近年、オンラインショッピングは急速に成長しており、消費者の購買行動の中心となっています。
しかし、その成長に伴い、サイバー攻撃のリスクも高まっています。
日本クレジット協会によると、2023年のクレジットカード不正利用被害額は、過去最高の540.9億円となり、10年前に比べ約4.7倍の増加となっております。

参考：クレジットカード不正利用被害の発生状況(一般社団法人日本クレジット協会)

特に、顧客情報やクレジットカード情報を扱うECサイトは、サイバー攻撃の標的になりやすいです。
このような状況を踏まえ、ECサイトの安全性を確保するために、経済産業省は2024年度末を目処にすべてのECサイトに対して、
脆弱性診断の実施を義務化する方針を発表しました。

方針発表後、義務化に向けて、経済産業省では、ECサイト運営者が実施すべき事を掲載した
「ECサイト構築・運用セキュリティガイドライン(以下ガイドライン)」を公開しております。

参考：ECサイト構築・運用セキュリティガイドライン

脆弱性診断の対象ECサイト

ガイドラインでは、脆弱性診断の対象ECサイトを以下の自社構築サイトと定義しています。

• オープンソースで制作したECサイトやフルスクラッチで構築したECサイト
• SaaS型サービスを自身でカスタマイズしたもの

上記２つが対象になったのは、サイバー被害を受けた EC サイトの97%が自社構築サイトであった事が理由です。

ガイドラインは大きく「経営者編」と「実践編」の２部で構成

（１）「経営者編」

（２）「実践編」

脆弱性診断はECサイト運営者が行うのではなく、原則、外部委託先事業者や第三者が実施を推奨しております。
そこで、脆弱性診断を行う前に、ECサイト運営者がやるべき対策を以下に解説します。

セキュリティポリシーの策定

まずは、セキュリティポリシーの策定を行いましょう。
セキュリティポリシーの内容は、ガイドラインを参考にすれば制作できます。

ポリシーができたら、会社組織の場合は、全従業員への周知を行い、セキュリティ意識の向上を目指してください。

認証システムの強化

セキュリティの強化に関しては、認証システムの強化が重要となります。
サイト利用者のログイン時における二要素認証の導入や、支払い画面にセキュリティコード入力欄の導入・パスワードポリシーの見直しなどが効果的です。

データ暗号化で情報漏洩を防ぐ

お客様の個人情報やクレジットカード情報の漏洩を守るため、データ暗号化(SSLの導入)は重要です。
導入していないECサイト運営者は、即座に対応しましょう。

ちなみに「ECサイトの構築時におけるセキュリティ対策要件一覧」には、ドメイン名の正当性認証とTLSの利用と記載しておりますが、
SSLの次世代規格がTSL（Transport Layer Security）で、現在はほとんどの場合、TLSが使用されていますが、SSLの名称が一般化しているためTLSであってもSSLと呼ぶケースがほとんどですので「SSL利用=TLS利用」と考えて大丈夫です。

クレジットカードを導入している企業は、SSL対策は実施済み

情報流出を防ぐデータの暗号化は、SSL導入を行なっていないと、ECサイト内でクレジットカードを取り扱えないので、決算でクレジットカードを導入しているECサイトは暗号化対策済みですので、特に必要はございません。

ちなみに、SSL証明書には３種類あり、それぞれ証明書の信頼性と導入費用が異なりますが、証明書の違いにより、SSLの強度が増し、よりセキュアになるわけではありません。

参考：SSL化とは？ SSLの意味から証明書の種類まで詳しく説明

ソフトウェアやプラグインを常に最新の状態を保つ

ECサイトで使用しているソフトウェアやプラグインは、常に最新の状態に保つことが大切です。
WordPressであれば、自動アップデートの設定ができるので、意識せずとも最新の状態を保てます。

WAFの導入

WAFは「SQLインジェクションやクロスサイトスクリプティング等のWebアプリケーションの脆弱性を悪用した攻撃やDDoS攻撃など」からWebサイトを保護するセキュリティ対策です。
WAFの導入により、これらの攻撃に対して、攻撃通信を遮断してWebサイト全体を防御します。

二要素認証の導入や、支払い画面にセキュリティコード入力欄の導入方法がわからない方は、まずは直ぐにWAFを導入する事をお勧めします。
Xサーバーやさくらインターネットなどのレンタルサーバーであれば、簡単に導入できますので、ぜひ実施してください。