セキュリティ

アドビの組み込みツールとベストプラクティスによって状況を視覚化し、業務を合理化して、コマースのあらゆる側面を安全に保ち、データを保護します。


あらゆるデータを保護

消費者やB2Bのバイヤーは、企業が自分のことを十分に理解し、忘れられないショッピング体験を提供してくれると期待しています。同時に、機密性の高いデータを安全に保護してくれると信じています。しかし、サイバー攻撃の脅威はいたるところに存在し、データの保護には困難が伴います。

 

Adobe Commerceは、レベル1のソリューションプロバイダーとしてPCI認証を受けています。つまり、アドビのソリューションを使用する販売者は、PCI Attestation of Complianceを使用して自社のPCI認証プロセスをのサポートとして利用できます。セキュリティスキャンなどのツールを使用してサイトを監視し、セキュリティリスクやマルウェア、不正アクセスに関する最新の情報を常に把握すれば、自信を持ってオンラインビジネスを展開できます。また、世界中の開発者が参加するアドビの活発なコミュニティを利用して、現在と未来の脅威に対して常に最新のセキュリティ対策を維持することができます。

Adobe Commercがどのように役立つのかをご案内します。

アドビの次世代技術や世界規模のパートナーエコシステム、拡張機能のマーケットプレイスを利用して、どのようにeコマースwebサイトに活気をもたらすことができるのかをご確認ください。

安全なwebサイトの構築

webサイトでHTTPSを利用することで、消費者をより適切に保護できます。チェックアウトとアカウントのページだけでなく、webサイトのあらゆるページをHTTPSで保護することをお勧めします(共有SSL証明書または追加料金で独自のSSL証明書を使用できます)。

Fastlyは、レイヤ3からレイヤ7まで、CDNおよびDDoS保護対策を提供します。Fastly CDNは、オリジンサーバーへの直接アクセスを分離するのに役立ち、パブリックDNSはそのネットワークのみをポイントします。FastlyのDDOSソリューションは、非常に破壊的なレイヤ3攻撃およびレイヤ4攻撃、そしてより複雑なレイヤ7攻撃から保護します。レイヤ7攻撃は、HTTP/HTTPSリクエスト全体に加え、ヘッダー、クッキー、リクエストパス、クライアントIPなどのクライアントやリクエストの条件、ジオロケーションなどの指標にもとづいたカスタムルールを使用してブロックすることができます。

追加の保護のために、Fastlyのwebアプリケーションファイアウォール(WAF)が使用されます。FastlyのクラウドベースのWAFは、OWASP Core Rulesetやコマースに特化したルールなど、商用およびオープンソースのサードパーティ製ルールを使用しています。顧客は、既知のインジェクション攻撃や悪意のある入力、クロスサイトスクリプティング、データ流出、HTTPプロトコル違反、その他OWASPトップ10の脅威など、主要なアプリケーション層の攻撃から保護されます。WAFのルールは、新しい脆弱性が発見されると更新されます。Adobe Commerceは、ソフトウェアのパッチが適用される前に、セキュリティの問題に「仮想パッチ」を適用することができます。

Adobe Commerce Cloud Proの本番環境は、仮想プライベートクラウド(VPC)として構成されているため、3台の本番サーバーはすべて隔離され、クラウド環境との間の接続が制限されています。クラウドサーバーへは安全な接続のみが許可されます。ファイル転送には、SFTPやrsyncなどのセキュアなプロトコルを使用できます。顧客は、アプリケーションとの通信を保護するためにSSHトンネルを使用できます。サーバーへのこれらすべての接続は、環境への接続を制限する仮想ファイアウォールである、クラウドセキュリティグループを使用して制御されます。顧客の技術スタッフは、SSHを使用してこれらのサーバーにアクセスできます。


テストと暗号化

アドビでは、クラウドアプリケーション上で、Adobe Commerceのコアインスタンスに対して定期的に侵入テストを実施しています。カスタムアプリケーションや拡張機能については、販売者またはパートナーが独自に侵入テストおこなう責任があります。

Adobe Commerceでは、クレジットカードのデータが消費者のブラウザから直接支払いゲートウェイに渡されるようにするために、支払いゲートウェイの統合が必要です。このような支払い拡張機能では、クレジットカードのデータがAdobe Commerceの本番環境に保存されることはありません。

Adobe Commerceでは、コアアプリケーションのコードにセキュリティ上の脆弱性がないか定期的にテストしています。不具合やセキュリティ問題に対するパッチは顧客に提供されます。Commerce Product Security Teamは、OWASPのアプリケーションセキュリティのガイドラインに従ってCommerce製品を検証しています。コンプライアンスのテストと検証には、いくつかのセキュリティ脆弱性評価ツールと外部ベンダーを使用します。これらのツールを使って、全コードベースを定期的にスキャンしています。

セキュリティパッチは、ダイレクトメール、アプリケーション内の通知、Commerce Security Centerで顧客に通知されます。顧客は、パッチのリリースから30日以内に、PCIガイドラインに従い、カスタマイズしたアプリケーションにパッチを適用する必要があります。また、Commerceでは、定期的にサイトを監視し、既知のセキュリティリスク、マルウェア、不正アクセスなどの最新情報を受け取ることができるセキュリティスキャンツールを顧客に提供しています。セキュリティスキャンは無料のサービスで、どのバージョンのAdobe Commerceでも実行できます。

ストレージには、Amazon Elastic Block Store(EBS)が使用されます。EBSボリュームはすべて、AES-265アルゴリズムを使用して暗号化されています。つまり、保存中のデータは暗号化されています。また、CDNサーバーとオリジンサーバー間および複数のオリジンサーバー間で送信中のデータも暗号化されます。顧客のパスワードはハッシュとして保存されます。支払いゲートウェイの資格情報などの機密情報は、SHA-256アルゴリズムを使用して暗号化されています。Adobe Commerceアプリケーションでは、列レベルまたは行レベルでの暗号化はサポートしていません。また、データが保存中ではなく、なおかつサーバー間で送信中でもない場合の暗号化もサポートしていません。


安全なwebサイトの構築

あらゆる実行コードは読み取り専用のSquash FSイメージとしてデプロイされ、環境への攻撃を防ぎます。また、ファイルシステムが読み取り専用であるため、PHPやJavaScriptのコードをシステムに注入されたり、Commerceアプリケーションのファイルを変更されたりする可能性が大幅に減ります。

実行コードをAdobe Commerceの本番環境に導入する唯一の方法は、プロビジョニングプロセスで実行することです。ソースコードをソースリポジトリからリモートリポジトリにプッシュすることで、デプロイメントプロセスが開始されます。そして、デプロイメントターゲットへのアクセスは制御されているので、デプロイメントターゲットにアクセスできる担当者を完全に管理することができます。本番環境へのアプリケーションコードのデプロイメントは、すべて顧客が管理します。

成功にとって重要なKPIをより深く理解し、組織を調整することができます。

Linuxとアプリケーションサーバーのクラウドアクティビティと、データベースのログはすべて、本番サーバーとバックアップサバーに保存されます。ソースコードの変更はすべてGitリポジトリに記録されます。デプロイメントの履歴は、Adobe Commerce Cloudのユーザーインターフェイスで確認できます。サポートアクセスはすべてログに記録され、サポートセッションも記録されます。

関連コンテンツ

Adobe Commerce がお客様のビジネスにどのように役立つのかをご案内します。