見出し画像

ECサイトのセキュリティ対策、出来ていますか?

ECサイトの不正アクセスや情報漏洩は毎年あちこちで起きています。
コーポレートサイトなどに比べ、ECサイトは顧客の個人情報を取り扱うため、セキュリティに関しては入念に対策しておきましょう。
今回は、マストで行ってほしいセキュリティ対策についてご紹介します。

セキュリティ事故の怖さ

セキュリティ事故による損害賠償は想像以上に大きいものです。
過去のインシデントデータを見てみても、一件あたりの想定賠償額は億単位。

2018年 個人情報漏えいインシデント 概要データ
漏えい人数 561万3,797人
インシデント件数 443件
想定損害賠償総額 2,684億5,743万円
一件あたりの漏えい人数 1万3,334人
一件あたり平均想定損害賠償額 6億3,767万円
一人あたり平均想定損害賠償額 2万9,768円

引用:2018年 情報セキュリティインシデントに関する調査報告書

また、損害賠償だけでなく、セキュリティ事故を起こしたことによる社会的信用が失墜することになります。
売上を重要視するあまりセキュリティ対策怠ると、信用の失墜により結果的に売上に悪影響がありますので、やはり最低限の対策はしておきたいものです。

セキュリティインシデントの具体的な事例やパターンは、他のサイトでも沢山紹介されています。本記事では泣く泣く割愛しますが、「セキュリティ対策?いらんじゃろ」と思っている方は必ずググりましょう😈
今回は、具体的な対策に焦点を絞ってご紹介します💡

EC-CUBEやスクラッチで構築する際は要注意

shopifyなどのASPはすでにある程度のセキュリティ施策がなされているため、ある程度安心して問題ないです。
気を付けるべきは、EC-CUBEやスクラッチでECサイトを構築する時。
これらはサーバーやら何やら全て自分で用意する必要があるため、当然セキュリティ対策もこちらから行わないといけません💡👀

構築の初期段階から、以下の3つの点に注意して進めましょう!

✔WAFが入っているか
✔脆弱性診断(セキュリティ診断)を行なったか
✔番外:負荷テストは行ったか

【必須対策1】WAFを入れる

WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。
攻撃遮断くんなどがWAFの一例ですね。聞いたことがある方も多いかもしれません。

WAFが対応する攻撃の種類は以下です。

・バッファオーバーフロー
悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃です。
クロスサイトスクリプティング
SNSや掲示板サイトなど、ユーザーが入力操作できるサイトに仕掛けられたスクリプトをユーザーが実行すると、個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりするものです。
SQLインジェクション
データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させます。
OSコマンドインジェクション
SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃です。
DDoS攻撃
標的のコンピューターに大量の処理負荷を与え、機能停止に追い込みます。
ブルートフォースアタック
Webアプリケーションのパスワードを総あたりで解析する行為です。
ディレクトリトラバーサル
ファイルやフォルダの位置を、相対パスを使って把握し不正アクセスを起こす攻撃です。

引用:WAFとは?今さら聞けないセキュリティ対策の仕組みを解説

ちなみに、AWSにはWAFがデフォルト装備されています。
使用するサーバーにデフォルトで装備されている場合や、オプションで入っている可能性がありますので確認しておきましょう💡

【必須対策2】脆弱性診断(セキュリティ診断)を行なう

脆弱性診断とは、ネットワーク・OS・ミドルウェアやWebアプリケーションなどに脆弱性がないか診断することです。
脆弱性診断のサービス・ツールを使用し、第三者機関によるセキュリティ診断を行いましょう。

・ネットワーク診断(プラットフォーム診断)
 ホストのスキャン、SSL/TLSの脆弱性、各種OSの脆弱性などを診断します。

アプリケーション診断
WAFの項目で挙げた様々な攻撃を受けうるようなWebアプリケーションの脆弱性を診断します。
ソースコードが完全に固まってからの診断となります。

脆弱性診断はリリース前の判定として必ず行い、その後も1年に1回など、定期的に行っていきましょう💡

番外:負荷テストを行なう

セキュリティ対策、という訳ではないのですが大事なのが「負荷テスト」
自社サイトが予想以上に売上が伸びアクセスが集中した際に(喜ばしいことですが)、ECサイトがその負荷に耐えられず落ちてしまっては、機会損失となってしまいます。
また、アクセスを意図的に過集中させる悪質な攻撃(DDos攻撃)も起こり得ます。
ECサイトを公開する前には、ツールを使用するなどして負荷テストも忘れずに行なっておきましょう💡

最後に

…余談ですが、セキュリティ事故のもうひとつの大きな原因はヒューマンエラーです。今回ご紹介した3つの対策をした上で、ヒューマンエラーが起こりづらい運用方法を考えることも同じくらい大切なことです。

今回ご紹介した3つの対策「WAFを入れる」「脆弱診断を行なう」「負荷テストを行なう」、さらに「ヒューマンエラーが起こりにくい運用方法」を必ず念頭に置いて、ECサイトを構築しましょう!

それではまた次の機会にお会いしましょう🌷
最後まで読んでくださった方、ありがとうございました✨