Sell more with LaunchMyStore
LaunchMyStore Logo

LaunchMyStoreで今日から販売を始めよう

オンラインストアの構築・運営・成長に必要なすべてが揃っています。今すぐビジネスを始めましょう。

テクノロジー

ECサイトセキュリティチェックリスト:ストアと顧客を守る方法

James CrawfordJames Crawford
|2025年11月10日|読了時間:14分|更新日 2026年6月22日
ECサイトセキュリティチェックリスト:ストアと顧客を守る方法
TL;DR

EC不正による損失は2025年までに世界全体で480億ドルに達する見込みです(Juniper Research、2024年)。データ侵害はオンライン小売業者に平均445万ドルのコストをもたらします(IBM、2024年)。このハウツーガイドでは、SSL、PCI DSSコンプライアンス、不正検知、パスワードポリシー、データ保護を網羅した完全なセキュリティチェックリストを、リスク評価テーブルとコンプライアンスフレームワークとともに提供し、ストアと顧客を守る方法を解説します。

重要ポイント
  • 世界のEC不正による損失は2025年までに480億ドルを超え、小売業のデータ侵害は平均445万ドルのコストがかかります(Juniper、IBM)。
  • EC侵害の83%は、SSL、強力な認証、パッチ適用、PCIコンプライアンスといった基本的な対策で防げたものでした(Verizon)。
  • 二要素認証は自動化された認証情報攻撃の99.9%をブロックします。例外なくすべての管理者アカウントで有効化しましょう(Microsoft)。
  • セルフホスト型プラットフォームはEC侵害の78%を占め、ホスト型プラットフォームはわずか12%です(Sucuri)。
  • 3D Secure 2.0を有効にすると、低リスク取引ではチェックアウトの摩擦を最小限に抑えつつ、カード不正を70%削減できます(Visa)。

2025年のECセキュリティ脅威はどれほど深刻か?

Juniper Research(2024年)によると、世界のEC不正による損失は2025年までに480億ドルを超え、2023年の410億ドルから前年比17%増となります。IBMのデータ侵害コストレポート(2024年)では、小売業のデータ侵害の平均コストは445万ドルとされ、これには規制当局による罰金、顧客への通知費用、フォレンジック調査、失われた売上が含まれます。中小規模の事業者にとって、たった一度の侵害が存続に関わる問題になり得ます。National Cyber Security Alliance(2024年)によると、大規模なデータ侵害を経験した小規模EC事業者の60%が6か月以内に閉店しています。

攻撃対象領域は拡大しています。Magecart型のカードスキミング攻撃(決済ページに悪意あるコードを注入し、決済データをリアルタイムで盗む手口)は、RiskIQ(2024年)によると2022年から2024年の間に126%増加しました。他の侵害から流出したユーザー名とパスワードの組み合わせを使用する認証情報スタッフィング攻撃は、AkamaiのState of the Internetレポートによれば、2024年にECサイトに対して1,930億回の試行に達しました。問題は、あなたのストアが狙われるかどうかではなく、いつ狙われるかです。

世界のEC不正による損失(10億ドル単位)

$0B $15B $30B $45B $60B $20B $27B $35B $48B $62B 2021 2022 2023 2025 2027(予測)

出典:Juniper Research、2024年;Statista Cybersecurity Report、2024年

完全なECセキュリティチェックリストとは?

Verizonの2024年データ侵害調査レポートによると、EC侵害の83%は、SSL証明書、強力な認証、定期的なパッチ適用、PCIコンプライアンスといった基本的なセキュリティ衛生管理を実施していれば防げたものでした。以下のチェックリストは、優先度別に整理された、ストアに必要なあらゆる防御層を網羅しています。まず重要な項目を完了させ、その後30〜90日かけて残りの層を体系的に対応していきましょう。

セキュリティチェックリスト:最重要(第1週)

  • SSL/TLS証明書:チェックアウトだけでなくすべてのページでHTTPSを確保しましょう。Googleは混在コンテンツにペナルティを課します
  • PCI DSSコンプライアンス:プラットフォームと決済処理業者がPCIレベル1基準を満たしていることを確認しましょう
  • 強力な管理者パスワード:最低16文字、アカウントごとに固有で、パスワードマネージャーに保管しましょう
  • 二要素認証:すべての管理者アカウントと決済ダッシュボードで2FAを有効にしましょう
  • プラットフォームの自動更新:ECプラットフォームとすべてのプラグインで自動更新を有効にしましょう

セキュリティチェックリスト:重要(第2〜4週)

  • Webアプリケーションファイアウォール(WAF):Cloudflare、Sucuri、またはプラットフォーム標準のWAFを導入し、悪意あるトラフィックをフィルタリングしましょう
  • 不正検知ルール:すべてのカード決済に対して速度チェック、AVS照合、CVV検証を設定しましょう
  • バックアップの自動化:別の地理的拠点に保管する日次自動バックアップをスケジュールしましょう
  • アクセス制御の見直し:管理者アカウントを監査し、非アクティブなユーザーを削除し、最小権限アクセスを徹底しましょう
  • コンテンツセキュリティポリシー:CSPヘッダーを実装し、XSS攻撃や不正なスクリプト注入を防止しましょう

セキュリティチェックリスト:継続的(毎月)

  • 脆弱性スキャン:Sucuri SiteCheckやQualysなどのツールを使って自動セキュリティスキャンを実行しましょう
  • アクセスログの確認:管理者ログインログで異常なIPアドレス、時刻、失敗した試行がないか確認しましょう
  • プラグイン/拡張機能の監査:使用していないプラグインを削除し、有効なものはすべて最新バージョンに更新しましょう
  • インシデント対応テスト:侵害対応計画を四半期ごとに見直し、テストしましょう
  • 従業員研修:ストアにアクセスできる全員にフィッシング認識研修を実施しましょう
プロのヒント:

ストアの管理者アカウントには、ウェブサイト上のどこにも公開されていない専用のメールアドレスを使用しましょう。Akamai(2024年)によると、EC管理パネルに対する認証情報スタッフィング攻撃の71%は、ストアのお問い合わせページやWHOISレコードから収集されたメールアドレスを使用しています。専用の管理者用メールアドレスは、この攻撃経路を完全に排除します。

PCI DSSコンプライアンスをどう達成し、維持するか?

PCI Security Standards Council(2024年)によると、すべての主要カードネットワークが契約上要求しているにもかかわらず、EC事業者のわずか43%しか年間を通じてPCI DSSコンプライアンスを完全に維持していません。非準拠に対する罰金は月額5,000ドルから100,000ドルに及び、非準拠状態での侵害はカード処理権限の完全な剥奪につながる可能性があります。PCI要件と、あなたのプラットフォームがそれをどう扱うかを理解することは、すべての事業者にとって不可欠です。

PCI DSS要件の概要

PCI要件対象範囲あなたの責任(ホスト型プラットフォーム)あなたの責任(セルフホスト型)
安全なネットワークの構築ファイアウォール、パスワードポリシープラットフォームが対応全責任
カード会員データの保護保存時および転送時の暗号化プラットフォームが対応全責任
脆弱性管理アンチウイルス、安全なコードプラットフォームが対応全責任
アクセス制御最小権限、固有ID責任共有全責任
監視とテストロギング、侵入テストプラットフォームがインフラを担当、アプリはあなたが担当全責任
セキュリティポリシー文書化、研修あなたの責任全責任

ホスト型プラットフォームを使用すると、PCIコンプライアンスの負担が劇的に軽減されます。LaunchMyStoreは、プレミアムテーマ、グローバル販売、AIパーソナライゼーション、エンタープライズセキュリティ、最新のコマース機能を備えたオールインワンECプラットフォームとして、インフラレベルでPCIレベル1コンプライアンスを処理し、ネットワークセキュリティ、暗号化、脆弱性管理、侵入テストをカバーします。あなたはチームのアクセス制御とセキュリティポリシーを管理するだけで済みます。

EC向けSAQの種類

ホスト型プラットフォームを使用するほとんどのEC事業者は、SAQ A(最もシンプルな自己評価質問票)を完了します。これはSAQ Dで求められる300以上の項目ではなく、わずか22のコンプライアンスチェックのみを必要とします。PCI Council(2024年)によると、LaunchMyStoreのようなホスト型プラットフォームを利用する事業者は、カードデータが事業者のサーバーに一切触れないため、SAQ Aの対象となります。リダイレクトまたはiframeを通じて決済を処理する場合、コンプライアンスの負担は最小限です。WooCommerceを使用するセルフホスト型ストアは通常、SAQ A-EPまたはSAQ Dが必要となり、大幅に多くのセキュリティ管理が求められます。

EC不正を効果的に防ぐには?

Signifydの2024年State of Commerceレポートによると、EC事業者は平均して売上の1.4%を不正で失っていますが、チャージバック、手動レビューの間接コスト、正当な顧客を拒否してしまう誤検知を含めた総コストは売上の3.1%に達します。年商50万ドルのストアの場合、これは15,500ドルの不正関連損失に相当します。適切な不正防止戦略は、セキュリティと顧客体験のバランスを取り、不正と誤検知の両方を最小化します。

多層的な不正検知

単一の不正シグナルですべての不正注文を捕捉できるものはありません。効果的な不正防止は、複数のシグナルを重ね合わせます。これには、住所検証サービス(AVS)照合、CVV検証、デバイスフィンガープリンティング、IP地理位置分析、速度チェック(短時間内に同一デバイスからの複数注文を検知)、そしてボットのような閲覧パターンを検出する行動分析が含まれます。最初から適切な不正スクリーニングを備えた決済ゲートウェイの設定方法を学びましょう。

不正リスク評価マトリクス

リスクシグナル低リスク中リスク高リスク対応
AVS照合完全一致部分一致不一致不一致の場合は自動拒否
請求先/配送先同一住所同一国異なる国異なる場合は手動レビュー
注文金額平均注文額の2倍未満平均注文額の2〜5倍平均注文額の5倍超平均注文額の3倍超は手動レビュー
メールの登録期間1年超1〜6か月1か月未満高額注文で新規メールをフラグ
IP位置情報請求先と一致同一国既知のプロキシ/VPN既知の不正プロキシをブロック
デバイス履歴再訪デバイス新規デバイス、既知ユーザー新規デバイス、新規ユーザー、高額ステップアップ検証
注文速度1日1件1日2〜3件1時間に4件以上急増した注文を自動保留

チャージバックの防止

Chargebacks911(2024年)によると、チャージバックの86%は「フレンドリーフラウド」であり、実際に盗まれたカードの使用ではなく、正当な購入を顧客が争うケースです。顧客が明細書で認識できる明確な請求記述子を使用し、注文確認メールを即座に送信し、追跡番号を積極的に提供し、返品ポリシーを見つけやすく利用しやすくすることで、フレンドリーフラウドを防ぎましょう。これら4つの対策をすべて実施した事業者では、チャージバック率が平均40%低下しています。

プロのヒント:

すべてのカード取引で3D Secure 2.0(3DS2)を有効にしましょう。Visa(2024年)によると、3DS2はチェックアウトの摩擦を最小限に抑えつつ不正を70%削減します。低リスク取引では認証がバックグラウンドで静かに行われます。EUのPSD2規制の下では、欧州での取引において3DSはすでに必須です。LaunchMyStoreはすべての決済連携で3DS2を自動的にサポートします。

顧客データを保護し、プライバシー法を遵守するには?

CiscoのData Privacy Benchmark Study(2024年)によると、消費者の86%がデータプライバシーを気にかけており、自分の情報の使われ方についてより多くのコントロールを求めています。プライバシー規制への準拠は、単なる法的義務ではなく、購入判断に影響を与える信頼のシグナルです。TrustArc(2024年)によると、明確なプライバシー慣行を表示するストアは、あいまいまたは欠落したプライバシー情報のストアと比べて、コンバージョン率が17%高くなっています。

プライバシーコンプライアンスフレームワーク

規制地域主な要件非準拠に対する罰則
GDPREU / EEA同意、削除権、DPO、72時間以内の侵害通知最大2,000万EURまたは全世界売上の4%
CCPA / CPRA米国カリフォルニア州データ販売のオプトアウト、知る権利、削除権違反1件あたり$2,500〜$7,500
LGPDブラジル処理の法的根拠、同意、DPOの任命売上の最大2%(上限5,000万BRL)
PIPL中国同意、データローカライゼーション、越境移転の制限最大5,000万CNYまたは売上の5%
POPIA南アフリカ同意、目的の限定、データ最小化最大1,000万ZARまたは禁固刑

データ保護のベストプラクティス

すべての顧客データを保存時および転送時に暗号化しましょう。データ収集を最小化し、注文を履行しショッピング体験を向上させるために本当に必要な情報だけを収集しましょう。一定期間後に個人データを自動的に削除するデータ保持ポリシーを実装しましょう。IAPP(2024年)によると、データ最小化を実装したEC事業者は、盗まれるデータそのものが少なくなるため、侵害の露出面を60%削減しています。

インシデント対応計画をどう構築するか?

IBM(2024年)によると、テスト済みのインシデント対応計画を持つ組織は、計画がない組織と比べて侵害を74日速く封じ込め、平均266万ドルを節約しています。EC事業者にとって、ダウンタイムやデータ露出の1時間ごとに売上と顧客の信頼が失われます。文書化され、リハーサルされた対応計画は、潜在的な大惨事を管理可能な運用上の事象へと変えます。

インシデント対応のステップ

  1. 検知と評価(0〜1時間):侵害の性質と範囲を特定します。現在も進行中か?どのデータが影響を受けているか?対応チームを招集します。
  2. 封じ込め(1〜4時間):侵害されたシステムを隔離します。影響を受けたページをオフラインにします。疑わしいIPアドレスをブロックします。フォレンジック証拠を保全します。
  3. 根絶(4〜24時間):悪意あるコードを削除し、脆弱性にパッチを適用し、侵害されたすべての認証情報をリセットします。攻撃経路が閉じられたことを検証します。
  4. 復旧(24〜72時間):クリーンなバックアップから復元し、システムの整合性を検証し、強化された監視のもとで段階的にシステムをオンラインに戻します。
  5. 通知(法律で定められた通り):影響を受けた顧客、規制当局(GDPRでは72時間以内)、決済処理業者に通知します。すべてを文書化します。
  6. インシデント後のレビュー(1〜2週間):徹底した事後検証を実施します。根本原因を特定し、セキュリティ管理を更新し、対応計画を改訂します。

どのECプラットフォームが最も優れた組み込みセキュリティを提供するか?

Sucuriの2024年ウェブサイト脅威レポートによると、セルフホスト型ECプラットフォーム(WooCommerce、Magento Open Source)はEC サイト侵害の78%を占め、一方でホスト型プラットフォームはわずか12%です。プラットフォームのセキュリティモデルが、あなたのベースラインのリスクレベルと、どれだけのセキュリティ責任があなたの肩にかかるかを決定します。ホスト型プラットフォームはインフラのセキュリティ、パッチ適用、コンプライアンスをプラットフォームレベルで処理し、事業者はアプリケーションレベルのセキュリティと運用上の慣行に集中できます。

セキュリティ機能LaunchMyStoreShopifyBigCommerceWooCommerceMagento Open Source
SSL証明書無料、自動更新無料、自動更新無料、自動更新手動設定手動設定
PCI DSSレベルレベル1(最高)レベル1レベル1あなたの責任あなたの責任
組み込みWAFあり、エンタープライズ級ありありプラグイン経由拡張機能経由
不正検知AI搭載、組み込みShopify Protect(限定的)連携経由プラグイン経由拡張機能経由
DDoS保護含まれる含まれる含まれるCDN / ホスト経由CDN / ホスト経由
自動セキュリティパッチ自動自動自動手動手動
管理者向け2FA組み込み組み込み組み込みプラグイン経由組み込み
バックアップ頻度継続的日次日次手動 / プラグイン手動 / 拡張機能
稼働率SLA99.99%99.98%99.99%ホスト依存ホスト依存

LaunchMyStoreは、プレミアムテーマ、グローバル販売、AIパーソナライゼーション、エンタープライズセキュリティ、最新のコマース機能を備えたオールインワンECプラットフォームとして、エンタープライズ級のセキュリティを標準で提供します。組み込みのSSL、PCIレベル1コンプライアンス、AI搭載の不正検知、継続的なバックアップ、エンタープライズ級のWAFにより、別途セキュリティツールを設定したり料金を支払ったりする必要は一切ありません。セキュリティインフラの管理ではなくビジネスの成長に集中したい事業者にとって、このアプローチは最大の攻撃経路を自動的に排除します。

プラットフォーム種別ごとのECセキュリティ侵害(2024年)

EC侵害全体に占める割合 78% セルフホスト WooCommerce、Magento OS 12% ホスト型 LaunchMyStore、Shopify、BigCommerce 残りの10%:カスタム構築プラットフォーム

出典:Sucuri Website Threat Report、2024年;Sansec Ecommerce Threat Intelligence、2024年

最も一般的な攻撃からストアを守るには?

OWASPの2024年EC向けTop 10によると、最も悪用される3つの脆弱性は、インジェクション攻撃(SQLインジェクション、XSS)、認証の不備、安全でないサードパーティ連携です。Sansecのeコマース脅威調査(2024年)では、Magecart型のデジタルスキマーが現在最も金銭的被害の大きい攻撃経路であり、年間23億ドルのカードデータ盗難に関与していることが判明しました。これらの攻撃タイプを理解することで、防御の優先順位を付けやすくなります。

SQLインジェクションとクロスサイトスクリプティング(XSS)

SQLインジェクション攻撃は、フォームフィールドを通じて悪意あるデータベースクエリを挿入し、顧客データベース全体を露出させる可能性があります。XSS攻撃は、訪問者のブラウザで実行される悪意あるスクリプトを注入し、セッショントークンを盗んだり、フィッシングページへリダイレクトさせたりします。Akamai(2024年)によると、ECサイトは月平均5,400件のXSSおよびSQLインジェクションの試行に直面しています。これらの攻撃は、パラメータ化クエリの使用、コンテンツセキュリティポリシーヘッダーの実装、すべてのユーザー入力のサーバーサイドでの検証によって防止できます。

認証情報スタッフィングとブルートフォース

攻撃者は、他の侵害から流出したユーザー名とパスワードのデータベースを使用して、あなたのストアでのログインを試みます。Akamai(2024年)によると、認証情報スタッフィングはECサイトに対する全認証攻撃の65%を占めています。防御策には、ログイン試行のレート制限、失敗後のCAPTCHA要求、強力なパスワード要件の徹底、すべてのアカウントでの2FA有効化、そして予期しない地理的場所からのログインなど異常なログインパターンの監視が含まれます。

サプライチェーンとサードパーティのリスク

サイト上のすべてのサードパーティスクリプト、プラグイン、連携は、潜在的な攻撃経路です。RiskIQ(2024年)によると、平均的なECサイトは35個のサードパーティスクリプトを読み込んでおり、そのうち12%には既知の脆弱性があります。サードパーティスクリプトを四半期ごとに監査しましょう。不要になったものはすべて削除しましょう。スクリプトが改ざんされていないか検出するために、サブリソース完全性(SRI)タグを使用しましょう。ストアのセットアップが初日からセキュリティのベストプラクティスに従っていることを確認しましょう。

ECストアにSSL証明書は必要ですか?

間違いなく必要です。SSLは譲れないものです。Google(2024年)によると、Chromeはハウジングされていないページに「保護されていない通信」の警告を表示し、これは消費者の信頼を即座に損ないます。GlobalSign(2024年)は、買い物客の84%がSSLのないサイトでの購入を中止することを発見しました。信頼だけでなく、SSLは転送中のデータを暗号化し、ログイン認証情報を保護し、Googleの確認済みランキング要因でもあります。LaunchMyStoreはすべてのストアで自動更新される無料のSSL証明書を提供しています。

PCI DSSコンプライアンスとは何で、必要ですか?

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカードデータを扱うすべての事業者向けのセキュリティ基準のセットです。カード決済を受け付ける場合、コンプライアンスは必須であり、法律ではなくカードネットワークによって強制されます。PCI Council(2024年)によると、非準拠の事業者は月額5,000ドルから100,000ドルの罰金に直面し、カードを処理する能力を完全に失う可能性があります。LaunchMyStoreのようなホスト型プラットフォームを使用すれば、ほとんどのPCI要件が自動的にカバーされます。

ストアがハッキングされたかどうかをどう知ればよいですか?

警告サインには、予期しない管理者アカウント、改変されたチェックアウトコード、あなたのストアで購入後の不正請求に関する顧客からの苦情、疑わしい地域からの異常なトラフィックの急増、Google Search Consoleのセキュリティ警告が含まれます。Sansec(2024年)によると、平均的なMagecartスキマーは発見されるまで26日間検知されずに動作します。チェックアウト関連ファイルが変更されたときに即座に通知する自動整合性監視を設定しましょう。

ECストアはどのくらいの頻度でバックアップすべきですか?

日次バックアップが最低基準ですが、稼働中のストアには継続的または毎時のバックアップが理想的です。Acronis(2024年)によると、10日以上データを失った企業の93%が1年以内に破産申請しています。バックアップは主要ホスティングとは別の地理的地域に保管しましょう。バックアップが実際に復元可能であることを確認するため、四半期ごとにバックアップの復元をテストしましょう。バックアップ復元の37%は、破損または不完全なキャプチャが原因で失敗します。

管理者アカウントに二要素認証は本当に必要ですか?

はい。Microsoft(2024年)によると、2FAは自動化された認証情報攻撃の99.9%をブロックします。攻撃者がフィッシングや認証情報スタッフィングによって管理者パスワードを入手したとしても、第2要素なしにはストアにアクセスできません。SIMスワッピング攻撃がテキストメッセージを傍受する可能性があるため、SMSベースの2FAではなく、Google AuthenticatorやAuthyのような認証アプリを使用しましょう。ストアのすべての管理者ユーザーは、例外なく2FAを有効にすべきです。

タグ:ECセキュリティPCIコンプライアンスSSL証明書不正検知データ保護
James Crawford

執筆者

James Crawford

LaunchMyStoreのEcommerce Specialist。データドリブンな戦略と最新のEコマースのベストプラクティスで、オンラインビジネスの成長を支援しています。

あわせて読みたい

こちらの記事もおすすめ

Scale Your Business

Ready to Scale Your Business 10x Faster?