コマースセキュリティのヒント：サイトの安全性とビジネスの競争力を向上

オンラインストアを運営していたり、デジタルコマースの分野でビジネスを展開している企業であれば、潜在的なセキュリティの脅威を認識していることでしょう。自社のビジネスと顧客を守るためには、こうした脅威に先手を打つ必要があります。そこで本記事では、セキュリティの脅威を未然に防ぐために、企業が実践するべきコマースセキュリティ対策のヒントを、包括的に解説します。

• 強力なパスワードの推奨
• 多層セキュリティの導入
• ファイアウォールの活用
• 決済サービスプロバイダーの利用
• SSL証明書の取得とHTTPSセキュリティの導入
• ソフトウェアとハードウェアのアップデート
• PCI DSS要件の遵守
• データのバックアップ
• ベストプラクティスの確立
• 最適なホスティングサービスの採用

コマースセキュリティとは？

コマースセキュリティとは、企業が安全にコマースビジネスを展開するための一連の取り組みのことです。 コマースセキュリティは、企業と顧客の双方にメリットをもたらします。企業は、顧客との信頼関係を構築し、評判を高めることができます。

コマースセキュリティは、顧客の住所や決済情報などの個人情報を保護するうえで、重要な役割を果たします。顧客のプライバシーを保護することで、企業に対する信頼が高まり、経済的な損失につながる可能性があるデータ侵害を防ぐことができます。

今日、オンラインストアの数は増え続けており、顧客は多くの選択肢の中から、商品やサービスを購入するストアを決定します。顧客のデータを保護するために適切な対策を講じなければ、顧客は離れてしまいます。

ビジネスを保護するための、コマースセキュリティ10のヒント

コマースセキュリティを強化する方法は無数にあります。その中には、一般的なB2B企業やB2C企業が、時間と費用を費やすべきレベルを超えている方法もあります。ここでは、コマースサイトのセキュリティを強化し、自社のビジネスと顧客を守るための10のヒントを紹介します。

1.強力なパスワードの推奨

顧客と従業員の双方が取るべき、最も基本的なセキュリティ対策は、強力なパスワードを設定することです。数字と記号を組み合わせるだけでなく、可能であれば大文字と小文字の両方を取り入れることで、パスワードの強度を向上できます。

強力なパスワードを設定するうえで考慮すべきもうひとつの要素は、アカウントごとに異なるパスワードを設定することです。Googleの調査によると、利用者の52％が、複数のwebサイトで同じパスワードを使用していることが明らかになっています。

パスワードマネージャーを利用すれば、従業員が使用しているツールやプラットフォームごとに、強力なパスワードを設定できるようになります。各パスワードは安全な場所で保管されるため、複雑なパスワードを数多く覚える必要がなくなり、複数のサイトで同じパスワードを使い回すリスクを排除できます。

2.多層セキュリティの導入

データ保護を最重要課題として取り組むためには、多層的なセキュリティ戦略を導入する必要があります。複数の防御層を設置しなければ、データ侵害を確実に回避することはできません。

取引を直接おこなう従業員のみが、個人情報にアクセスできるようにすることが重要です。データ侵害によって情報が漏えいした場合、企業の評判に壊滅的なダメージを与える恐れがあります。そうした理由から、強力なパスワードを設定するだけでなく、複数のセキュリティ対策を講じることが不可欠となります。

多層セキュリティとは？

多くの人は、多要素認証という言葉を耳にしたことがあるでしょう。例えば、webサイトにログインする際に、多要素認証を求められることがあります。利用者は、SMSや電子メールで受け取ったコードを入力して、本人確認をおこなう必要があります。

もうひとつの例は、webサイトにアクセスする際に、モバイルアプリをダウンロードしてログインし、本人確認をおこなうことです。多要素認証は、複数のセキュリティ層を配置することで、データ侵害を防ぐことを目的としています。

もうひとつの多層セキュリティツールは、コンテンツ配信ネットワーク（CDN）です。分散型サーバーネットワーク上でデータを保持し、DDoS（分散型サービス妨害）攻撃からデータを保護します。DDoS攻撃とは、複数のソースから一度に大量のトラフィックを送ることで、利用者がwebサイトやデータにアクセスできないようにする攻撃手法です。

多層セキュリティが重要である理由

多層セキュリティを導入することで、企業の内部と外部の両方に保護層を追加することができます。そうした対策により、パスワードを盗んだハッカーがログインすることがより困難になります。従業員と顧客の両方を守るうえで、多層セキュリティの導入は賢明な策であると言えます。これにより、企業の評判も向上させることができます。

3.ファイアウォールの活用

ファイアウォールは、サイトに出入りするあらゆるトラフィックを監視し、不審なトラフィックをブロックします。ファイアウォールの設定は、企業ごとに異なります。所定のルールセットにもとづいて、信頼できないトラフィックソースを判別します。

ファイアウォールは、DDoS攻撃やSQL（構造化照会言語）インジェクションなどの攻撃を阻止できます。SQLインジェクションは、一般的なサイバー攻撃のひとつであり、有害なコードをwebサイトに埋め込むことで、データ侵害やデータベースの破損を引き起こします。

4.決済サービスプロバイダーの利用

さまざまなツールを利用して、顧客のあらゆる財務情報を安全に処理し、クレジットカードデータを保護できます。自社サーバーに顧客の財務情報を保存することは、推奨されません。決済サービスプロバイダーは、これまで紹介してきたセキュリティ対策だけでなく、顧客の決済データを暗号化することで、サイバーセキュリティ攻撃を阻止します。

5.SSL（Secure Socket Layer）証明書の取得とHTTPSセキュリティの導入

SSLは、デバイスと決済代行企業の間で伝送される顧客の財務データを暗号化し、保護します。

webサイトにアクセスした際に、アドレスバーに「このサイトは安全ではありません」と表示された場合、そのサイトはSSLを導入していません。SSLが導入されている場合、HTTPはHTTPSとなります。HTTPSとは、インターネットセキュリティの規格であり、利用者はより安全にwebサイトにアクセスできます。

SSLを導入しなければ、セキュリティが低下するだけでなく、利用者がサイトへのアクセスを敬遠するようになります。一部のブラウザーでは、「このページは安全ではありません」という警告メッセージが表示されます。実際、John Cabotが実施した調査では、利用者の64％が、「安全ではありません」という警告が表示されると、直ちにサイトを離れると回答しています。

SSLとHTTPSは、コマースセキュリティの規格であり、これからのコマースビジネスに欠かせない要素です。Googleでは、安全なサイトをより高く評価するため、HTTPSを導入することでサイトのSEOも改善できます。

6.ソフトウェアとハードウェアのアップデート

ソフトウェアが頻繁にアップデートされていたり、複数のデバイスでソフトウェアを利用している場合は特に、アップデートを怠りがちになるのはよくあることです。しかし、こうしたアップデートを無視していると、サイトのセキュリティが低下するため、優先的に取り組む必要があります。

ソフトウェアのアップデートは、新しいフロントエンド機能をリリースするためだけではありません。多くのツールでは、脆弱性のパッチを適用したり、セキュリティを改善するために、アップデートをおこないます。定期的にパッチをリリースすることで、コードを最新の状態に保つことができるプラットフォームを見つけましょう。

また、毎週または毎月、新しいアップデートをダウンロードする日時を事前に指定することで、従業員が業務に必要な時間を削られたと感じることがないようにすることも検討しましょう。

7.PCI DSS（Payment Card Industry Data Security Standard）要件の遵守

PCI DSSとは、クレジットカード情報を収集、処理、保管するあらゆる企業が遵守すべき、一連の要件のことです。

ここで解説しているコマースセキュリティのヒントの多くは、PCI DSSコンプライアンスの構成要素にもとづいています。例えば、ファイアウォール、強力なパスワード、カード所有者のデータの保護、ウイルス対策ソフトウェアはすべて、PCI DSSを構成する要素です。これらのヒントをすべて実践すれば、PCI DSSをほぼ遵守することができます。

そうしたヒントをもとに、自社に適切なPCIコンプライアンスチェックリストを作成し、現在の状況を把握しましょう。

黎明期

PCIコンプライアンスチェックリストは、コマースの黎明期から必要とされていました。当時は、webサイトアーキテクチャの設計や構成に関する基準がありませんでした。そのため、クレジットカード番号やデータのトラッキングなどの機密情報を保護するために、企業は独自の措置を講じていました。しかし、消費者から報告される不正取引の件数は増え続けました。そこでVisaは、オンラインビジネスを展開し、Visaによる決済に対応してる小売企業を対象に、独自の要件と基準を策定しました。

他のクレジットカード企業も同様の取り組みを進めていましたが、最も厳格な要件を設けていたのはVisaでした。最終的に、クレジットカード企業は協力して、PCI DSS（Payment Card Industry Data Security Standard）という、セキュリティ基準を監視するための業界基準を共同で策定しました。同基準の目的は、あらゆるクレジットカード企業が従うべき、正式な要件と基準を制定することでした。これらの基準は、クレジットカード企業だけでなく、小売企業と消費者を保護するのに役立ちます。

PCIコンプライアンスチェックリストの定義と重要性
PCI DSSは、消費者のクレジットカード情報、つまりカード所有者データ（CHD）を保護する方法に関する、基本的な要件と基準を提供するため、非常に重要なものです。これらの基準は、企業が自社のニーズを考慮しながら、情報セキュリティに関する施策を構築する際の指針となります。また、CHDをどのように取得し、移動させ、最終的にどこに保管されているのかを把握するのに役立ちます。社内ネットワーク全体にわたってデータの動きを把握することが、データを保護する方法を決定する第一歩となります。

包括的なPCIコンプライアンスチェックリストがビジネスの成長に役立つ理由
PCIコンプライアンス施策は、企業の包括的な情報セキュリティ施策の一部に過ぎません。それらは、共生関係にあります。つまり、お互いに影響を及ぼすのです。PCIコンプライアンス施策を適切に実施した場合、一連のセキュリティ基準を特定することができ、情報セキュリティ施策全体の強化につながります。

コンプライアンスを遵守しないことのリスク
コンプライアンスに違反していることが判明した場合、それに伴うリスクは計り知れません。カード発行企業から多額の罰金が科せられ、顧客の信頼も失いかねません。時間をかけて顧客と信頼関係を構築することは、商品の売上を伸ばすことと同じように価値があります。顧客のカード情報を適切に保護せず、信頼を失った場合、それは後々までビジネスに影響を及ぼします。

ビジネスを守るために取り組むべきこと
PCI DSS v3では、6つの主要な要件を12のサブ要件に分類し、300以上の基準項目を設けています。その主な目的は、カード所有者のデータを保護することです。カード所有者のデータこそが、悪意のある攻撃者が手に入れようとしている、価値のあるものなのです。攻撃者がデータを入手し、それを悪用して利益を上げようとすれば、自社だけでなく、消費者、パートナー企業、カード発行企業に甚大な被害が及びます。

PCIコンプライアンスチェックリストに含めるべき項目

PCI DSSでは、あらゆるビジネスモデルに対応する標準的な基準を提供しています。PCI Security Standards Councilは、長年にわたって各要件の表記、定義、適用可能性を改善し、PCI DSSコンプライアンス全体を大幅に向上させました。企業のPCIコンプライアンスチェックリストには、次の項目を含める必要があります。

• 決済カードデータとパブリックネットワーク間にファイアウォールを設置し、常に最新の状態に保つ
• 決済処理に用いるネットワーク機器やデバイスにおいて、ベンダーが提案するデフォルトのパスワードを使用しない
• カード所有者のデータを保持しない。業務上保持する必要がある場合は、強力な暗号化をおこなう。Adobe CommerceのBraintree向け拡張機能を利用すれば、自社システムでカード所有者のデータを保持する必要がなくなる
• 暗号化を利用して、パブリックネットワーク上でやり取りするあらゆるカード所有者データを保護する
• カード所有者データを扱うあらゆるデバイスにウイルス対策ソフトウェアを導入し、定期的にアップデートする
• カード処理システムに、ベンダーから提供されたセキュリティパッチが適用されていることを確認する
• カード所有者データにアクセスできる従業員を最小限に抑える
• 各利用者に一意のID番号を割り当て、誰もが自身の行動に責任を持てるようにする
• カード所有者のデータ環境への物理的なアクセスを制限する
• 自社ネットワークとカード所有者のデータ環境へのあらゆるアクセスを監視する
• セキュリティシステムとネットワーク環境を定期的に検証する
• セキュリティポリシーを維持し、関係者全員がポリシーを認識していることを確認する

Adobe Commerceを利用して、PCIコンプライアンスを遵守する方法

Adobe Commerceでは、PCI DSSとPA DSS（Payment Application Data Security Standard）の要件に対応するための、決済アプリケーションとブリッジを提供しています。PA DSSとは、PCI Security Standards Councilによって定められた、単独の認定プロセス基準です。Adobe Commerceの決済アプリケーションとブリッジを利用すれば、PA DSSの認定プロセスが容易になります。しかし、これらの機能を導入するだけで、自動的にPCIコンプライアンスが確立されるわけではありません。Adobe Commerceの管理対象外にある、さまざまなPCI規制にも対応する必要があります。

PCIコンプライアンスチェックリストの作成方法や、QSA（認定審査機関）からの推奨事項に関する詳細については、アドビまでご相談ください。

コンプライアンスの測定方法

パッチ管理レポートは、コンプライアンスを測定するのに役立ちます。自社のコマースプラットフォームがPCIコンプライアンスにどの程度準拠しているかについて、最新の情報を常に把握できます。また、ハードウェア、ソフトウェア、サーバー、顧客のアカウントにおける脆弱性についても、定期的に検証する必要があります。

コンプライアンスを測定するもうひとつの方法は、ペネトレーションテストです。ペネトレーションテストとは、社内外から自社システムに実際に侵入を試みることで、その攻撃耐性を検証することです。システムの脆弱性を明らかにし、セキュリティを強化するのに役立ちます。

8.データのバックアップ

あらゆるデータを定期的にバックアップして、データ侵害やシステムの破損が発生した場合に、復元できるようにしておくことが重要です。多くのセキュリティ対策は、サイバー攻撃を防ぐことを目的としています。しかし、そうした対策が突破された場合に、データを復元するための施策も用意しておく必要があります。

9.ベストプラクティスの確立

コマースセキュリティは、従業員や顧客がそれらを実践しなければ意味がありません。強力なパスワードの作成方法や、多要素認証の導入方法など、オンラインセキュリティに関する情報を従業員と顧客に提供し、教育する必要があります。

また、顧客データを保護するための取り組みを、顧客と共有することも重要です。これにより、ビジネスの透明性が高まり、顧客がよりスマートな方法でオンラインサービスを利用できるよう後押しできます。

10.最適なホスティングサービスの採用

優れたホスティングプロバイダーは、次のような方法で、コマースセキュリティ戦略の推進をサポートします。

1. さまざまな脅威を監視
2. セキュリティを継続的に改善するためのアップグレードを提供
3. 技術的な問題をタイミングよく修正
4. 堅牢なセキュリティ機能を搭載

Adobe Commerceを利用して、コマースセキュリティを強化させましょう

デジタルビジネスに移行する企業が増えるなか、サイバーセキュリティの重要性は高まり続けています。データがひとつでも漏洩すれば、顧客に経済的な損害をもたらし、企業の評判は失墜します。厳格なコマースセキュリティ体制を維持することで、そのような事態を防ぐことができます。

最重要事項としてコマースセキュリティに取り組み、あらゆる関係者が強力なパスワードを使用するように促しましょう。チームメンバーにパスワードツールへのアクセス権を提供すれば、各メンバーに最適なパスワードを提案し、全員のパスワードを安全に保持することができます。

アドビは、PCI DSSレベル1のソリューションプロバイダーに認定されているため、Adobe Commerceを利用すれば、PCI認定プロセスを迅速化できます。セキュリティリスク、マルウェア、不正アクセスに関する最新情報を自動的に提供し、企業が安心してデジタルビジネスを推進できるようサポートします。

Adobe Commerceの 製品ツアーと概要ページでは、Adobe Commerceがコマースセキュリティをはじめとした日々の業務にどのように役立つのかを解説しています。ぜひご覧ください。