を極力排除し、どこに脆弱性があるのか、リカバリはどうすればよいのか一目瞭然にしておくと、新しいプラグインを実装した際のセキュリティホールにも気付きやすくなります。EC-CUBEでは、アプリケーションに関するセキュリティ支援も豊富なため、ECサイトの改変等行う場合でもセキュアな環境を維持しながらアップデートできます。
 
〇EC-CUBEとWordPressの内部構造の違い
WordPressは、内部構造が明確なため攻撃を仕掛けやすい仕組みになっています。WordPressは、オープンソースコードで内部構造が公開されているCMSのため、ハッキングをする際に侵入までの解析の手間が省けてしまうからです。EC-CUBEも同様にオープンソースコードで構成されているプラットフォームですが、EC-CUBEはセキュリティ環境やアフターサポートの手厚さは圧倒的に高いといえます。
 
基本的なWebサイトをWordPressで制作し、一部機能のみEC-CUBEのプラグインとなると攻撃を受けた際原因がEC-CUBEにあるのかWordPressに原因があるのか見つけることが難しく、攻撃を受けた後の分析やリカバリにも時間を要します。企業ホームページやECサイトにおいてバグや脆弱性のポイントを把握するまでに時間を要することは致命的です。オープンソースコードのプラットフォームを利用するのであれば、構築からアフターサポートまで1本化したEC-CUBEの方がより高い安全性が担保されます。
 
WordPressとEC-CUBEの併用をしたい場合は、不要なプラグインは削除するなどし、定期的にWebサイトを見直して、社内でセキュリティ対策の制度を向上させることがポイントです。自社内でのセキュアリテラシーを向上させるためにイベント形式の講習会等多数開催し、セキュリティリテラシーを高めるサポートを行うのもよいでしょう。
 
EC-CUBEとWordPressを併用するリスク

◎EC-CUBEで構築するECサイトの安全性

EC-CUBEでは、ECサイトのセキュリティ環境を保持するために、さまざまなサポート体制を敷いています。EC-CUBEはオープンソースコードで構築するプラットフォームサービスで、オープンソースコードのプラットフォーム運用の責任を果たすべく、すべての脆弱性と解消日や対策をEC-CUBEのホームページでグレードごとに公開する等、徹底した情報開示に努めています。EC-CUBEはセキュリティ専門企業や団体との連携や、定期的かつ段階的なセキュリティ体制を整備しているため、カスタマイズをしてもセキュアな環境が保たれます。
 
EC-CUBEのセキュリティ支援として、アプリケーション開発支援、利用環境の構築支援、セキュリティ人材のための教育支援があげられます。ECサイト構築のセキュリティ支援からはじまり、プラグインの実装やアプリケーション開発のセキュリティ支援、自社でセキュリティに関して管理できる人材育成の教育支援を行っているため、EC-CUBEを利用すると、ゼロから開発後のアフターサポートまで手厚く受けることができます。
 
EC-CUBEのアプリケーション開発支援は、定期的かつ多層的な脆弱性検査を実施しており、リリース前のOWASP ZAPの検査、週に1回のVAddyによる自動検査、年2回セキュリティ専門企業による診断を行っています。EC-CUBEはセキュリティ専門企業EGセキュアソリューションズとのアドバイザリー契約から得た知見とスキルや、関連団体との連携を元に安全なアプリケーション開発と提供を行っています。EC-CUBEでは、パスワード要件は国際セキュリティ基準のPCI DSS ver4に準拠、クレジットマスター攻撃対策機能により、不正IPや海外からのアクセス遮断やアクセス回数による制限を行うスロットリング制御を実装しています。ログインアタック回数制限や重要操作時の本人認証機能も備えており、セキュアな環境で安心したアプリケーション運用を行うことができます。EC-CUBEでは、継続的なセキュリティのバグ対策としてバグバウンディというシステムを採用しています。バグの発見者に重要度に応じた賞金が支払われるというユニークな仕組みで、ポイント制でバグ発見者のランキングもEC-CUBEのWebサイトで公開されています。
 
EC-CUBEの利用環境の構築支援は、無償から利用できるセキュリティサービスの提供や、サイトオープンの際に安全性をチェックできる安全性チェックツールも提供しています。そのため、自社の用件にフィットした設計・構築が可能になり、EC-CUBEでセキュアな環境を構築できます。自社の用件にフィットした設計・構築は、オープンソースコード特有の脆弱性に対するリスクを激減することにつながります。EC-CUBEでは、自社のセキュリティ環境を守るための人材育成のサポートを行っています。セキュリティセミナーや講習会など多様な形態でEC-CUBEのセキュリティについて理解を深めるサポートを実施しています。EC-CUBEで構築したらそれで終わりではなく、長くEC-CUBEを活用できるセキュリティサポートを行っています。EC-CUBES利用者のITリテラシーが高まってこそ、安全なECサイトやWebサイトの運用につながります。
EC-CUBEで構築するECサイトの安全性

◎まとめ

EC-CUBEは、安全なセキュリティ環境でECサイトの運用が可能なプラットフォームです。ECサイトはどこからでもアクセスができるため、WordPressと併用する際は脆弱性などのリスクに注意する必要があります。ECサイト構築やリニューアルを検討中の方は、当社までお気軽にお問い合わせください。
EC-CUBEとWordPressを併用する際に注意すべきリスク