ECサイトのセキュリティ対策を外部対策・内部対策の両面から解説！

ECサイトが狙われる理由

�@価値の高い情報を大量に扱っている

顧客の氏名、住所、電話番号、メールアドレスといった個人情報に加え、クレジットカード情報などの決済情報も取り扱っています。これらの情報は、詐欺やなりすまし、直接的な金銭的搾取といった不正行為に悪用される可能性があり、攻撃者にとって非常に魅力的な標的となります。

�A金銭的な利益を直接的に得やすい

不正に入手したクレジットカード情報による不正購入や、ECサイトに仕込んだ不正スクリプトによる決済情報の窃取（Webスキミング）、システムをロックして身代金を要求するランサムウェア攻撃、決済システムの脆弱性を悪用した不正送金など、様々な手口で金銭的な利益を得るための攻撃が可能です。

�Bセキュリティ対策が十分でないECサイトが存在する

ソフトウェアの脆弱性や設定の不備が放置されていたり、推測されやすいID・パスワードが使用されていたり、従業員のセキュリティ意識が低かったりする場合、攻撃者は比較的容易に侵入する可能性があります。特に、比較的小規模なECサイトは、大手サイトに比べてセキュリティ対策にリソースを割けない場合があり、標的となりやすい傾向があります。

�Cシステムの複雑化と外部連携の増加

現代のECサイトは、決済システム、顧客管理システム、物流システムなど、多くの外部サービスやシステムと連携しており、これらの連携部分が新たな攻撃の経路となる可能性があります。また、利用しているサードパーティ製のサービスに脆弱性があると、そこを経由して不正アクセスを受けるリスクも存在します。

ECサイトの不正アクセス対策：外部対策

ECサイトを外部からの脅威から守るためには、多層的な対策を講じる必要があります。
対策は大きく分けて「外部対策」と「内部対策」の2種類があります。

外部対策：ネットワーク境界防御の強化

・WAF（Web Application Firewall）の導入・運用
Webアプリケーションの脆弱性を悪用した攻撃を検知・防御し、悪意のあるボットのアクセスを遮断します。

・ファイアウォールの設置と適切な設定
不正なポートへのアクセスや許可されていないIPアドレスからのアクセスを制限します。

・DDoS攻撃対策サービスの導入
大量のアクセスによるサービス停止を防ぎます。

・IDS/IPS（不正侵入検知/防御システム）の導入・運用
ネットワーク上の不正な通信や振る舞いを検知・防御します。

外部対策：Webアプリケーションのセキュリティ強化

脆弱性対策の徹底
OS、ミドルウェア、CMS、プラグインなどを常に最新の状態に保ち、定期的な脆弱性診断を実施します。

アクセス制御の強化
管理画面へのアクセス制限、二段階認証の導入、不要な機能の無効化を行います。

不正なアップロード対策
ファイル形式やサイズなどを制限し、マルウェアのアップロードを防ぎます。

Webスキミング対策
CSPの設定、SRIの活用、定期的なサイト改ざんチェックを実施します。

APIセキュリティの強化
適切な認証・認可、入力値検証を行います。

SSL/TLS暗号化の導入
Webサイトとユーザー間の通信を暗号化します。

入力値の検証とエスケープ処理
ユーザーからの入力値を適切に処理し、不正なスクリプトの挿入を防ぎます。

ECサイトの不正アクセス対策：内部対策

どんなに万全に外部対策を行ったとしても、情報漏えいの発生を完全に防ぐことはできません。

なぜなら外部対策だけでは、内部の人間による不正などの内的要因による情報漏えいを防ぐことはできないからです。

東京商工リサーチの調査によると、上場企業とその子会社が公表した個人情報の漏えい・紛失事故189件のうち、原因として最も多いのは「ウイルス感染・不正アクセス」が60.3%でしたが、残りの約40%が内部に原因があるため発生した事故・事件だったからです。


外部対策を行うのはECサイト運営者として当然ですが、それに加えて内部対策を実施するのがセキュリティ対策では重要なことです。
ここでは具体的な内部対策について、初歩的なものから専門的な内容まで紹介します。

内部対策： アカウント管理の強化

強力なパスワードポリシーの適用
複雑なパスワードを必須とし、定期的な変更を推奨、使い回しを禁止します。

二段階認証（多要素認証）の導入
従業員や管理者アカウントに対して、ID・パスワードに加えて追加の認証要素を求めます。

アカウントロック機能の実装
一定回数以上のログイン失敗でアカウントを一時的にロックします。

休眠アカウントの適切な管理
長期間利用されていないアカウントを定期的に削除または無効化します。

特権IDの厳格な管理
システム管理者権限などの強力な権限を持つIDの利用を最小限にし、利用状況を監視・記録します。

内部対策： アクセス権限の適切な管理

最小権限の原則の徹底
従業員やシステムには、担当業務に必要な最小限の権限のみを付与します。

役割ベースのアクセス制御（RBAC）の導入
従業員の役割に応じてアクセス権限を効率的に管理します。

アクセスログの記録と監視
システムへのアクセス状況や操作ログを詳細に記録し、不正なアクセスや操作を早期に発見・分析します。

内部対策： 組織・人的な対策

従業員へのセキュリティ教育の徹底
フィッシング詐欺、ソーシャルエンジニアリングの手口や対策、情報セキュリティポリシーなどを定期的に教育します。

インシデントレスポンス計画の策定と訓練
不正アクセス発生時の対応手順を事前に定め、定期的な訓練を実施します。

内部監査の実施
セキュリティ対策の実施状況や運用状況を定期的に評価し、改善を図ります。

情報共有の促進
セキュリティに関する最新情報や脅威動向を組織内で共有し、意識向上を図ります。

ecbeingで強固なセキュリティ対策を

ecbeingでは、外部からの攻撃に対するセキュリティ対策はもちろん、内的要因によるセキュリティリスクに対してもすべての操作ログを取得し、管理者ごとに機能を制限する仕組みを実装することで、リスクを最小限に抑えています。

またお客様の環境を操作する際にはすべての操作を動画として録画、正当な理由のない操作や不注意による誤操作を抑止し、さらに万が一の場合に対処が可能な仕組みを導入しています。

ECサイトを構築する際には、価格や機能だけでなく、セキュリティに対する意識の高さやセキュリティ対策の強固さも重視して選定するようにしましょう。

※1出典：2024年「上場企業の個人情報漏えい・紛失事故」調査