いつでもどこでも買い物ができる便利な時代ですが,だからこそECサイトを運用する際にはセキュリティには気を付けなければいけません。
セキュリティ対策を後回しにしてしまってセキュリティ被害が発生してしまうと,サイトや会社そのものの信頼にも影響を与えることもあります。
本記事では,ECサイトのセキュリティ対策としてどのような対策をする必要があるのかをまとめました。
ECサイトのセキュリティガイドライン
2023年3月に,経済産業省の政策実施機関である独立行政法人情報処理推進機構(IPA)が「ECサイト構築・運用セキュリティガイドライン」を公開しました。
その中で「経営者が実行すべき基本対策」が7つ挙げられています。
一見すると大企業にのみ当てはまるようにも思いますが,小手先の対策だけではなく,セキュリティに対する考え方が包括的に載せられておりとても参考になるガイドラインとなっています。
本記事では中小企業(もしくは個人)でECサイトを立ち上げる時にフォーカスしてそれぞれの対策を見ていきたいと思います。
1.ECサイトのセキュリティ確保に関する組織全体の対応方針を定める
まず「対応方針」を決めることが必要です。
これは,「ECサイトのセキュリティ対策」についての自社の中での優先順位を考えることとほぼ同じ意味合いです。
優先順位が決まれば自ずと,この後の対策をどれくらい実施するのかが決まってきます。
また,ECサイトのプラットフォームの選定にも影響があると思います。
2.ECサイトのセキュリティ対策のための予算や人材を確保する
優先順位を決めたら予算と人材を確保しましょう。
ECサイト開設計画時にセキュリティ対策にかかる予算を必ず見積ります。
セキュリティインシデントの被害に合うと、損害は計り知れないので、しっかり費用をかけましょう。
3.ECサイトを構築および運用するにあたって、必要と考えられるセキュリティ対策を検討させて実行を指示する
ECサイトを運用するには、外部からの不正攻撃から守るだけでなく、社外に機密情報を持ち出させない、紛失させないようにするなどの様々な対策が必要になってきます。
必要な対策をしっかり選定し、万全なセキュリティ対策を施しましょう。
4.ECサイトのセキュリティ対策に関する適宜の見直しを指示する
定期的に、今までのセキュリティ対策を振り返り、不十分なところはないか、要件をどれぐらい実装できているか点検しましょう。
不備が発覚した場合は、追加対策を実施するまでの間にサイバー攻撃を受けないよう、WAFを導入する、サイバー保険に加入するなどの応急処置を行いましょう。
5.緊急時(インシデント発生時)の対応や復旧のための体制を整備する
どれだけセキュリティ対策をしていても、インシデントを100%防ぐことはできません。
インシデント発生時の対応・復旧手順を決めておくことで、損害を最小に抑えましょう。
また、その手順は人目に付きやすい場所で発信するなど従業員全員に周知しましょう。
6.委託や外部サービス利用の際にはセキュリティに関する内容と責任を明確にする
外部委託の際は選定基準に従って委託先を決定し、委託先企業に依頼した対策が契約書に含まれていることを必ず確認します。契約締結後も定期的にチェックを行い、対策が実施されているか確認することも大事です。
決して委託先にまかせっきりにしないようにしましょう。
7.ECサイトのセキュリティリスクやセキュリティ対策に関する最新動向を収集する
今日、さまざまなサイバー攻撃手法が生み出されており、大きな脅威になっています。
サイトの運営者は最新の攻撃手法を把握し適切な対策をとることが必要です。
定期的にソフトウェアベンダーやOSベンダーによって配布されるリリース情報を確認しサイバー攻撃からサイトを守りましょう。
ECサイトで実施すべきセキュリティ対策
では、ECサイトを守るためにはどのような対策が有効なのでしょうか?
具体的な方法について解説していきます。
SSL証明書を導入する
SSLとはSecure Socket Layerの略称でデータを暗号化するためのプロトコルです。
URLの初めにある「https」で始まるサイトのデータ通信は暗号化されていることになります。個人情報を入力するECサイトではほとんどのサイトでSSLが使われています、
しかし今は個人情報を入力する画面だけでなくすべてのページでSSLする「常時SSL化」が必須になっています。
常時SSL化されていないサイトだとGoogle検索結果で優先表示されず、サイト訪問後のコンバージョン率に悪影響をもたらします。
関係するソフトウェアを出来るだけ最新に保つ
不正アクセスは多くの場合脆弱性を突いて攻撃を行います。
ECサイト運営者は定期的にPHPなどの動作環境のバージョン,ECパッケージソフトのバージョンを確認し、最新バージョンを適用することで脆弱性をなくしていくことが必要です。
スクラッチでの作成やカスタマイズの場合は脆弱性診断を実施する
未然に企業の情報漏洩を防ぎ、社会的信頼を向上させるためにも、定期的な脆弱性診断の実施は重要です。
サービスやツールによって診断できる範囲は異なるので、事前に必要な診断項目をあらかじめ整理しておきましょう。
脆弱性診断の種類
種類 | 特徴 |
---|---|
クラウド型 | インターネット経由で診断を行うツールのこと。 インストールや管理が不要で、手軽に利用できる。 |
ソフトウェア型 | 自社のパソコンやサーバーにインストールして診断を行うツール。 短時間かつ低コストで実施できる。 |
オープンソース型 | インターネット上に公開されているソースコードを利用したツール。無料で利用可能。 |
【vex】(ソフトウェア型)
Webアプリケーションだけでなくサーバーも検査してくれる機能があります。
サポートも充実しており、事前の経験がなくても安心して導入できます。【VAddy】(クラウド型)
専門知識がなくても、自分が使っているブラウザから手軽に診断できます。
3つのプランがあるので必要な診断項目に応じて無駄なく利用できます。【Vuls】(オープンソース型)
Linux上で動作し、環境が用意できればすぐに利用できます。
軽負荷で行うFastスキャン、しっかり診断するDeepスキャンの2種類があります。
WAFの設定をする
WAFとはWeb Application Firewallの略称で、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策の一つです。
SQLインジェクション、クロスサイトスクリプティング、DDos攻撃などを防ぎます。
近年では、ファイヤーウォールでも防ぐことのできない攻撃が増加しているのと、万が一攻撃を受けた際に生じる被害の拡大を防ぎ、被害を最小化できるという特徴からWAFの導入は必要不可欠でしょう。
Webサイト改ざん検知ツールによる監視を行う
Web改ざん検知ツールとは不当なHTMLの改ざんを防ぎ、自社のサイトを守るためのサービスです。
Webサイト改ざんには大きく2種類あり、コンテンツを差し替えたり、リンクを張り替えたりなど、「Webサイトの脆弱な部分を狙う」手口と「管理アカウントになりすまして改ざんする」手口があります。
【BLUE Sphere】
改ざん検知だけでなくDDos防御(攻撃者が大量の他人のPCを乗っ取り、それらを使って一気にアクセスすることでサイトの負荷を大きくする攻撃を防ぐ)、WAFも導入されている多重防御システムになっています。
他社と比較すると安価です。
アクセスログの定期的な確認を行い,不正なアクセスがあれば制限する等の対応を実施する
システムやサーバーにインシデントが発生した場合、いち早く気づき、原因を特定するためにも、日頃からアクセスログを取得して確認しておくことが重要です。
不正アクセスを発見した場合は、まず関係するシステムをネットワークから隔離し、責任者、利用者に報告しましょう。そしてそのアクセスログを保管し、証拠を書き換えられないよう管理しましょう。
管理画面には安全なネットワークからしかアクセスしない
管理画面には顧客情報やソースコードなどの機密情報が保管されているため、だれでもアクセスできる状態であるのはとても危険です。
接続元を判断しあらかじめ設定されたIPアドレスのみアクセスできるようにしておきましょう。
モールやASPのセキュリティ対策
ASPとはApplication Service Providerの略でインターネットを通じてアプリケーションを提供するものです。管理は事業者が行うため、サーバーをいじることはできず、事業者によっては情報流出のリスクがあります。
ですので、利用するASPの内容や利用方法、セキュリティ対策の内容をしっかり確認してから事業者を選定してください。そして実施結果も定期的に確認してください。
※ASPでEC構築する際のメリットやデメリットを詳しく知りたい方はこちらの記事もご参照ください。
セキュリティ事故におけるリスク対策
残念ながらしっかりとした対策をしていても、セキュリティ事故を100%防ぐことは不可能です。
もしセキュリティ事故が起こってしまった場合、どのように対処すれば被害を最小限に抑えることができるか解説していきます。
リスクを把握しておく
セキュリティにおけるリスクとは、情報資産に損失を与える可能性のことです。
全てを網羅的に把握する必要はありません。経営そのものに大きな影響を与えるリスク、力を入れている領域についてのリスクなどを漏れなく把握しましょう。
事故発生時の対応を決めておく
事前に事故発生時の対応を決めておくことで、被害を最小限に抑えることができます。
常に状況を把握できるよう、情報伝達の手順やルールを決めておくことも大事です。
セキュリティに問題が見つかった場合の対策フロー
セキュリティインシデント発生時の対応フローを独立行政法人情報処理推進機構(IPA)の「情報漏洩発生時の対応ポイント集」を参考に解説していきます。
- 発見・報告
- 初動対応・応急処置
- 調査
- 通知・報告・公表
- 要請措置と復旧
- 事後対応
発見・報告
セキュリティに問題が見つかったら速やかに責任者に報告しましょう。
報告が遅れると被害が拡大してしまうため、事前に、チームに共有する仕組みを構築しておきましょう。
初動対応・応急処置
被害を最小限に抑えるため、すぐに行える応急処置を実施します。
情報が外部からアクセスできる状態であれば、情報の隔離、ネットワークの遮断、サービスの停止などを行いましょう。
内部でセキュリティインシデントが発生した時は従業員へ聞き取りを行い「情報漏洩事故共有シート」を作成しましょう。
調査
応急処置ができたら、何が原因か特定するため詳細な調査を行います。
5W1H(いつ、どこで、だれが、何を、なぜ、どうしたのか)の観点で調査し、同時に事実関係を裏付ける情報や、証拠を確保しておきます。
通知・報告・公表
インシデント発生時は、取引先、監督官庁、警察、漏洩した情報の対象者に報告する必要があります。公表せずに、後から事実が流出すると、企業としての信頼を失ってしまいます。
ただし、インシデント発生の原因を詳しく公表してしまうと脆弱性を突かれ更なる被害に合う可能性も出てきます。具体的な内容は伏せつつ、「インシデント発生の事実」、「その経緯」、「被害者に対する謝罪」、「おおまかな原因」、「今後の対策」をまとめて報告しましょう。
抑制処置・復旧
ここまで完了したら、セキュリティインシデントに対して、本格的な処置を行います。セキュリティの安全性が確保できたら、サービスの復旧を行います。
必要に応じて、取引先、関係者に情報公開を行い、被害者の不安を取り除き、安全が確保できたことを伝えましょう。
再発防止・事後対応
セキュリティに問題が発生しないよう再発防止策を検討して実施します。
不正アクセスなどの外部起因の場合、定期的な脆弱性診断、セキュリティソフトの見直しが必要になってきます。
うっかりミスなどの内部起因の場合は、従業員のセキュリティ意識の向上や、情報資源の管理を徹底します。
被害者に対しては真摯な対応を心がけましょう。
まとめ
今回はECサイトのセキュリティ対策について取り上げました。
サーバー攻撃などの被害に合ってしまうと、会社の信用を失い、損害賠償額は計り知れません。
定期的にセキュリティ対策を見直し、万が一、インシデントが発生した時の対応手順を決めておくことが大事です。
この機会に漏れなく対策ができているか確認してみてください。
最後までご覧いただきありがとうございました。