顧客の個人情報やクレジットカードなど重要な情報を多く取り扱うECサイトでは、常に適切なセキュリティ対策を行うことが欠かせません。適切なセキュリティ対策により、信頼性の高いECサイトを継続的に運用することができます。この記事では、安全なECサイト運用におけるセキュリティ対策のポイントや、日本国内シェアトップのECサイト構築パッケージEC-CUBEのセキュリティ対策についてご紹介します。
◎ECサイトにおける脆弱性
デジタル化が進む近年、自社の製品やサービスをインターネット上で販売できるECサイトは、企業や個人事業主の収益を支える重要な基盤です。しかしその一方で、脆弱性を伴うECサイトは不正アクセスやサイバー攻撃の対象となりやすく、個人情報の漏えいやシステムダウンなどのリスクが常に伴うことを理解しておく必要があります。ECサイトにおける脆弱性とは、プログラムの不具合や設計上のミスが原因で発生する問題点です。ECサイトに脆弱性があった場合、不正アクセスなど外部からの攻撃に対する防御力が低い状態といえます。脆弱性対策を適切に実行することで外部からの攻撃を防ぐことができますが、脆弱性を放置してしまえば攻撃者によって悪用される可能性は否めません。その結果、重要な情報の漏えいや不正アクセスなど、セキュリティインシデントが発生する可能性が高まります。
サイバー攻撃の目的はさまざまですが、多くはECサイトが取り扱う個人情報やクレジットカード情報など価値の高い情報を盗み、金銭的な利益を得ることが目的です。ECサイトでは攻撃者にとって魅力的で価値の高い情報を多く取り扱っているため、攻撃者に狙われやすいといった特徴があります。また、多くのECサイトは決済システムや配送システム、在庫管理システムや顧客管理システムなど多様なシステムと連携しているため、攻撃対象が増えることで脆弱性が発生しやすいといった特徴もあります。脆弱性そのものを完全に排除することは難しく、重要なのはECサイト運用者が脆弱性を常に把握し、適切なセキュリティ対策を継続的に講じることです。攻撃者も常に新たな攻撃方法を開発しているため、運用者も常にセキュリティ対策をすることが求められます。とくに、ソースコードが無料で公開されているオープンソース型ECサイトにおいては、運用者の適切なセキュリティ対策が重要です。
オープンソース型ECサイトのプログラムは一般公開されているため、脆弱性が見つかれば攻撃される危険性が増します。この脆弱性は、修正用プログラムであるセキュリティパッチを適用することで対策できるため、運用者は常にセキュリティ情報を収集し適切に適用することが求められます。これにより自身が運用するサイトの安全性を保つことが可能です。しかし、どのようにセキュリティ情報を集め対策を講じればよいのかわからない運用者も少なくありません。そこで、国内シェアトップのオープンソース型ECサイト構築パッケージであるEC-CUBEでは、セキュリティを強化するためのツール提供支援を行っています。既知の脆弱性情報は全て公開され、発見方法や対応方法まで開発者にわかりやすく情報を発信していることが特徴です。この情報をもとに、開発者は迅速に適切なセキュリティ対策を行うことができます。
◎ECサイトにおける脆弱性を放置することで起こり得る損害
ECサイトの脆弱性を悪用したサイバー攻撃を受けた場合、事業者は多くの損害を被る可能性があります。サイバー攻撃の目的はさまざまですが、ECサイトにおいては金銭盗取や個人情報の盗取が主な目的です。具体的には、不正アクセスにより登録会員のクレジットカード情報を盗んだり、決済ページを改ざんし顧客が入力した個人情報を盗んだりといった手口があります。実際に、2019年には国内ECサイトにおいて、決済画面を改ざんされクレジットカード情報が抜き取られる被害が多発しました。EC-CUBEを利用したECサイトでも被害が報告され、被害の拡大を防ぐため経済産業省から注意喚起が発表される事態に発展しています。こうした被害が出るたびにセキュリティ対策が行われているものの、毎年数千件規模の被害が報告されているのが現状です。2024年には正規サイトの改ざんにより、30万件を越える顧客情報が盗まれたという報告もあります。万が一クレジットカード情報や個人情報などが流失してしまった場合、ECサイト運用者は被害対応における費用を負担することになります。
独立行政法人情報処理推進機構(IPA)の発表によると、クレジットカードの再発行などに伴う被害対応費用の平均額は約2,400万円とされています。被害の大きさにもよりますが、被害者が多ければ事業者には相当な負担です。また、情報漏洩により被害に遭ったユーザーがECサイト運用者に損害賠償額を求めた事例も複数あります。とくにクレジットカード情報など中等度の秘匿性がある情報が流出すれば、被害者ひとり当たり10,000円前後の賠償費用が見込まれます。実際の判例でも、ECサイト運用者のセキュリティ対策漏れが重過失にあたるとし、損害賠償金の支払いを命じられたケースもありました。さらに、価値ある情報の流出によりECサイト運用者が被る損害は金銭的なものだけではありません。社会的信用も失い、ブランドイメージも傷つき、顧客離れや売り上げの低下にもつながります。最悪の場合事業の継続困難や、サイト閉鎖に追い込まれる可能性も否めません。このように、サイトのセキュリティ対策を怠り脆弱性を放置することは、ECサイト運用者に多大なダメージを与える結果となります。
◎セキュリティ対策の不安を払拭するEC-CUBEのセキュリティポイント
カスタマイズ性が高く無料ダウンロードが可能なECサイト構築ソフトウェアEC-CUBEは、多くの企業や個人事業主に利用されています。EC-CUBEを利用したECサイト運用において、セキュリティ対策は欠かせません。運用者がEC-CUBEを用いて独自性のあるサイトを構築しても、セキュリティ対策を怠れば顧客情報の漏えいなどにより多大な損害を被り、サイト閉鎖に追い込まれる可能性もあります。しかし、具体的にどのようなセキュリティ対策をすべきかわからないという事業者も少なくありません。EC-CUBEは、そういったセキュリティ対策への不安を抱える事業者にもわかりやすく、セキュリティに関する情報を公開しています。
◯運用環境セキュリティチェックシート・脆弱性リストの活用
EC-CUBEは2006年に最初のバージョンがリリースされて以来、2系、3系、4系と進化を続けています。進化のたびに使いやすさが向上しているだけでなく、セキュリティ面も強化されていることが特徴です。そのため、セキュリティを強化した最新のバージョンを使用することが推奨されますが、EC-CUBEの公式ページでは各バージョン毎のセキュリティチェックシートと脆弱性リストが公開されています。脆弱性リストでは、過去に見つかった脆弱性の概要から修正方法まで網羅的に確認できるようになっており、記載された通りに対応することで対策可能です。また、EC-CUBEバージョン別運用環境セキュリティチェックリストにより、運用するサイトの設定不備など利用環境を網羅的に確認できます。EC-CUBEバージョン別運用環境セキュリティチェックリスト内の対応項目を中心に、利用環境のチェックを自動で行う無料プラグインも提供されおり、セキュリティに関する知識が低い事業者の技術的負担軽減も可能です。まずは、自身が運用するサイトの利用環境を把握することが、適切なセキュリティ対策を講じる第一歩となります。
◯専用セキュリティ診断サービス
EC-CUBEの安全を保つためのセキュリティサービスとして、セキュリティ専門企業による無料セキュリティ診断を申し込むことができます。無料セキュリティ診断では、EC-CUBEを利用し構築したサイトの設定不備などを簡易的にチェックすることが可能です。無料セキュリティ診断は簡易的なセキュリティチェックではありますが、EC-CUBEを利用して構築したサイトの設定不備など基本状態を確認する手段として有効です。運用者は、サイトの安全性に関心を持つきっかけにもなるでしょう。有料のEC-CUBE公式セキュリティ診断では、EC-CUBEをカスタマイズして構築したECサイトであっても網羅的に脆弱性を洗い出し、対策方法の提案もしてくれます。これにより、ECサイトの運用者は今すべき対策や課題が明確になるといったメリットがあります。有料ではありますが、脆弱性によりサイバー攻撃を受けた場合の多大な損失を考えると、安心のサービスです。
◯不正注文検知サービス「ASUKA」との提携
不正検知サービスとは、ECサイトで注文があった際にクレジットカードの不正利用を事前に検知することで不正取引を抑止するサービスです。ECサイトにおいてクレジットカードの不正使用による被害額は年々増加し、とくに対策が必要な状況です。EC‐CUBEでは、クレジットカード不正検知・認証サービス「ASUKA」と提携しており、EC-CUBE利用者は特別プランで導入できます。ASUKAは、不正利用の可能性が高い対象を自動で検知し本人確認を行う仕組みです。これにより、クレジットカードの不正利用によるチャージバック対策が可能となります。大手企業のECサイトにも導入され、実績と信頼あるセキュリティサービスです。
◯クラウド型WAFサービス「攻撃遮断くん」との提携
WAF(Webアプリケーションファイアーウォール)とは、Webアプリケーションに対する不正な攻撃を防ぐことに特化したセキュリティシステムで、ECサイトを安全に運用するために、必要不可欠といえます。EC-CUBEと提携を結ぶ攻撃遮断くんは、開発からサポートまで全て国内で行う国産クラウド型WAFです。攻撃遮断くんを導入すると、外部からのサイバー攻撃を遮断し、個人情報漏洩やサイトの改ざんなどから守ることができます。攻撃検知AIエンジンにより未知の攻撃や誤検知も高速で発見できるセキュリティの高さから、大手企業サイトでも導入されています。攻撃遮断くんは、従来のWAFと比較しセキュリティ知識の高い専任の担当者は不要で導入・運用可能なため、中小企業や個人事業主も安心して利用できます。24時間365日、日本語サポート体制が整っていることで、トラブル発生時にも迅速な対応が可能です。
◯自動脆弱性診断方法とセキュリティに関する重要性を発信
EC-CUBE公式ページでは、無料の脆弱性診断ツールであるOWASP ZAPを用いたセキュリティテストの方法や、脆弱性を発見した場合の対応法などを公開しています。それと併せて、セキュリティチェックの重要性や注意事項まで細かく情報を発信していることが特徴です。より多くのECサイト事業者がセキュリティに関する知識を深め、安全かつ継続的にサイトを運用できるためのサポート体制が整っています。
◯事業者自身でセキュリティチェックや対策が困難な場合
クラウド版EC-CUBEを利用することで、常に最新バージョンのEC-CUBEで安定した利用ができるうえ、常時SSL化や不正リクエストに対する監視、セキュリティパッチの適用などの基本的なセキュリティ対策も実施されます。ダウンロード版EC-CUBEは無料で利用できる一方で、事業者自身がセキュリティ対策を行う必要があります。メンテナンスやセキュリティ対策は外部委託することもできますが、その場合、運用コストの発生は避けられません。メンテナンスやセキュリティ対策など全て事業者自身で実行可能な場合はダウンロード版EC-CUBEの活用によりランニングコストをおさえられるメリットがあります。事業者自身の知識や技術量に伴い、クラウド版とダウンロード版の使い分けが可能です。また、イーシーキューブでは、公式制作パートナーであるインテグレートパートナーと協力体制を築いているため、セキュリティ対策やサイト構築、リニューアルの相談も可能です。サイト構築やセキュリティ面に関する不安がある事業者は、まずはインテグレートパートナーに相談することで、安全なサイトの管理・運用を実現できます。
◎多くの事業者にEC-CUBEが選ばれる理由
日本発のECサイト構築パッケージであるEC-CUBEは、35,000店舗以上に導入実績のあるオープンソースソフトウェアです。ECサイトの構築に必要なソースコードを公開しているため、誰でも無料でダウンロードし利用できます。ECサイト運用に必要な受注管理や商品管理、会員管理や問い合わせ機能などは標準装備されており、シンプルなECサイトであれば簡単に作成可能です。初期費用や運用コストをおさえて手軽にECサイトの運用を開始できます。
さらに、手軽に使えるデザインプレートや機能張プラグインも豊富に公開されており、自由なカスタマイズにより各企業のブランドイメージに合ったオリジナルなECサイトの構築もできます。必要な機能は後から追加することも可能であると共に、ソースコードの改変に制約がないため、自社のビジネスモデルに応じてカスタマイズやリニューアルも自由に行えることが特徴です。また、EC-CUBEは日本発のオープンソースソフトウェアであるため、管理運用に必要な情報を日本語ですぐに収集できます。
ECサイトの運用がはじめての方や専門知識の少ない事業者にも安心であり、国内トップのシェアを誇る理由のひとつです。EC-CUBEでは、ECサイトの構築や運用などのサポートを専門に行うインテグレーパートナーが150社以上存在するため、ECサイトの構築を信頼と実績のある専門業者に委託できます。
◎まとめ
ECサイトを安全に運用していくにあたり、セキュリティ対策は1度実施すれば終わりではありません。常に巧妙化する攻撃者の手口に対し、セキュリティ情報を収集し継続的に対策することが求められます。EC-CUBEが提供するセキュリティツールを活用し、安全なEC-サイトの運用を実現しましょう。当社は、神奈川県最高ランクのEC-CUBEインテグレートパートナーです。安全でオリジナリティのあるECサイト構築に関するご相談は、お気軽にお問い合わせください。
