ECサイト構築における「セキュリティ要件」見落としのワナ

近年、企業によるインターネット活用の形態として、ECサイトによる商品販売は非常に一般的なものとなっている。人々の生活の中に、PCやスマートデバイスが広く普及することでネットショッピングが購買手段として当たり前となっており、ECサイトは企業にとって重要な販売チャネル、そして顧客とのコミュニケーションチャネルの一部となりつつある。

ECサイトを構築する場合、商品販売を行う企業が発注元となって、ITパートナーと共に構築や運用を行うケースは多い。こうした時、ITパートナーとなる企業は開発コストや構築期間の削減、品質の確保を目的として、既存のECサイトパッケージソフトをベースに、発注元それぞれに必要な機能をカスタマイズで追加したり、継続的な機能改良を請け負ったりすることになる。このような「パッケージカスタマイズによるビジネス」は、ECサイトに限らず多くの場面で一般的に行われている。

しかし、特にECサイトを構築する場面において「まず、パッケージの選定に十分に気を使うべき」と話すのは、SCSK ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューションチームのエンジニアである橋本幸喜氏である。

「ECサイトの構築や運用にあたって、基盤としてのパッケージを導入するのは、品質の確保や構築コストの削減の観点で、非常に便利かつ合理的な選択です。ただ、その選定にあたっては、販売やマーケティングに関する機能や金銭的なコストばかりに目が行きがちで、セキュリティに関する要件は具体的に検討されていない印象も受けています。私は以前、ECサイト構築パッケージソフトの開発を担当していたのですが、パッケージソフトの選択にあたっては、具体的なセキュリティ要件を満たしているかも検討項目に加えてほしいと感じています」

今回は、ECサイト構築パッケージの選定にあたって、なぜセキュリティ要件の検討が重要なのか、そして、パッケージベンダーと発注元との間に立つパートナーは、セキュリティに関してどのような意識を持つべきなのかについて考えてみたい。

ECサイトでは1つの「脆弱性」が甚大な損失を生む

橋本氏は、ECサイトのパッケージ選択の際にセキュリティ要件の検討が必要な理由として、「ECサイト自体が重要な情報を取り扱うサイトであり、脆弱性が発見された場合のビジネス的なインパクトが大きいこと」と「パッケージに脆弱性が発見された場合、そのパッケージを基盤としている複数のサイトに影響が及ぶこと」を挙げる。

「ECサイトは、顧客の個人情報やクレジットカード情報など、決して漏洩させてはならない重要度の高い情報を多く扱います。また、機能が多様かつ不特定多数のユーザーをサービス対象としているため、脆弱性が発生する潜在的な危険性が高い点も特徴です。万が一、脆弱性を突いたサイバー攻撃を受けて顧客情報が漏洩した場合、一般的な被害に加えて、サイトを停止することによる機会損失が発生します。ECサイトは停止している時間そのものが直接損失につながってしまうのです」

脆弱性に由来する攻撃を受けた場合、攻撃された個所だけでなく、他の機能に対しても調査が必要になり、対応を行っている間は、サイトを停止することもある。これによって発生するビジネス的な損失は、ECサイトでの売上比率が高い会社ほど大きくなる。ECパッケージを複数に展開するビジネスを行っているITベンダーであれば、稼働中のすべてのサイトへの対応が必要となる。

パッケージの選択にあたっては、単に「どのような機能が使えるか」だけでなく、そのソフトウェアがどのような構成になっているか、どのようなミドルウェアを活用しているか、どの程度のセキュリティ要件が確保されているか、万が一、製品の一部に脆弱性が発見された場合にベンダーはどのような対応をするかといったことまで十分に検討しておくことが、ビジネス上必須の要件となる。

また、ニーズに対応したECサイトを提供するために発注元の要望に応じたスピーディなカスタマイズを継続的に行っていく中で、脆弱性を生み出さないよう、開発担当者自身にもセキュリティに関する十分なリテラシーが必要となることは言うまでもない。

「アプリケーションの脆弱性改修にかかるコストは、リリース前とリリース後で60倍もの違いが出ると言われていますが、ECサイトのパッケージソフトでは、その違いはさらに顕著になります。SCSKで提供しているような、脆弱性診断サービスを定期的に受けることももちろん重要ですが、セキュリティを考慮した開発が行われており、いざというときの対応も明確なパッケージを選ぶこと、そして、そのパッケージを扱う開発、運用担当者が十分なセキュリティリテラシーを持ち、日ごろから互いに連携し合っておくことが大切です」

発注元との契約にもセキュリティに関する方針を含める

橋本氏は加えて、発注元となる企業との契約内容にも、事前にセキュリティ要件を盛り込んでおくことを強く勧める。前出の「サイト停止による被害」「信用が低下することによる取引量や会員の減少」といったリスクに対して、発注元は非常にセンシティブだ。

しかし、セキュリティに関する要件が整ったパッケージを利用し、なおかつ追加開発においてセキュリティに関する十分な注意を払っていたとしても、「今後一切、脆弱性が発見されない」システムを作ることは難しい。

開発の設計段階でセキュリティ要件が十分に考慮されたパッケージを選ぶこと、カスタマイズの段階で脆弱性が生み出されないよう、開発や運用の担当者が十分なセキュリティに関する知識を持っておくことに加え、「脆弱性の対応方針に関する内容は、発注元との保守契約に含めておくべき」と橋本氏は言う。

「発注元のビジネスに対して影響が大きなECサイトの構築運用に関しては、セキュリティに関する要件と脆弱性が発見された場合の対応方針を保守契約に含めておくべきでしょう。発注元にとっては、基本的に『脆弱性がない』ことが前提になってしまうケースが多く、対応方針を事前に説明しておかなければ、脆弱性が発覚した場合に大きなトラブルの元になる可能性があります。パッケージソフトであれば、複数の発注元への説明が必要となるため、リスクも大きくなります。構築時はもちろん、運用後に脆弱性が発覚した場合、受注先である自社はどのような対応を取るのか、しっかりと表明しておくべきです。もちろん、その際は誤解のない説明ができるようなリテラシーが必要です」

SCSKはアプリケーションの開発段階からセキュリティ対策を講じる企業をサポートするセキュリティサービスとして、ソフトウェア開発の初期段階から「セキュリティ」に関する要件を考慮して開発プロセスを進めていくためのノウハウを提供する「Web Security Director」、ソフトウェアの脆弱性診断やセキュリティ要件にまつわるPDCAプロセスを社内に構築するためのサポートを行う「Startup Partner」といったサービスを提供している。

ソフトウェアにまつわるセキュリティ上のインシデントが、ビジネスにネガティブな影響を与える局面は、今後ますます増えていくはずだ。ソフトウェア開発に関わる企業は自社の成果物におけるセキュリティ要件への取り組み方を改めて検討すべき時機ではないだろうか。

SCSK株式会社
ITマネジメント第一事業本部
セキュリティソリューション部
Webセキュリティソリューションチーム
橋本 幸喜
Webアプリケーションのセキュリティに従事しているエンジニア。
ECサイト構築パッケージソフトの開発、保守を経験しており、サイト構築において考慮すべきセキュリティ要件を熟知している。
セキュア開発の支援やWebサイトの脆弱性診断サービスを通じて、セキュリティリテラシー向上のために精力的に活動している。