ECサイトのセキュリティ対策|WordPressでの対策例も紹介

ECサイトのセキュリティ対策

ECサイト上では、顧客と店舗が商取引を行うことになります。
オンラインショッピングは手軽で簡単というイメージもありますが、商取引を行う上で、さまざまな個人情報のやり取りが必要です。

ECサイト上で取り扱う個人情報を守るためのセキュリティ対策は、サイト運営する上では必須です。

近年、大手から小規模の事業者まで、多数のサイトで不正アクセスや個人情報の漏洩などのトラブルが発生しています。

商取引を行うECサイトは、このようなトラブルには特に気をつけなければなりません。
この記事では、ECサイトを運営する上では必要不可欠なセキュリティ対策について解説します。

目次

ECサイトのセキュリティ対策が重要な理由

インターネットが広く普及するにつれて、不正アクセスや個人情報の流出といったトラブルが増えてきました。

有名企業のWebサイトで不正アクセスが起きたり、顧客の個人情報が流出してしまったり…そんなニュースを目にしたことがある方も多いのではないでしょうか。

具体的には、

  • コンピューターウイルスに感染し、データが流出
  • サイトの改ざん
  • クレジットカードの不正利用

などの被害が起きています。

もちろんECサイトも例外ではなく、多数の情報漏洩事件が起きています。

ECサイトは、 顧客の個人情報やクレジットカード情報など、金銭に関連する重要な情報を扱います。
サイバー攻撃を行うハッカーからすれば、価値のある情報をたくさん抱えていることになりますので、強固なセキュリティ対策が必要になります。

また、ECサイトはオープンソースを使って構築されているものが多く、一般に公開されているソースコードを使ってサイトを構築している場合、コードだけでなく、脆弱性に関する情報も公開されてしまっていることになります。

オープンソースは、ECサイトの構築にはとても便利なものですが、その一方でセキュリティリスクもあります。

もちろん、オープンソースでのサイト構築をやめる必要はありませんが、万全のセキュリティ対策を行うようにしましょう。

情報漏洩をはじめとしたセキュリティ上のトラブルが起きてしまうと、顧客からの信用を失いかねないです。
実際に受けた被害は軽微でも、「セキュリティに懸念がある」と一度判断されてしまうと、社会からの目はどうしても厳しくなってしまいます。

ブランドイメージが悪くなるのはもちろんのこと、取引先との関係が悪くなることも考えられます。

最悪の場合、サイトそのものを閉鎖せざるをえないケースもあるでしょう。
被害を補填するための賠償金や、サイトのアップデートにかかるコストなども含め、損害はかなり大きくなります。

個人情報が流出してしまった場合、顧客に対して支払う損害賠償額の相場は、1人あたり5,000円~15,000円です。

ひとり分の額はさほど高くないようにも感じますが、流出した個人情報の数が多ければ多いほど賠償額も増えていくと考えると、ひいては経営が傾くほどの金額になることもあるでしょう。

ECサイトのセキュリティ対策

ECサイトのセキュリティ対策は下記に記載しております。

  1. パスワード管理を徹底し、定期的に変更する
  2. 不正アクセスを検知する仕組みを導入する
  3. プログラムの脆弱性を認識して対策をする
  4. 顧客の個人情報を適切な状態で管理する
  5. サーバーのOSやプログラムのアップデートを都度実施する

ECサイトのセキュリティ対策において、重要なポイントを具体的に確認していきましょう。

①パスワード管理を徹底し、定期的に変更する

ECサイト以外のWebサイトでも同様ですが、サイトの管理画面にログインする際に使うパスワードの管理は徹底されていなければなりません。

社内や関係者内で共有されているかと思いますが、外部に流出すればサイトはすぐに乗っ取られ、管理権限なども変更され、アクセスが拒否されてしまう可能性もあります。

また、しっかり管理できていたとしても、長い間同じパスワードを使っていると辞書攻撃などの力技で突破されてしまう可能性も出てきます。

パスワードをしっかり管理し、流出を防ぐとともに、定期的に変更しておくことも忘れないようにしましょう。

②不正アクセスを検知する仕組みを導入する

Webサイトのセキュリティを突破するべく仕掛けられるサイバー攻撃には、さまざまな種類のものがあります。
以下に代表的なものを挙げていきます。

フィッシング

企業や事業者などを装い、電子メールを送って個人情報・クレジットカードの情報・パスワードなどを抜き取る

Dos攻撃

Webページの更新を繰り返すなどして、サイトのサーバーに過剰な負荷をかけたり、サイトへのアクセスを妨害したりする

水飲み場攻撃

ターゲットであるWebサイトを攻撃し、そのWebサイトにアクセスした人に対して不正なプログラムを発動させ、パソコンをウイルスに感染させる

ウイルス攻撃

アプリケーションに自主的に増殖していくウイルスを寄生させて、パソコン内部に影響を与える

トロイの木馬

増殖・拡散などはせず、仕掛けられたプログラムが実行されると共に発動するタイプのウイルス

バックドア

ウイルスやワームなどが入りやすくなるような抜け道を作る

スパイウェア

パソコンに侵入し、内部の情報を外部に送る

ニュースなどでは、ひとくちに「サイバー攻撃」「不正アクセス」と呼称していますが、実際にどのような攻撃がされているかというと、このように幅広い種類があるのです。

多岐にわたるサイバー攻撃からECサイトを守るためには、

  • 不正アクセスを検知する仕組みを導入する
  • 導入後もシステムを定期的にアップデートし、最新のバージョンを保つ

ことが大切です。

③プログラムの脆弱性を認識して対策をする

大手企業のサイトに対しても起こる不正アクセスですが、多くのケースでは、Webサイト内のプログラムやOSの脆弱性をつかれてセキュリティが突破されてしまっています。

プログラムに脆弱性が生まれる理由の中でも最も多いパターンは、

  • プログラムのアップデートきちんと行われていない
  • プログラムの構成が単純である

ことです。

サイト内のプログラムに脆弱性があるかどうか、もし脆弱性があるならば、原因を突き止めて解消しましょう。

④顧客の個人情報を適切な状態で管理する

顧客の個人情報流出を防ぐには、その情報をインターネット上からは直接閲覧できないところに保存しておくことが大事です。

例えば、サーバーの公開フォルダなど、URLさえ分かれば誰でもオンライン上でアクセスできるようなところに保管してしまうと、個人情報流出・漏洩のリスクが高くなります。

また、個人情報そのものだけではなく、

  • 情報へアクセスするためのパスワード等の管理情報
  • サーバーの設定ファイル

など、顧客の個人情報へ繋がる他の情報についても、同様に厳重に保管するようにしましょう。

また、必要な情報以外は、その都度削除するよう習慣づけるのも効果的です。

一度でもネット上に公開してしまった情報については、キャッシュが残っていないかどうか確認しましょう。

後から削除すればいいと考える方もいらっしゃるかと思いますが、オリジナルは削除できても、ネット上にキャッシュが残ってしまい、削除後に閲覧できてしまう可能性もあります。

キャッシュが残ってしまっている場合、企業側からは削除することができないため、検索サイトを運営している企業に事情を伝え、キャッシュを削除してもらう必要があります。

顧客情報に関わる書面を保管する場合には、保管室や金庫を使用しますが、保管室への出入りを記録する入退室管理システムを用いると、人為的な不正行為の防止に繋がります。

⑤サーバーのOSやプログラムのアップデートを都度実施する

OSやプログラムの脆弱性対策にもつながりますが、適切なアップデートをその都度実施することも、重要なセキュリティ対策です。

クラウド型のECサイトなどでは、開発元によって随時アップデートが行われていますが、オープンソースを使って構築されたECサイトでは、新しいバージョンへのアップデートを、その都度行うことを忘れないようにしましょう。

WordPressで構築する際のセキュリティ対策例

小規模なオンラインショップであれば、既存のECシステムを利用するのではなく、Wordpressを使ってECサイトを運営することもあるでしょう。

このトピックでは、Wordpressで作成したECサイトのセキュリティ対策についてもご紹介します。

①WordPressの設定を見直す

まずは、Wordpressの基本的な設定を再度確かめてみましょう。

管理画面のユーザー名とパスワードを複雑でわかりにくいものに変更すること、Wordpress本体やプラグイン、テーマなどを常に最新のバージョンに保つこと、使わないプラグインは削除することなど、脆弱性をなくすためにも設定を定期的に見直すようにしてください。

②セキュリティ関連のプラグインを導入する

WordPressのプラグインには、セキュリティ対策に役立つものが多数あります。

おすすめのプラグインは、

2つです。

③パーミッションを変更する

パーミッションとは、サーバー上のファイルやフォルダに関するアクセス権限を意味する言葉です。

パーミッションは、3桁の数字によって構成されており、数字の組み合わせに応じて誰にどんな権限を与えるかを設定します。

パーミッションを変更するにはFTPソフトが必要になります。
フリーソフトも配布されていますので、マニュアルを確認しながら設定してみましょう。

最も安全なのは、「400」という数字ですが、サーバーによっては設定できないこともあります。
400に設定できない場合は、600と設定するのがおすすめです。

まとめ

この記事では、

  • ECサイトにおけるセキュリティ対策の重要性
  • 具体的にどのような対策を行えばよいのか

について解説しました。

顧客情報を守るだけでなく、ECサイトを運営する上でも、セキュリティ対策はとても重要です。
自社サイトのセキュリティを万全にするために、この記事を参考にしてみてください。

\ D2C事業を総合支援 /

ジェネマーケは、D2C立ち上げ~Webマーケティング全般をサポートします!

  • 今後D2Cブランドを立ち上げたい
  • 集客が上手くいかない
  • Web広告販売に限界を感じている
  • 継続率が伸びずLTVに課題がある

上記に当てはまる企業様は、ぜひ一度ご相談ください

  • URLをコピーしました!
  • URLをコピーしました!

執筆者

新卒で化粧品通販ベンチャー(株式会社MIRAI)に入社後、広告運用・物流(フルフィルメント)・CM制作・アフィリエイト・オウンドメディア立ち上げを経験。
その後、株式会社PLAN-Bに中途入社し、SEO&アフィリエイトコンサルタント・フィールドセールスとして従事。その後『株式会社ジェネマーケ』を設立。

目次
閉じる