コマースセキュリティ:定義、主な脅威、ベストプラクティスを徹底解説

An ecommerce security professional

優れたコマースセキュリティ戦略は、デジタルビジネスの成功に不可欠な要素です。サイバー攻撃の脅威はいたるところに存在し、その侵入経路も多様化しています。DataProtの調査によると、熟練のハッカーの88%が、わずか12時間で企業のシステムに侵入できると回答しています。評判の失墜やビジネスの混乱などのリスクを防ぐためには、自社データへの不正アクセスという脅威に対して、しっかりとしたセキュリティ対策を講じる必要があります。

Ecommerce security stat callout 1

コマース企業の多くは、基本的なセキュリティ対策を講じているものの、変化し続けるサイバー攻撃手法に対応する体制を整えていません。既存のツールだけで乗り越えられることを祈るだけでは、優れたセキュリティを確保することはできません。

コマース企業がオンラインストアと自社データを保護するためには、その方法を適切に理解し、実行する必要があります。そこで、本記事では、コマースセキュリティの基本事項と、成功に導くためのノウハウを解説します。

コマースセキュリティとは?

コマースセキュリティとは、安全なオンライン取引を担保するための一連のガイドラインのことです。 実店舗の場合、盗難を防ぐために警備員を配置したり、防犯カメラを設置します。オンラインストアも同様に、サイバー攻撃を防ぐための対策を講じる必要があります。2020年版の『Trustwave Global Security Report』では、小売業界が最もサイバー攻撃の標的になりやすいことが明らかになっています。

サイバー攻撃から自社のビジネスを確実に守るには、コマースセキュリティの原則を理解する上で欠かせない、4つの用語について把握する必要があります。

プライバシー

コマースセキュリティにおいて、プライバシー保護には、顧客データに不正にアクセスしようとする、社内外のあらゆる脅威を阻止することが含まれます。顧客のプライバシーが侵害されると、自社が守秘義務に違反したと見なされ、顧客のプライバシーだけでなく、企業としての評判にも甚大な影響を与えることになります。プライバシーを保護するための対策としては、ウイルス対策ソフトウェア、ファイアウォール、暗号化、データ保護措置などが挙げられます。

整合性

整合性とは、企業の保有する顧客データがどの程度正確であるかを示す指標です。しっかりと整理されたクリーンな顧客データセットを維持することは、コマースビジネスの成功に不可欠です。電話番号、住所、購入履歴などの顧客データが不正確であれば、そうしたデータを保護する能力だけでなく、企業全体の信頼性が失われかねません。

認証

認証は、企業が記述や主張通りに本物であることを示し、顧客が本人であることを確認するための手段です。企業は、広告や宣伝どおりの商品やサービスを提供していることを証明するために、webサイト上でそれを裏付ける情報を提示する必要があります。例えば、顧客のレビューや感想、導入事例を掲載することで、企業の信頼性を高めることができます。

また、顧客がオンラインで何らかの取引をおこなう前に、本人であることを確認する必要があります。顧客の認証方法としては、2段階認証や、マジックリンクによる顧客情報とアカウントの紐付けなどが挙げられます。

Ecommerce security: Two-step verification

否認防止

否認防止とは、企業や顧客が、過去に実行した取引を否認できないようにすることです。実店舗ではある程度暗黙の了解となっていますが、オンラインショッピングにも適用できます。デジタル署名などの否認防止対策を講じることで、企業と顧客はどちらも、商品やサービスの購入を後から否認できなくなります。

コマースセキュリティの主な脅威

コマースビジネスの脅威となるサイバー攻撃は、多岐にわたります。どのような脅威があり、それらをどのように防ぐのかをしっかりと理解することが重要です。コマースセキュリティにおける基本的な脅威の種類を把握することから始めましょう。

フィッシング攻撃

フィッシング攻撃とは、電子メール、SMS、電話を介して、パスワードや社会保障番号などの個人情報を窃取する攻撃手法です。一般的に、標的となる個人がよく利用している企業になりすまし、類似した電子メールアドレスや電話番号を使用して、緊急性のあるメッセージを配信することが多くあります。さらに攻撃者は、メッセージにリンクを挿入し、本物の企業を装った偽のwebサイトに誘導するなど、巧妙な手口で相手を信じ込ませようとします。

しかし、顧客が攻撃者の要求する情報を提供しなければ、フィッシング攻撃は成立しません。そのため、自社が電子メールやSMSを介して個人情報を要求しないことを顧客に周知し、個人情報を要求するメッセージに警戒するよう呼びかけることが重要です。

マルウェアとランサムウェア

マルウェアとは、PCやデバイスへの攻撃、侵入、不正アクセスを目的として開発された、「Malicious Software(悪意のあるソフトウェア)」の略称です。ランサムウェアはマルウェアの一種であり、被害者のファイルを暗号化して利用できない状態にした上で、そのデータを復号する対価として金銭を要求する攻撃手法です。

マルウェアは、企業、従業員、顧客に甚大な損害をもたらす恐れがあります。攻撃によって基幹システムにアクセスできなくなり、営業停止に追い込まれる可能性もあります。また、自社システムからマルウェアを削除するには、大きな費用がかかります。

ウイルス対策やスパイウェア対策向けのソフトウェアを導入し、自社システムを最新の状態に保つと共に、セキュリティ認証ツールを活用して、マルウェアの侵入を未然に防ぐ必要があります。

SQLインジェクション

SQL(構造化照会言語)サーバーデータベースにデータを保存することは、基本的なセキュリティ慣行のひとつです。しかし、セキュリティが自動的に確保されるわけではありません。SQLサーバーでは、テーブルを用いてデータを保存します。それらのデータを取得するには、アプリケーションを介してリクエストやクエリを実行する必要があります。SQLサーバーが保護されていない場合、攻撃者は独自のクエリを作成して注入し、SQLデータベースのアクセス権を取得して、データの傍受や改ざんをおこなう可能性があります。

開発者を対象としたセキュリティ対策トレーニングを実施する、データテーブルへのすべての変更は信頼できないものとして扱う、最新のweb開発テクノロジーを導入する、といった措置を講じることが、SQLi(SQLインジェクション)攻撃を阻止する第一歩となります。

XSS(クロスサイトスクリプティング)攻撃

XSS(クロスサイトスクリプティング)とは、webページに悪意のあるコードを埋め込む攻撃です。webサイト全体に影響を与えるわけではありませんが、コードが仕掛けられたページにアクセスすると、フィッシング攻撃やマルウェアによる攻撃を受ける可能性があります。

webサイトのコードやAPI統合に脆弱性がないかを定期的に検証し、脆弱性が見つかった場合はすばやくパッチを適用することで、XSS攻撃を防止することができます。

ブルートフォース攻撃

ブルートフォース攻撃とは、オンラインストアの管理者コンソールへのアクセスを試みたり、「ブルートフォース(総当たり攻撃)」手法によってパスワードを不正に入手しようとする攻撃を指します。攻撃者は、webサイト上でスクリプトと呼ばれる自動プログラムを実行し、文字、数字、記号のあらゆる組み合わせを試行して、パスワードを解読しようとします。

ブルートフォース攻撃から自社サイトを保護するには、管理者コンソールに複雑かつ強力なパスワードを設定し、定期的に変更することが重要です。また、顧客のアカウントについても、同様の措置を講じるよう促す必要があります。

Change your password for ecommerce security

eスキミング

eスキミングとは、コマースサイト上で決済代行企業からクレジットカード情報や個人データを窃取する手法です。攻撃者は、サイトの決済ページにアクセスし、顧客が入力した決済情報をリアルタイムで入手します。また、XSS攻撃、フィッシング攻撃、ブルートフォース攻撃などのさまざまな攻撃を受けるリスクが高まります。

eスキミングを阻止するには、webサーバーへの定期的なパッチの適用、広告サーバーコードの検査、サードパーティAPIの継続的な更新が有効です。自社サイトが既にeスキミング攻撃を受けている場合、サイバー保険の補償対象かどうかを確認し、ショッピングカードページを遮断して、攻撃元を調査および排除する必要があります

スパム

スパムとは、不適切なメッセージを不特定多数の人に送信し、悪意のあるリンクをクリックするように誘導する攻撃手法です。攻撃者は、主に電子メールを利用して悪意のあるリンクを拡散させますが、ブログ記事、ソーシャルメディアの投稿、問い合わせフォームにこうしたリンクが埋め込まれている可能性もあります。また、スパムはwebサイトのセキュリティを侵害し、読み込み速度を低下させます。

不適切なコメントを削除したり、問い合わせフォームにreCAPTCHAを導入することで、スパム攻撃を未然に防ぐことができます。ReCAPTCHAは、スパムボットで判読できないように、数字と文字の組み合わせを歪曲して表示し、利用者に表示された組み合わせを入力するよう要求します。

Captcha for ecommerce security

また、ReCAPTCHAを突破したスパムコメントを削除し、根本原因分析を実行することで、フォームの回答結果レポートをクリーンに保つだけでなく、有効なスパム対策を見極めるのに役立ちます。

ボット

ボットは、webサイト上で価格や在庫に関する情報を収集するために利用されます。攻撃者は、収集した情報をもとに価格を吊り上げたり、人気の高い商品をショッピングカートに大量に追加して、顧客が商品を購入できないようにすることで、売上の減少、否定的な口コミや報道による評判の低下を図ろうとします。

ボットを利用した攻撃の対策として、webサイトにおけるreCAPTCHAツールの導入、API接続の検証、古いバージョンのブラウザーのブロックが役立ちます。また、webトラフィックの急増、ギフトカードの検証失敗、ログインの失敗など、異常を検知した場合のアラームを設定することで、ボットによるサイトへの不正アクセスをいち早く察知できます。

トロイの木馬

トロイの木馬とは、有益なプログラムとして偽装されたマルウェアの一種です。一見無害に見えるため、従業員や顧客がPCにダウンロードするリスクが高まります。トロイの木馬がデバイスに侵入すると、攻撃者は悪意のあるコードを実行し、個人情報を窃取できるようになります。

堅牢なウィルス対策ソフトウェアやファイアウォールによる保護だけでは、十分なセキュリティを確保することはできません。従業員や顧客に対して、電子メールの添付ファイルに注意し、承認されていないサードパーティ製のプログラムやアプリケーションをダウンロードしないよう呼びかける必要があります。

コマースセキュリティのベストプラクティス

攻撃者は、データを窃取するための新たな手口を常に模索しています。ここからは、既知の脅威だけでなく、未知の脅威にもいち早く対応するための、コマースセキュリティのベストプラクティスについて解説します。

1.多層セキュリティの活用

多層セキュリティは、テクノロジー基盤全体にわたって、複数の防御層を重ねてセキュリティ対策を講じる手法です。攻撃者がひとつの防御層を突破したとしても、その先には別の防御層が存在するため、情報を容易に窃取することはできません。こうした多層セキュリティ体制を構築することで、攻撃者による企業システムへの侵入をより困難にすることができます。

重要な防御層のひとつは、CDN(コンテンツ配信ネットワーク)です。マシンラーニング(機械学習)を利用して、さまざまな脅威や感染したトラフィックをブロックできます。また、従業員が企業システムにログインしたり、顧客が自身のアカウントにログインする場合に、多要素認証を実施することも、有効な防御層となり得ます。従業員や顧客は、ログイン情報を入力する前に、SMS、電子メール、認証アプリを介して送信されたコードを入力する必要があります。

2.SSL証明書による保護

SSL(Secure Socket Layer)証明書は、webサイトのアイデンティティを検証し、暗号化された接続を確立します。コマースサイト上で処理されるクレジットカード情報などの機密情報を保護し、攻撃者がサイトを利用してフィッシング攻撃を実行するのを防ぎます。

3.ファイアウォールの利用

ファイアウォール用のソフトウェアやプラグインは、信頼できるトラフィックを受け入れながら、コマースサイトへの不審なアクセスをブロックします。トラフィックフローを適切に制御することで、異常をいち早く検知し、攻撃者によるネットワークへの侵入を未然に防ぐことができます。ファイアウォールは、XSS、スパム、悪意のあるSQLインジェクションといったサイバー脅威の防御に特に有効です。

4.ウイルス対策/マルウェア対策ソフトウェアの導入

多くの攻撃者は、窃取したクレジットカード情報を利用して注文をおこなうなど、オンラインストアで不正行為をおこないます。ウイルスやマルウェアに対応するソフトウェアを導入すれば、洗練されたアルゴリズムを利用して、悪意のあるトランザクションを検知し、不正リスクスコアをもとにトランザクションの正当性を的確に判断できます。また、こうしたソフトウェアを活用して自社サイトを定期的にテストすることで、マルウェア攻撃を受けるリスクを低減できます。

5.従業員向けトレーニングの実施

あらゆる従業員は、顧客情報を保護するための規則を把握している必要があります。パスワードの定期的な更新、機密情報へのアクセス制限、サーバーセキュリティとプライバシーに関するトレーニング受講の義務付けは、企業全体のセキュリティを強化し、セキュリティインシデントによる企業の法的責任を軽減するのに役立ちます。また、従業員が退職した場合、すべての企業システムに対するアクセス権を無効にすることで、その従業員がサイバー攻撃者にデータを売却したり、自らサイバー犯罪を実行することを防ぐことができます。

6.顧客の教育

顧客の行動が原因で、セキュリティ上の過失が生じることもあります。顧客は、多くのサイトでアカウントを作成し、同じパスワードを使いまわしていることがあります。顧客に対して、複雑で長いパスワードを設定するように要求し、フィッシング攻撃のリスクを周知することで、サイバー攻撃を受ける可能性を減らすことができます。

高まるコマースセキュリティの重要性

Juniper Researchの調査では、サイバー攻撃を受けたことがあるアカウント数は、2023年までに330万件に達すると予測しています。オンラインストアを利用する顧客が増えると共に、サイバー攻撃者もまた、セキュリティプロトコルやネットワークの脆弱性を悪用するための新たな手法を生み出すことでしょう。

Ecommerce security stat callout 2

サイバー犯罪を未然に防ぐための最善の方法は、あらゆるサイバー攻撃に対抗し続けることです。脆弱性や脅威に常に注意を払い、コマースセキュリティのベストプラクティスを徹底することで、自社と顧客のデータを確実に保護することができます。企業のセキュリティ体制を強化すれば、顧客は企業から大切にされていると感じ、ロイヤルティが高まります。

アドビがお手伝いします

コマースセキュリティに真剣に取り組むことは、企業と顧客の双方にとって必須の要素となっています。顧客のクレジットカード情報や個人情報を保護することは、顧客との信頼関係を構築し、自社の評判を維持する上で欠かせません。自社サイトのセキュリティを確保し、財務処理などの経営基盤を整えることではじめて、顧客の期待に応える商品やサービスを提供することができるのです。

コマースセキュリティのベストプラクティスを遵守し続けることは、決して容易ではありません。コマースビジネスの発展に伴い、その難易度はさらに高まっています。セキュリティ機能を搭載したコマースツールを利用すれば、サイバーセキュリティの変化に適応し、新たなベストプラクティスを容易に導入することができます。

Adobe Commerce は、コマースセキュリティに配慮して設計された、コマース基盤です。クラウドベースのヘッドレスアーキテクチャにより、多様な基幹システムを統合し、データを安全に伝送することができます。バックエンドでは、脆弱性の定期的な検証、サーバーレベルでのパッチ適用、ファイアウォール設定の管理、インシデント対応の優先順位付けをサポートします。

Adobe Commerceがサイバー攻撃の防御にどのように役立つのか、動画でご確認ください。