Adobe Commerceを使用して顧客データを保護し、ショッピングパフォーマンスを向上

一般消費者に商品を販売する場合でも、法人顧客に販売する場合でも、購入者は自分たちのニーズを理解し、パーソナライズされた体験を提供し、自分たちが提供するデータを適切に保護してくれることを期待しています。

コマースアプリケーションのセキュリティ保護は、企業にとって不可欠です。さらに企業は、トラフィックが増加する販売期間中に柔軟に規模を拡大したり、地域をまたいで顧客体験を合理化したり、税金、配送、支払い、その他の物流上の課題に対するローカルプロセスを実装したりできるようにする必要があります。

セキュリティ対策を優先するために、パフォーマンスや顧客体験を犠牲にするのは、決して許されることではありません。Webサイトの読み込み速度を100ミリ秒でも改善すれば、コンバージョン率を8.4％向上させることができます。言い換えれば、パフォーマンスがわずかに低下しただけでも、収益に影響を与える可能性があります。

幸いなことに、eコマースやITの責任者は、セキュリティとパフォーマンスのどちらかを犠牲にする必要はありません。Adobe Commerceは、エンタープライズチームが安全なwebサイトを作成し、データを暗号化して、デプロイメントを安全かつ確実に行えるように支援します。この強力なコマースソリューションが、セキュリティとパフォーマンスをどのように自動化するのかを解説します。

Adobe Commerceでデジタルストアを保護

サイバー攻撃の脅威はいたるところに存在するため、コマースデータを安全に保つことは言うほど簡単ではありません。2024年には、米国で3,500万件以上のレコードがサイバー攻撃を受けています。企業は、データセキュリティに対してプロアクティブかつ包括的なアプローチを取る必要があります。

そこで、Adobe Commerceの出番です。信頼できる高性能プラットフォームにより、最小限のダウンタイムと優れた冗長性を実現し、より安全なストアフロントの構築を可能にします。クラウドベースのプラットフォームは、自動スケーリング機能を備え、必要な場合にのみリソースを使用するため、ユーザーエクスペリエンスを損なうことなく処理時間を短縮できます。実際、無制限のトラフィックをサポートし、1時間あたり20万件以上の注文を処理できるため、計画的なセールイベントだけでなく、突発的なセールイベントにも対応できます。

Adobe Commerceは、次のような便利な機能を提供します。

• PCI認証： 顧客の決済情報を処理する場合、PCI DSS（Payment Card Industry Data Security Standard）認証は必須です。Adobe Commerceは、PCI v4.0準拠プロバイダーとして認定されています。Adobe Commerceを使用するマーチャントは、アドビからPCI準拠証明書を取得できるため、PCI認証を簡素化し、サポートを受けることができます。

• 自動スキャン： Adobe Commerceのスキャンサービスにより、ストアオーナーはwebサイト内の潜在的なセキュリティ問題を特定できます。古いソフトウェアバージョン、パッチの未適用、潜在的な設定の問題など、一般的な脅威を自動的にスキャンします。また、webサイトのセキュリティを向上させるための詳細なレポートや推奨事項を提供します。これにより、マーチャントは顧客の機密データを保護し、サイバー攻撃を阻止できます。

• 開発者コミュニティ： アドビの活気溢れるグローバル開発者コミュニティは、専門知識に関するリソースやサポートを提供し、現在の脅威や新たな脅威に対するセキュリティ対策を最新の状態に保つのに役立ちます。

• 卓越した顧客体験： カタログ、検索、カテゴリーマーチャンダイジング、製品レコメンデーションといった機能を提供する高性能マイクロサービス（APIレスポンスタイム200ミリ秒未満）を通じて、高速なショッピング体験を実現します。Adobe Commerceを活用すれば、B2B顧客が数百点もの製品を買い物かごに追加することも可能です。

Adobe Commerceが提供する3つの強力なセキュリティ機能

Adobe Commerceは、企業が消費者データや財務情報のセキュリティ制御を強化できるようにする機能を、数多く提供しています。データをリスクから保護するための、3つの強力なセキュリティ機能を紹介します。

1. 安全なwebサイトの構築

顧客がアクセスするフロントエンドとバックエンドの両方を、安全に保護する必要があります。Webサイトが安全だとわかれば、顧客はクレジットカード情報、住所、その他の機密データを安心して共有する可能性が高まります。

セキュリティは、最終的には開発慣行に左右されますが、Adobe Commerceは次のようないくつかの方法で、消費者向けwebサイトの安全性をサポートします。

• SSL証明書： webサイトには、SSL証明書が必要です。SSL証明書は、webサイトをHTTPSで保護します。Googleを含む多くのブラウザーは、SSLがないwebサイトへのアクセスをブロックするため、この証明書は必須です。アドビを通じて、ドメイン検証済みのLet’s Encrypt SSL／TLS証明書を取得し、webサイトのすべてのページをHTTPSで保護します。

• Fastlyのコンテンツ配信ネットワーク（CDN）およびDDoS防御： Adobe Commerceは、Fastlyのコンテンツ配信ネットワーク（CDN）を採用しています。このCDNは、レイヤー3からレイヤー7までのCDNと分散型サービス拒否（DDoS）防御を提供し、オリジンサーバーへの直接アクセスを困難にします。DDoS機能は、レイヤー3およびレイヤー4の破壊的な攻撃を阻止するのに役立ちます。様々な基準（ヘッダー、Cookie、リクエストパス、クライアントIP、位置情報などの指標）にもとづいて、レイヤー7の高度な攻撃を防御するためのカスタムルールを作成することもできます。

• webアプリケーションファイアウォール（WAF）： アドビのWAFは、AIを活用した脅威検出により、誤検知を最小限に抑えながら、様々な脆弱性を防御します。Adobe Commerceには、追加の保護機能としてFastly WAFが組み込まれており、セキュリティと最適なパフォーマンスを両立します。さらに、Adobe Commerceは、重大な脆弱性を防御するためのWAFルールを導入し、パッチ適用中も保護を提供することで、常に最先端の保護を実現します。既知のインジェクション攻撃、クロスサイトスクリプティング、データ窃取、HTTP違反、その他の脅威から、webサイトを一貫して保護します。

• 仮想プライベートクラウド： Adobe Commerce Cloud Proの本番環境は、仮想プライベートクラウド（VPC）として構成されています。この構成では、3台の本番サーバーすべてが分離され、セキュアな接続は制限された状態でのみ許可されます。仮想ファイアウォールは、クラウドへの接続を制限することで、クラウドベースの攻撃に対するセキュリティをさらに強化します。

2. 顧客データを保護するためのテストと暗号化

データ保護とコマースのセキュリティには、テストと暗号化が不可欠です。アプリケーションの脆弱性を定期的にテストし、強力な暗号化方法を導入することで、企業は顧客情報を保護し、安全な取引を確保できます。

Adobe Commerceは、インフラストラクチャを攻撃から保護するための、次のような様々な組み込みのセキュリティ機能を搭載しています。

• 侵入テスト： アドビは、Adobe Commerceの主要なクラウドアプリケーションに対して、毎年セキュリティテストを実施し、パッチの適用が必要な領域を特定しています。アドビのTrust Centerを通じて、最終的なテストレポートをお客様に提供します。ただし、カスタムアプリケーションや拡張機能については、外部機関によるテストが必要となります。

• 支払いゲートウェイ： Adobe Commerceは、ブラウザーからゲートウェイにクレジットカードデータを直接渡す、決済ゲートウェイとの連携のみを許可しています。これにより、こうした非常に機密性の高い情報に対する、潜在的な攻撃対象領域や漏洩リスクを低減できます。また、Adobe Commerceは顧客のカードデータを保存しないため、データ侵害による機密情報の漏洩リスクを低減します。

• アプリケーションセキュリティ： Adobe Commerceは、主要なアプリケーションの脆弱性を定期的にテストし、HackerOne Bug Bountyプログラムに参加して、脆弱性を先回りして特定、解決しています。アドビのチームは、OWASPをはじめとする業界ガイドラインを遵守し、様々なツールやプロセスを活用して、製品のセキュリティを継続的に向上させています。セキュリティパッチは定期的にリリースされており、PCIコンプライアンスを維持するために、お客様は30日以内にパッチを適用する必要があります。さらに、Adobe Commerceは無料のセキュリティスキャンツールも提供しています。マーチャントは、webサイトを監視し、セキュリティ上の問題、ベストプラクティス、脅威に関する最新情報を受け取ることができます。

• 暗号化の簡素化： Adobe Commerceは、Amazon Elastic Block Store（EBS）をストレージに使用しており、すべてのEBSボリュームは、AES-265アルゴリズムを使用して暗号化されています。この構成により、Adobe Commerceに格納されているデータだけでなく、CDNとオリジンサーバー間、またはオリジンサーバー間で転送中のデータも暗号化されます。また、顧客のパスワードはハッシュ値として保存され、機密性の高い認証情報は、SHA-256アルゴリズムを使用して暗号化されます。

3. 安全な顧客体験のデプロイメント

バックエンド開発は、業界トップクラスの安全なデジタル体験を買い物客に提供するうえで不可欠です。Adobe Commerceは、そうしたデジタル体験の安全な導入を保証する、独自の構成を採用しています。開発者は、セキュリティチェックリストに煩わされることなく、クリエイティブなソリューションの開発に専念できます。

Adobe Commerceは、次のような機能を通じて開発を合理化します。

• 読み取り専用のファイルシステム： Adobe Commerceは、環境への攻撃を防ぐために、実行コードを読み取り専用のSquash FSイメージとして導入します。ファイルシステムは読み取り専用であるため、PHPやJavaScriptコードが挿入されるリスクを低減できます。

• リモートデプロイメント： 実行コードをAdobe Commerceの本番環境に導入する唯一の方法は、プロビジョニングプロセスで実行することです。ソースコードをソースリポジトリからリモートリポジトリにプッシュすることで、デプロイメントプロセスが開始されます。プラットフォームはデプロイメントターゲットへのアクセスを制限し、完全な制御を実現します。

• ログ： Adobe Commerceは、情報の記録や保存のプロセスを改善し、セキュリティチームが疑わしい動作を監視して、セキュリティインシデントを調査し、潜在的な脅威を特定できるようにします。これにより、成功するうえで重要なKPIを理解し、組織を調整できるようになります。

• バックアップ： 手動によるバックアップは依然として重要ですが、Adobe Commerce Cloudを使用すれば、自動バックアップによって手作業を削減できます。本番サーバーは、Linux、アプリケーションサーバー、データベースログなど、あらゆるクラウドアクティビティをバックアップします。Gitリポジトリは、あらゆるソースコードの変更を追跡します。これにより、Adobe Commerce Cloudダッシュボードでデプロイメント履歴を確認できるほか、あらゆるサポートアクセスがログに記録されます。

セキュリティを強化し、売上を増加

セキュリティは不可欠ですが、スムーズなショッピング体験も同様に重要です。B2CかB2Bかを問わず、適切なツールがあれば、コマースのセキュリティ対策は容易になります。高度なSSL暗号化とDDoS防御を備えた、安全なwebサイトの構築から、厳格なテスト、暗号化、安全なデプロイメント慣行に至るまで、Adobe Commerceは、企業がセキュリティとパフォーマンスを両立するうえで直面する、重要な課題に対処します。

PCI DSS認証、自動セキュリティスキャン、安全な開発を実現するためのツールのシームレスな統合など、様々な機能を備えたAdobe Commerceは、サイバー脅威に対するビジネスレジリエンスを高め、データを安全に保護しながら優れた体験を提供することで、顧客の期待に応えます。

Adobe Commerce の責任共有セキュリティおよび運用モデルについては、こちらをご覧ください。