顧客満足度を高めるECサイトとセキュリティ脅威

2020年の新型コロナウイルス感染症拡大を契機に、EC（電子商取引）の市場規模は拡大を続けています。かつては不要不急の外出を避けるために始まったオンラインでの購買活動が、今や企業にとって欠かせない販売戦略となっています。

今回は、この急成長に対応するラックのECサイト開発支援についてご紹介します。これまで10年以上に渡ってECサイトの開発支援に取り組んできた事例を通して見えた課題と、その解決方針としてのパッケージ開発についてご説明します。

ECサイトにおける課題と対策

コロナ禍で急遽立ち上げたECサイトは、アフターコロナの時代に突入した今、さまざまな課題に直面しています。これらの課題は長年運営されているECサイトにも共通しており、大きく分けると以下のようなものがあります。

実店舗でのショッピング体験の再現

ECサイトで商品を購入する際は、実際に商品を手に取って確かめられません。特に衣服の場合、サイズや色味などが期待と異なり、返品が増えるだけでなく、一度不満を経験したユーザが離れてしまうリスクも高まります。また、画面上の情報だけでは不安を拭えず、初めて利用するユーザほど問い合わせが増える傾向にあります。

そのため、ECサイトでの購入体験を実店舗に近づける工夫が求められます。例えば、ユーザのリアルな声を伝えるレビュー機能は、購入を後押しするための有用な手段です。また、AIを活用したサイズレコメンドや、擬似的な試着体験ができるバーチャル試着機能を導入すれば、ミスマッチを減らし、返品率の低下にもつながります。

快適な購入体験を提供するための拡張性

ECサイトでは、売りたい商品や売れ筋商品を際立たせるとともに、ユーザが目的の商品を探しやすくすることが理想です。しかし、ECパッケージの選択を誤ると、これが難しくなります。デザインの柔軟性や、機能のカスタマイズ性に制限があるECパッケージを使用していると、売れ筋商品を際立たせることや、商品を探しやすくすることが難しくなり、ユーザの期待に応えられないケースが増えます。

拡張性に自由度のあるパッケージを選択することで、季節やイベントに応じたデザインへの変更、最新の検索エンジンの導入、レコメンド機能の強化など、柔軟なカスタマイズが可能になります。ユーザは求める商品を直感的に探せるようになり、購買意欲を高めるショッピング体験を提供できます。

安定したサービスを維持するための運用性

ECサイトでは、常に最新の商品の販売やセールを実施するため、商品情報や在庫情報の更新を頻繁に行う必要があります。しかし、管理画面が使いにくいと業務効率が低下し、更新作業が負担となります。さらに、人気商品の発売時やイベントでトラフィックが増加し、サイトがつながりにくくなることでユーザの購買意欲が低下し、結果的に売上を逃してしまうリスクもあります。

安定したサービスを提供するためにも、商品情報や在庫情報を一元管理でき、スケールアップが可能なクラウドベースのECパッケージの採用が効果的です。また、必要なログを取得するように設定・実装しておくことで、障害発生時の迅速な原因特定と早期復旧が可能になり、ユーザの信頼を損なうリスクを最小限に抑えられます。

ショップ運営のために避けられないコスト

拡張性の低いECパッケージを使用していると、小さな変更でもシステム全体への影響を慎重に考慮しなければならず、改修や機能追加のたびに調査範囲が広がります。その結果、開発者の負荷が増大し保守コストの上昇を招くことになります。こうした課題に対して、マイクロサービスアーキテクチャを採用することで各機能を独立して実装できるため、修正の影響範囲を最小限に抑えつつ、複数の機能開発を同時進行しやすくなります。

また、開発コストだけでなくインフラコストも無視できません。セールなどによる一時的なアクセス数の増加に備え、Webサーバやデータベースの強化が必要になることもありますが、オンプレミス環境では過剰な設備投資になりがちです。そこで、アクセスの増減に応じてサーバ数やリソースを調整できるスケーラブルなクラウドベースのパッケージを採用することで、効率的で柔軟な運用をしやすくなります。

利用者からの信頼を左右するセキュリティ

ECサイトにおいて、個人情報や決済情報の保護は重要課題といえます。特にECサイトは個人情報を保持したり、ECと連携している外部サービスと連携したりする機会が多いため、攻撃者にとって格好の標的となります。また、日本ではクレジットカード保有率が高く、ECサイトにおいてもクレジットカード決済が利用されやすい傾向にあります。そのため、不正利用や情報漏えいのリスクが高く、一度漏えいが発生すると大きな損害と信頼の喪失を招きます。

こうしたリスクを最小限に抑えるためには、外部サービスとの連携部分を含め、システムやソフトウェアの脆弱性を悪用されないような対策が必要です。パッチ適用やアップデートの監視を徹底し、速やかに対応することが求められます。また、定期的な脆弱性診断を実施することで、潜在的なリスクを早期に発見できます。

クレジットカード情報の漏えい防止については、ECサイト事業者に対して「カード情報の非保持化」と「PCI DSS準拠」が求められています。具体的な対策として、決済代行会社を利用しECサイト側でカード情報を直接扱わない仕組みにすることで、不正アクセスのリスクを低減できます。

以上で、ECサイト運用における課題とその解決策について説明しました。標準機能が充実している、または拡張性の高いECパッケージを導入することで、これらの課題を効果的に解決できます。

また、顧客体験を向上させるための最新技術の導入、運用効率の改善、セキュリティ対策の強化を組み合わせることで、競争力のあるECサイト運営が可能になります。

顧客満足度を高めるために効果的なECソリューション

ECサイトの構築から運用に至るまで、様々な課題を解決するECソリューションは多数存在しています。その中でも、顧客体験を向上させる「ブランド訴求型ECサイト」の構築に最適なソリューションとして、Salesforceの「Salesforce Commerce Cloud」（以下、SFCC）を紹介します。

SFCCはECサイト開発の統合パッケージともいえる製品であり、ECサイト構築に必要な豊富な機能が提供されています。特にデザインの柔軟性が高く、大規模なECサイトにも対応できます。Web、ソーシャル、モバイル、店舗などのあらゆるチャネルの取引を一元管理できる点も強みです。さらに、複数のブランドを展開する企業であれば、それぞれのブランドごとに独立したECサイトを構築、運用でき、管理負担を軽減しながら安定した品質で顧客体験を提供できます。

こうしたSFCCの特長を活かし、ラックは「Salesforce Commerce Cloud エクスプレス開発サービス」を提供しています。このサービスでは、豊富なECサイト開発の実績をもとに、企業のニーズに合わせた最適なテンプレートを提供する「テンプレート開発モデル」を用意しています。短期間・低コストでのECサイト開発が可能になり、カスタマイズにも柔軟に対応することでブランドの個性を際立たせられます。さらに、ラックの強みである高度なセキュリティ技術を組み込むことで、情報漏えいや不正アクセスといったリスクを最小限に抑え、安心して運用できるECサイトを実現します。

ECサイトから見た脅威

ECサイトにおける課題と対策でも少し触れましたが、ECサイトの脅威について説明します。ECサイトは個人情報や決済情報を扱うため、常にサイバー攻撃の標的となっています。攻撃者の狙いは、クレジットカード情報やアカウント情報の窃取、さらにはECサイトそのものの乗っ取りなど、多岐にわたります。特に近年では、巧妙化した攻撃手法により、運営者が気づかないうちに情報が抜き取られるケースも増えています。

ラックは、24時間365日体制でサイバー事故対応をする「サイバー救急センター」を運営しており、サイバー攻撃の分析と復旧の支援を行っています。この活動の中で、Webスキミング攻撃によってクレジットカードの会員情報とカード情報が窃取されてしまう手口を確認し、日本サイバー犯罪対策センター（以下、JC3）へ情報提供と技術協力を行いました。ここからは、サイトの改ざんだけでなく顧客の個人情報の流出につながるWebスキミングを例に解説し、その対策についてお伝えします。

Webスキミングとは

Webスキミングは、ECサイトに不正プログラムを埋め込み、利用者の個人情報を窃取する手法です。一般的なWebスキミング攻撃の流れは、以下の通りです。

• ①攻撃者がECサイトを改ざんして不正なスクリプトを埋め込む
• ②ECサイトの利用者がECサイト上で販売されている商品の閲覧を行う
• ③ECサイト利用者側のWebブラウザに不正スクリプトが読み込まれて実行される
• ④ECサイトの利用者が決済などを行った際に攻撃者のサーバへ個人情報（ログインIDやパスワード情報、メールアドレス、クレジットカード番号、有効期限、セキュリティコードなど）が送信される

サイト改ざん被害について

ラックがJC3へ情報提供した最近の事例では、複数の国内のBtoC向けECサイトが改ざん被害にあっており、不正なスクリプトを読み込むためのスクリプト要素が、下図のように決済画面やログイン画面などに埋め込まれていました。このスクリプトは購入時に利用者のクレジットカード情報などを含む個人情報を外部の攻撃者のサーバへ送信するものでした。

ECサイトの改ざんはサイトごとに異なり、攻撃者が用意した要素のIDや情報の送信先URLも異なることが判明しています。攻撃者は改ざんするECサイトを調査し、不正なスクリプトを準備して利用者の個人情報を狙っています。

Webスキミングの対策

Webサイトの脆弱性を悪用した侵害や改ざんに起因するWebスキミングを防ぐため、一例として以下のような対策を実施することでECサイト側のセキュリティ強化が可能です。

• ECサイトのシステムやプラグインなどを常に最新の状態にする
• Webアプリケーションファイアウォール（WAF）を導入し、脆弱性の調査と攻撃を防御する
• 改ざんを検知する仕組みを導入する
• 管理ユーザのパスワードは、推測されにくいものを使用する
• 多要素認証が使用できる場合は有効にする
• 管理画面へ接続可能なIPアドレスを制限する
• プロキシサーバのログを確認し、不正ドメイン名へのアクセス履歴を調査する

ラックが提供するセキュアECサイト構築

ラックが提供するECサイト開発サービスでは、ECサイト開発におけるデータ保護やシステム管理に関しても、セキュリティを意識した開発を提供します。また、ECサイト開発と運用に向けて、次のようなセキュリティサービスの提供をしています。

Webアプリケーション診断	Webアプリケーション診断は、診断ツール、手動診断、併用の3つの手法があり、ラックでは専門家の手動診断を中心としつつ独自ツールと組み合わせた診断を実施しています。
JSOC マネージド・セキュリティ・サービス（MSS）	JSOCのマネージド・セキュリティ・サービス（MSS）とは、2001年にスタートしたお客様のセキュリティ対策を大幅に向上させるセキュリティ監視・運用サービスです。セキュリティ監視機器から出力されるログは、専門知識を持つアナリストによって24時間365日、収集・分析し、報告します。

おわりに

ECサイトに求められることは、マイクロサービス化や顧客エンゲージメント向上にとどまらず、今後登場する新たな販売チャネルや仮想サービスといった社会の変革に対する適応も含まれます。こうしたニーズを迅速かつセキュアに対応するため、ラックは今後もECサイトの構築・運用に取り組んでまいります。ECサイトのリニューアルや新規開発にご興味がありましたら、ぜひラックにお声掛けください。