PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

ECサイトを持つ中小企業のセキュリティ対策と実践方法

ECサイトを持つ中小企業のセキュリティ対策と実践方法

ECサイトの利用は、2013年から成長を続けています。以下は、経済産業省「令和4年度 電子商取引に関する市場調査 報告書」
https://www.meti.go.jp/press/2023/08/20230831002/20230831002-1.pdf )からの引用です。ただ、こうして市場が拡大していく中で、ECサイトを狙った攻撃も増えてきています。今回は、ECサイトを運用する中小企業様向けに、どのようなセキュリティ対策を講じたら良いのか?についてお話したいと思います。

電子商取引に関する市場調査 報告書

1.ECサイトが狙われています。

なぜ、中小企業のECサイトが狙われるのでしょうか。そこには、コストの問題が考えられます。最近では、手軽にECサイトを構築できるASP(Application Service Provider)サービスも多くなっていますが、サービスの利用料金や決済手数料などを考えたときに、自社で構築したいと考える企業は少なくありません。WordPressなどのオープンソースのCMS(Contents Management System)のプラグインを利用することで、比較的簡単にECサイトが構築できるため、更にそのような検討が進むことも理解できます。

ただ、IPAが公開しているECサイト構築・運用 セキュリティガイドライン(https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf )にも記載があるように、こうした自社構築サイトの被害が多くを占めているのも現状です。

ECサイト構築・運用 セキュリティガイドライン

WordPressなどのオープンソースのCMSを利用しても、プラグインのアップデートなど、セキュリティパッチを適用し、きちんと運用していればそれほど多くの危険性はありません。しかし、コストの問題を重視した結果、制作は安価な制作会社に依頼し、保守などの契約もしないままECサイトを運用しているケースが多く存在します。そうしたサイトの脆弱性などを突かれて、不正アクセスなどの被害が発生してしまっているという状況があります。

十分な対策をとらないまま、サイバー攻撃を受けてしまった場合、ECサイトの公開を停止している期間の売上の損失だけでなく、被害状況の調査や利用者への報告も必要となります。IPAの「「ECサイト構築・運用セキュリティガイドライン」(https://www.ipa.go.jp/pressrelease/2022/press20230316.html )では、調査に平均2,400万円がかかっていると発表しています。

また、ブランド力の低下から、発生前の売上に戻らず継続的な売上の減少など、被害が長期に継続したケースが見られています。

2.ECサイトを安全に運用するために

こうした状況から、先のガイドラインでは、構築時のセキュリティ対策要件と運用時の対策要件をそれぞれ公開しています。例えば、構築時においては、

1.「安全なウェブサイトの作り方」(*)及び「セキュリティ実装チェックリスト」(**)に準拠して、ECサイトを構築する。

2.サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。

3.ECサイトの公開前に脆弱性診断を行い、見つかった脆弱性を対策する。

4.管理者画面や管理用ソフトウェアへ接続する端末を制限する。

5.管理者画面や管理用ソフトウェアへ接続する端末のセキュリティ対策を実施する。

など、14項目があります。また、運用時についても、

1.サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。

2.ECサイトへの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する。

3.Webサイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Webサイト改ざん検知ツールによる監視を行う。

など7項目が挙げられています。

* IPA「安全なウェブサイトの作り方」: https://www.ipa.go.jp/security/vuln/websecurity/about.html
** IPA「安全なウェブサイトの作り方」の巻末に付属。別途Excelファイル版も上記URLで公開。

構築時と運用時の両方に共通することは、脆弱性を見つけて対策を講じるという点かと思います。セキュアブレインでは、専門家によるセキュリティ診断を提供しています。
https://www.securebrain.co.jp/products/web_it/index.html
公開前には、既存の環境におけるセキュリティホールがないかの確認を実施することが必要かと思います。

また、公開時には脆弱性対策は万全だったとしても、日々、新しい脆弱性が見つかっている中で、公開後の対策を十分に講じていないケースもあります。こうした問題に対して、「GRED Webセキュリティ診断 Cloud」という日次、週次などで、自動的にWebサイトの脆弱性を診断するサービスも提供しています。

また、運用時のチェックポイントとして「Webサイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Webサイト改ざん検知ツールによる監視を行う。」という部分では、約6,000社にご利用いただいているWeb改ざん検知サービス「GRED Web改ざんチェック Cloud」を提供しています。

「GRED Webセキュリティ診断 Cloud」と「GRED Web改ざんチェック Cloud」には無料トライアルがございます。両サービスともクラウドサービスなので、検査するWebサイトのURLを登録するだけで、サービスの開始が可能です。お気軽にお申込みください。

■「GRED Webセキュリティ診断 Cloud」詳細ページ
https://www.securebrain.co.jp/products/gwsvc/index.html

脆弱性診断 無料トライアルはこちら
https://www.securebrain.co.jp/campaign/form-lite/

■「GRED Web改ざんチェック Cloud」詳細ページ
https://www.securebrain.co.jp/products/gred/index.html

改ざんチェック無料トライアルはこちら
https://www.securebrain.co.jp/products/gred/trial/index.html

公開前、公開後とも弊社サービスを利用することで、より安全なECサイトの運用が可能になると思います。事前の対策や今後の運用を、このタイミングで検討してみるのはいかがでしょうか。