経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化
https://netkeizai.com/articles/detail/7922
各種検索サイトから弊社の記事へお越しになられた皆さまのなかには、決済代行・カート会社各社の3Dセキュアの導入やeKYCの導入ということのみならず、忘れられがちなWebサーバー側のセキュリティ強化についても非常に興味をお持ちの方もおられるのではないでしょうか。
特にこのサイトをご訪問の方のなかには
- カスタマイズしすぎてバージョンアップできなくなったEC-Cube
- 古くから利用しているためバージョンアップできなくなったEC-Cube
- EC-Cube用の公式WAFが正常に動かなかった経験をお持ちの運営者さま
- Welcart や WP-OliveCart、WooCommerceなどのショッピング系プラグインを導入したWordPress を運営中の管理者さま
などが多くおられることと思われます。
ECサイトの構築費や運営費を抑えるため大手のショッピングモールを利用されず、自社運営を選択された事業者さまには、今回の経済産業省の通知が非常に厳しいものとして受け止められているのではないでしょうか。
大手ショッピングカートシステムでは、(その分のシステム利用料金を支払っておられるため)さまざまなシステム的セキュリティ対策が自動的に適用されますが、自社運営のECサイト、特に脆弱性を内包したままの古いバージョンのECシステムでは、お客様の手前、非常に心許ない状況かと思います。
上の状況に少しでも心当たりがある事業主さまは、是非 クラウド型WAF の Cloudbric WAF+(クラウドブリック)をご検討ください。
後付けでサーバーのリソースを枯渇させることなく、外部からの様々な悪意を持ったアクセス(Web攻撃)を遮断し、DDoS攻撃からもWebアプリケーションを保護します。
また、あまり語られることは少ないかと思いますがクレジットカード会社から情報漏えいを疑われた場合、ウェブサイト運営者が実施することとして、
・Webサーバーをインターネットから切り離す
・専門機関に対しサーバーのフォレンジック調査を依頼
することとなります。
ところが、一般的なレンタルサーバーでECサイトを立ち上げている場合、「Webサーバーをインターネットから切り離す」ということができず、アクセスログの種類も多くなく(WebのアクセスログだけではなくサーバーOSのアクセスログなども必要)かつ、ログの保存期間もあまり長くないため、様々な結果から「専門機関に対しサーバーのフォレンジック調査を依頼」することができなくなってしまいます。
こうなるとECサイトの再稼働は非常に厳しいものとなり、再開はほぼ不可能となってしまいます。
弊社では上記のような対応の経験から、WAFでのWebサーバーセキュリティおよびWebサーバー自体の立ち上げまで、全てをお承りすることも可能です。
Webサイトに特化した「Webサイト 診断」
WebサイトやWebアプリケーションの脆弱性を診断する「Webアプリケーション診断」
システムの基盤となるミドルウ ェアやOSなどの診断を行う「プラットフォーム診断」
など、
経済産業省の定める「情報セキュリティサービス基準」への 適合を認められ、独⽴⾏政法⼈情報処理推進機構(IPA) が公開する 「情報セキュリティサービス基準適合サービスリスト」へ登録されている脆弱性診断をご提供することも可能です。
お問い合わせお待ちしております。
第6回 クレジットカード決済システムのセキュリティ対策強化検討会 | 経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/006.html
