ECサイトのセキュリティ対策は経営課題と捉える
ECサイトの運営においてセキュリティ対策は単なる技術問題ではありません。
売上と信頼を守るための経営課題です。
最近ではECサイトを狙ったDDoS攻撃が急増しています。
DDoS攻撃とは大量のアクセスを送りつけることでサーバーを停止させる攻撃です。
ECサイトが停止すると
- 販売機会の損失
- 顧客の信頼低下
- 検索順位の低下
といった大きなダメージにつながります。
特にEC-CUBEを利用している企業からは
- 突然サイトが重くなった
- アクセスできない時間が発生した
- Botアクセスが急増している
といった相談が増えています。
こうした攻撃からECサイトを守るために有効な対策がCloudflareの導入です。
EC-CUBEのセキュリティを強化するCloudflare導入サービスを開始
株式会社サンクユーでは、EC-CUBEサイトのセキュリティ対策を強化するため Cloudflare導入支援サービスの提供を開始しました。
近年、ECサイトを狙ったDDoS攻撃やBotアクセス、不正ログイン攻撃が急増しています。
これらの攻撃はサイト停止や売上機会の損失につながる可能性があります。
Cloudflareを導入することで
- DDoS攻撃の防御
- 不正アクセス対策
- Botアクセス制御
- サイト高速化
といった対策を実現し、ECサイトの安定運用とセキュリティ強化を同時に実現できます。
サンクユーではEC-CUBEの構築・運用経験をもとに、ECサイトに最適化したCloudflare設定を提供しています。
Cloudflareとは何か
Cloudflareは世界最大級のWebセキュリティサービスです。
Webサイトの前にCloudflareを配置することで悪意のあるアクセスをサーバーに届く前に遮断できます。
主な機能は次の通りです。
- DDoS攻撃の防御
- WAFによる攻撃ブロック
- Botアクセスの制御
- サイト高速化
- キャッシュによるサーバー負荷軽減
現在では多くの大規模ECサイトがCloudflareを導入しています。
Cloudflareは無料プランから導入できます
Cloudflareという名前を聞くと「高額なセキュリティサービス」という印象を持たれることがあります。
しかし実際には無料プランから利用できます。
多くのECサイトでは、まず無料プランから導入し、必要に応じて有料プランへアップグレードする方法が一般的です。
無料プランでも次のような機能が利用できます。
- DDoS攻撃の基本防御
- CDNによるサイト高速化
- SSL対応
- 基本的なBot対策
- DNS管理
そのため、小規模ECサイトやテスト導入の場合はまず無料プランで問題ありません。
より強いセキュリティが必要な場合
ECサイトの場合、より高度な防御が必要になるケースもあります。
例えば次のような場合です。
- Bot攻撃が多い
- 海外からの攻撃が多い
- ログイン攻撃を受けている
- 高額商品を扱っている
この場合はProプランを利用すると、より強力なWAFやBot対策を利用できます。
ただし重要なのは、最初から有料プランにする必要はないという点です。
まずは無料プランで導入し、アクセス状況や攻撃状況を確認しながら最適なプランを選ぶことが現実的な運用方法です。
なぜEC-CUBEサイトにCloudflareが有効なのか
EC-CUBEは自由度の高いEC構築システムですがサーバー構成は企業ごとに異なります。
そのため次のような攻撃を受けやすい傾向があります。
- DDoS攻撃
- ログイン画面への総当たり攻撃
- Botによるアクセス集中
- 脆弱性スキャン
一般的なサーバーWAFでは大量アクセスが発生した時点でサーバー自体が負荷に耐えられなくなる場合があります。
Cloudflareを導入すると攻撃トラフィックはCloudflareのネットワークで吸収されます。
つまりサーバーは直接攻撃されなくなります。
EC-CUBEにCloudflareを導入する際の作業内容
実際の導入では主に次の設定を行います。
Cloudflare側の設定
- サイト追加
- DNSレコード確認
- SSL設定
- キャッシュ設定
- DDoS対策設定
- Bot対策
- 管理画面保護
DNS設定では次の切り分けが重要です。
- Webサイト
- メール
この設定を誤るとメール送受信が停止する可能性があります。
キャッシュ設定の最適化
ECサイトではキャッシュ設定が特に重要です。
誤ったキャッシュ設定を行うと
- ログイン状態の不具合
- カート情報の表示エラー
- 価格表示の誤り
といったトラブルが発生します。
EC-CUBEの挙動を理解した上でキャッシュルールを設計する必要があります。
サーバー側の設定
Cloudflare導入時にはサーバー側の設定も重要です。
- ネームサーバ変更
- サーバーIPの直接アクセス遮断
特に重要なのがサーバーIPの隠蔽です。
攻撃者がサーバーIPを知っている場合Cloudflareを回避して直接攻撃できます。
そのため.htaccessなどでCloudflare経由以外のアクセスを拒否する設定を行います。
導入後の動作確認
設定後には必ず次の確認を行います。
- サイト表示確認
- 管理画面ログイン確認
- メール送受信確認
- キャッシュ動作確認
Cloudflare導入時に理解しておくべき注意点
Cloudflareは強力なサービスですが導入には注意点もあります。
- Cloudflare障害時にサイトが閲覧不能になる可能性
- セキュリティ設定が強すぎると正規ユーザーがブロックされる
- 開発環境と本番環境で挙動が変わる場合がある
そのため導入時には
- 緊急時のDNS切り戻し手順
- 誤検知の調整
- 運用ルール整備
が重要になります。
ECサイトのセキュリティは多層防御が重要
ECサイトを守るためには一つの対策だけでは不十分です。
次のような複数の対策を組み合わせる必要があります。
- サーバーセキュリティ
- EC-CUBEアップデート
- WAF
- Cloudflareによる外部防御
このような多層防御によって初めて安全なECサイト運用が実現します。
EC-CUBEのCloudflare導入サポート
株式会社サンクユーではEC-CUBEサイトのCloudflare導入支援を行っています。
- Cloudflare初期設定
- EC-CUBE向けキャッシュ設計
- DDoS対策
- Bot対策
- 管理画面セキュリティ
- サーバーIP遮断設定
ECサイトのセキュリティに不安がある場合はお気軽にご相談ください。
自社のECサイトが攻撃に耐えられるか知りたい場合セキュリティ診断も可能です。
投稿者プロフィール
- サンクユーのEC-CUBE先生。
EC-CUBEのカスタマイズをし出して早15年。
難易度の高いカスタマイズもお任せ。
2系、3系、4系すべて対応可能。
実はjavaでの業務システム開発がエンジニア人生のスタート。
PHP、Perl、フロントエンド開発、Movable Type、Wordpressも得意という万能エンジニア。
