ECサイトに必要なセキュリティ（後編）～対策必須の脆弱性診断ってなに？

ネットショッピングの普及とともに利用者が増加し、ECサイトやクレジットカード情報を狙ったサイバー攻撃も急増しています。これに対し、ECサイトを運営する事業者にとって必要なセキュリティ対策を理解し、実施することは非常に重要です。

そこで、ECサイトを運営する事業者に知っていただきたい「ECサイトに必要なセキュリティ対策」をテーマとして連載をお届けします。前編の記事では、ECサイトの設計時に考慮すべきセキュリティ対策を「アプリケーション」「インフラ」「サービス」の観点から分類し解説しました。

後編となる本記事では、今後すべてのECサイト事業者を対象に、経済産業省のガイドラインにおいて実施の義務化が予定されている「セキュリティ診断（脆弱性診断）」についてご説明します。これまでにラックがセキュリティ診断（脆弱性診断）を実施してきたECサイトで、多く検出された脆弱性（対策が漏れやすいセキュリティ上の弱点）も合わせてご紹介します。

ECサイトに対するセキュリティ診断（脆弱性診断）

脆弱性とは、「ソフトウェア等におけるセキュリティ上の弱点のことで、セキュリティホールとも呼ばれる」とIPAが定義^※しています。運営しているECサイトの脆弱性を放置してしまうと、攻撃者が脆弱性を悪用して内部への侵入を試み、不正行為をすることがあります。具体的にはデータの盗聴・改ざん・破壊、機密情報の漏えいといった行為などの深刻なリスクが考えられます。そのため、脆弱性を検知し、放置せず、適切に対応する必要があります。

※ IPA（情報処理推進機構） 脆弱性対策 コンテンツ リファレンス

脆弱性に対する効果的な対応策は、脆弱性の有無をセキュリティ診断（脆弱性診断）にて調査することです。セキュリティ診断（脆弱性診断）とは、特定のサーバやアプリケーションにおいて攻撃につながる脆弱性が存在するか、診断すべきポイントをまとめた診断項目に沿って網羅的に診断するサービスです。攻撃者による不正行為を防ぐため定期的に調査を行い、発見した脆弱性を修正することが重要です。

IPAのECサイト構築・運用セキュリティガイドライン^※でも、「ECサイトの構築時におけるセキュリティ対策要件」「ECサイトの運用時におけるセキュリティ対策要件」のいずれにおいても、セキュリティ診断（脆弱性診断）による調査が"必須"の要件として対応を求められています。

※ IPA（情報処理推進機構）｜ECサイト構築・運用セキュリティガイドライン

ECサイトへ実施するセキュリティ診断（脆弱性診断）の種類として、「Webアプリケーション診断」と「プラットフォーム診断」が記載されています。それぞれどのようなことを調査するのかご紹介します。

Webアプリケーション診断

WebサイトやWebアプリケーションに潜む脆弱性の有無を調査します。診断結果に基づいた対策を行うことで、Webアプリケーションを狙ったサイバー攻撃による被害を未然に防ぎます。さらに、診断で検出された脆弱性を修正することで、Webサイトを安心・安全な状態で利用者へ提供し、ブランドの信用を維持できます。

Webアプリケーション診断で検出されやすいECサイトの脆弱性の例

ラックのWebアプリケーション診断を実施したECサイト（会員制サイトも含む）の診断結果をもとに、検出されやすい脆弱性の例を解説します。

項目	内容
脆弱性の概要	SQLインジェクション SQL文として構成可能な文字が適切に処理されずクエリ実行されてしまう問題。この脆弱性によって、データベースの情報漏えいや改ざんをされてしまう恐れがあります。
対策方法の例	・プレースホルダ（パラメタライズドクエリ）を使用する ・入力パターンが限定されている場合は、ホワイトリスト形式にする など

項目	内容
脆弱性の概要	パラメータ改ざんによるシステムの不正利用（アプリケーションロジックの不備など） 外部からの入力値をサーバ側で検証せず信用してしまう問題。本来制限されているべき機能を、攻撃者に利用されてしまう恐れがあります。 例えば、ポイントによる商品の購入動作をするWebサイトの場合、商品のポイントを格納するパラメータ値を改ざんすることにより、購入後に利用者の保持ポイントを増やし不正な購入処理を行われてしまう恐れがあります。
対策方法の例	・送信パラメータの権限チェック（バリデーション）を適切に実装する など

項目	内容
脆弱性の概要	権限変更・昇格が可能（認証・認可制御の不備など） 設定された権限を越えて処理を行えない仕組みのはずが、アクセス権が与えられていないユーザであっても、該当処理を行うリクエストを直接送信することにより、本来許可されていないと考えられる処理の実行や画面の表示を行うことが可能になっている問題。この問題により、システムが意図する権限を越えて不正に利用される恐れがあります。
対策方法の例	・アクセス元が所有している権限をサーバ側の機能呼び出し前に確認し、権限を所有していない場合は呼び出しを拒否する など

ラックの豊富なWebアプリケーション診断メニュー

ラックはお客様のご要望や、Webサイトに合わせて柔軟に対応できるように豊富なメニューをご用意しています。下記の資料でラックの診断の特徴や各種メニューについてご紹介していますので、ぜひご参照ください。

プラットフォーム診断

診断対象のシステム（OS、ミドルウェアなど）に対し、攻撃者の視点から多角的な疑似攻撃を試行することで、潜在的な脆弱性を発見し、システムの安全性を徹底的に調査します。調査報告をもとにセキュリティホール（脆弱性）を塞ぐことにより、侵入、改ざん、情報漏えいなどのセキュリティ事故による被害を未然に防ぐことが可能です。

対象システムの例としては、Webサーバやメールサーバ、DNSサーバ、FTPサーバ、ファイアウォールなどがあります。

プラットフォーム診断で検出されやすいECサイトの脆弱性の例

項目	内容
脆弱性の概要	CMSのログイン画面が見えてしまう脆弱性 CMSのログイン画面が閲覧可能な問題です。攻撃者が認証に成功した場合、管理情報の取得や各種設定を変更される危険性があります。
対策方法の例	・接続元のIPアドレスによるアクセス制限または推測困難なパスワードを設定する など

項目	内容
脆弱性の概要	古いバージョンのSSL/TLSが有効な状態 古いバージョンのSSL/TLSが有効になっている問題です。通信を解読できてしまう、ダウングレード攻撃による脆弱な通信の強制に繋がるなどの危険性があります。
対策方法の例	・不要な機能であれば無効化する など

プラットフォーム診断担当者が考えるECサイトを持っている会社におすすめの対策

可能であればプラットフォームは自身で管理せずに、セキュリティを提供事業者側に担保してもらえるWebサイトホスティングサービスの利用も1つの方法です。また、クラウドのPaaS/SaaS上やサーバレス環境にECサイトの構築をすることで、運用の負担を軽減しながら高いレベルのセキュリティが確保できておすすめです。

セキュリティ診断（脆弱性診断）の実施タイミング

IPAのECサイト構築・運用セキュリティガイドラインでも推奨されている通り、セキュリティ診断（脆弱性診断）はECサイト公開前の実施に加え、運用後も定期的に実施することをおすすめします。ECサイト公開前に診断を行うことで、情報漏えいや不正アクセスに繋がるリスクを事前に排除し、リリースの安全性を確保できます。

また、運用開始後もECサイトや稼働中のシステムに対して、機能追加や設定変更、大規模改修を行った後に、新たな脆弱性が作りこまれていないか確認するために診断を活用できます。

サイバー攻撃者は日々新しい手法を生み出しているため、定期的に脆弱性診断を行い、最新の脅威に対応することが求められます。さらに、過去に検出された問題点が適切に修正されているか、修正していない場合の理由や経緯の再確認をすることも有効なセキュリティ対策です。

おわりに

ECサイトを対象としたセキュリティ診断（脆弱性診断）の概要と、Webアプリケーション診断、プラットフォーム診断について解説しました。これらのセキュリティ診断は、ガイドラインの中でも必須とされている対策のため、まだ取り組まれていない場合は、ぜひ早期の実施をご検討ください。

ECサイトのセキュリティ対策を2回に分けて解説しましたが、セキュリティの重要性を再認識し、実践的な対策を始めるきっかけになれば幸いです。ラックでは、ECサイトのセキュリティ対策に悩むお客様の課題に合わせて、適切で柔軟な伴走型の支援を提案いたします。お悩みがございましたら、ぜひお気軽にお問い合わせください。

ECサイト事業者向け セキュリティ対策 ホワイトペーパーを公開中

本連載の前編・後編の内容に、検出されやすい脆弱性情報を追加してまとめたホワイトペーパーを公開中です。ホワイトペーパーは資料ダウンロードサイトより入手いただけます。