セキュリティアップデート

クラウド型ECサイト構築ASPのaishipのプラットフォームは、AWS(Amazon Web Services)を採用しています。

AWSは、Amazon.comが提供する世界最高水準のサーバーで、 PCI DSS レベル 1、ISO 27001、FISMA Moderate、FedRAMP、HIPAA、SOC 1および SOC 2 監査報告書など、 数々の第三者認証をクリアしています。

aishipを利用することは、すなわち高度なサイバー攻撃や内部セキュリティリスクに柔軟に対応できるプラットフォーム上で、 ECサイトの構築や運営を実現していることを意味しています。

※AWSをASPカートで導入するメリットについては こちら にてご確認ください。

ECサイトへの不正アクセスは日々増加しており、サーバー自体に侵入されると重大な被害が発生します。

「万が一侵入されてしまったら…？」と考えると、事前の対策が欠かせません。

aishipではセキュリティ世界最高水準のAWSサーバーを採用していますが、
その上でAWSが提供する脅威検出サービス「Amazon GuardDuty」による対策を実施しています。

サーバーへの不正アクセスや侵入をリアルタイムで検知し、サービスの提供元である弊社に自動で通知されます。

また侵入があった場合の検知・通知のみならず、侵入を試みるアクションも検知・通知するため、被害が発生する前に当該アクセスの遮断をとるなどの対策が可能です。

＜対策できる脅威＞
・サーバーへの侵入および侵入に起因するソースコードやDBの改ざん、サービス停止等
・データベースの改ざんによるクレカ情報や個人情報の漏洩

aishipでは「AWS WAF」を用いて、パターン化された攻撃的なアクセスを自動で検知し、ブロックする仕組みを構築しています。

＜対策できる脅威＞
・ショップサイトにおけるSQLインジェクションやクロスサイト・スクリプティング等の攻撃
・ショップ管理者やエンドユーザの機密情報の外部漏洩

近年、ECサイトでソースコードが不正に書き換えられ、エンドユーザの機密情報が盗まれる事件が多発しています。

aishipでは、ソースコードの改ざんをリアルタイムで検知し、改ざんを検知した場合はシステム管理者に自動通知する仕組みを構築しています。

これにより、不正な変更が加えられた場合でも即座に対応可能となり、利用者はECサイトを安全に運営できます。

＜対策できる脅威＞
・ソースコード内にWebスキミング用のスクリプト等を仕込まれることによる機密情報の漏洩
・ソースコード改ざんによるシステム障害発生

3Dセキュア2.0(API方式)に対応済みです。API方式での連携により、従来通りのクレジットカード情報入力のユーザーインターフェースを維持しながら、セキュリティの強化を図ることを可能としました。

第三者不正利用リスクが低いと判断された場合には、カード会社の本人認証画面が表示されずに決済完了となる為、正規利用者の注文操作を妨げずにカゴ落ちリスクの軽減に繋がります。

※3Dセキュア2.0対応の詳細については こちら にてご確認ください。

2018年6月施行の「改正割賦販売法」において、クレジットカード加盟店に対してクレジットカード情報の保護が義務付けられました。

これにより、クレジットカード情報の非保持化対策またはPCI-DSS準拠対処が必須となっていますが、aishipではそのどちらにも対応しています。

クレジットカードの情報入力時や会員登録時等、スパム攻撃（ツールを使ったbot攻撃、連続いたずら投稿の制御等）を受けやすい箇所に、reCAPTCHA v2（invisible）を設定することが可能です。

※reCAPTCHA対応の詳細については こちら にてご確認ください。



＜対策できる脅威＞
・スパム攻撃によるクレジットカード不正利用

昨今増加している、クレジットカードの不正利用の対策の一環として、クレジットカードの有効性を不正に確認するような特定の操作を行った利用者の注文を制限します。

セキュリティをより強固にするため、管理画面のログイン時に二段階認証を導入しています。

aishipの管理画面ログイン時、不正アクセスの可能性があると判断された場合に、メールアドレスを用いた二段階認証を要求されます。

予め指定した管理者用メールアドレス宛に認証コードが送信され、正しい認証コードを入力した場合のみログインが可能になります。

管理画面へのログイン時に一定回数以上失敗した場合、管理画面にログインができないよう制限する機能も実装されています。



＜対策できる脅威＞
・管理画面のログインID・PW流出による不正ログイン
・管理画面からエンドユーザの個人情報漏洩/各ページに不正なスクリプトを仕込まれる

会員登録の際に、エンドユーザーが入力したメールアドレス宛に認証コードを送信し、認証コードによる認証を行います。 これにより不正利用者による会員登録や注文を防止します。

エンドユーザーが会員ログインした際に、エンドユーザーが登録したメールアドレス宛にログイン通知のメールを送信します。

身に覚えのない不正なログインをエンドユーザー自身が検知できるようになり、不正ログインによる情報漏えいのリスクの軽減に繋がります。

会員ログイン時に一定回数以上失敗した場合、ログインができないよう制限する機能も実装されています。

情報資産の重要性、リスクに応じた適切な情報セキュリティ方針を厳格に定める国際認証、ISO27001／ISMSを2007年9月より取得済。

お客様の個人情報はもちろんのこと、社内外で取り扱う情報資産を適切に管理・マネジメントを実施しています。