【特別企画】ECサイト運営者は要注意、「人まかせのセキュリティ」が招く危険

侵入されない堅牢なECサイトづくり

さらに同ガイドラインの「実践編」では、IPAの「安全なウェブサイトの作り方」「セキュリティ実装チェックリスト」に準拠していることにくわえ、ウェブサイトを安全に運用する上で重要な「必須項目」「推奨項目」を具体的に示しており、参考になる。

攻撃者が侵入するきっかけとなる脆弱性を残さないことに重点が置かれている。具体的にはウェブサイトの基盤となるソフトウェアを最新の状態に保つことはもちろん、開発時や機能追加時といったタイミングのほか、定期的に脆弱性診断を行い、攻撃で狙われる脆弱性を排除しておくことを挙げている。

脆弱性だけでなく、設定の不備なども被害へつながるおそれがある。管理画面などはアクセス元やアクセス端末を制限しておくことでリスクを低減できる。二要素認証の設定などもポイントだ。

またガイドラインでは、事前対策だけでなく、監視による異常の検知、攻撃を受けた場合を想定したバックアップなど、運用フェーズや事故を想定した対策もカバーしている。「必須項目」はもちろん、「推奨項目」への対応もぜひ検討したい。

安全にECサイトを運用するには、それなりのコストが生じる。ついついデザインや機能面を重視しがちだが、末永く維持していくにはセキュリティ対策が必須だ。あらかじめ予算を想定し、損益分岐点を設定しておく。

ユービーセキュアのエンジニアによれば、IPAよりガイドラインが示されたこともあり、ECサイト運営者のセキュリティや脆弱性対策への関心も高まっており、問い合わせも徐々に増えているそうだ。

とはいえ、深い理解に至っているわけではなく、「セキュリティ診断とはどのようなものか」といった説明からはじめるケースも多いという。予算が限られていることも多く、どのような部分が狙われるのかをアドバイスしながら、二人三脚で脆弱性対策を進めていくことになるそうだ。

「セキュリティ」「脆弱性」という専門用語を聞いて気後れする事業者もいるかもしれないが、運営者が責任をもってECサイトの現状を把握し、必要な対策を理解、実践していくことが、事業運営の安定や顧客を守る第一歩となる。

そのためにも信頼できるベンダーとしっかりコミュニケーションを取りつつ、実効性のある対策に取り組みたい。なお「脆弱性診断」を選ぶポイントについては、別の特別企画記事で詳細に踏み込んだ。あわせて参考にしてほしい。

（提供：ユービーセキュア - 2025/03/24 ）ツイート