ソロプレナーや小規模事業主にとって、ECサイトは大変重要なビジネスツールです。そのECサイトの最大の脅威の一つは、情報セキュリティ問題となります。情報セキュリティ問題は、年々増加しており、ECサイトの運営にも重要な項目となっています。前回のブログ（ソロプレナー向けECサイト　Ⅲ）では、ECサイトの運営について説明し、システム運用の１項目としてセキュリティ対策を簡単に説明しました。
本書では、WordPressで構築したソロプレナー向けECサイトの情報セキュリティ問題について詳しく説明したいと思います。

情報セキュリティ問題は、システムのかかわり方によって問題と対策が異なります。また、責任範囲も変わってきます。WordPressで構築したソロプレナー向けECサイトは、おおきく３種類の人々がかかわります。

1. レンタルサーバ業者：ECサイトが動いているサーバを管理しています。
2. 管理者（ソロプレナー）：PC端末からサーバにあるECサイトを管理しています。
3. 顧客：ECサイトから商品やサービスを購入します。

管理者はECサイトを管理するため、自分のPC端末からサーバにアクセスして管理します。そこで、自分のPC端末とECサイトの２つが情報セキュリティ問題が対象となります。

情報セキュリティの脅威は、かかわる人によって内容が異なります。

1. レンタルサーバー業者
   • 不正アクセス：攻撃者がレンタルサーバに不正に侵入し、サーバ上のデータを盗む。
   • DDoS攻撃：レンタルサーバに対して大量のトラフィックを送信し、サービス提供を遮断する。
   • サーバのリソース乗っ取り：不正なプロセスを実行することで、サーバのリソースを乗っ取る。
   • 脆弱性の悪用：セキュリティ上の脆弱性を悪用しサーバに侵入する。
   • サーバの物理的な危険：データセンター内での火災、盗難、水害などの物理的な災害。

2. 管理者
   • クレデンシャルハッキング：ログイン情報を盗み、不正なアクセスを行う。
   • SQLインジェクション：不正なコードを挿入することで、重要なデータが漏洩する。
   • クロスサイトスクリプティング（XSS）：攻撃者がサイト上に不正なスクリプトを挿入する。
   • フィッシング詐欺：偽のECサイトやメールを作成し、クレジットカード情報を詐取する。
   • サードパーティの脆弱性：プラグインやテーマなどの脆弱性から侵入する。
   • インサイダー攻撃：意図的、または誤ってセキュリティを侵害する。

3. 顧客
   • 不正カード利用：不正に入手したクレジットカード情報を使用して、商品を購入する。
   • スパム攻撃：顧客が不正な手段でサイトのコメント欄やレビュー機能などを悪用する。
   • クロスサイトスクリプティング（XSS）：顧客がECサイト上に不正なスクリプトを挿入する。
   • レビューの改ざん：顧客がECサイト上の商品やサービスのレビューを不正に改ざんする。
   • サイトの過負荷：大量のリクエストを送信するなどの手段で、サイトの過負荷を引き起こす。

情報セキュリティ対策は、かかわる人によって対策が異なります。１のレンタルサーバ業社の対策は、レンタルサーバ業者が実施します。２．管理者、３．顧客の対策は、管理者であるソロプレナーが実施します。

1. レンタルサーバー業者
   • セキュリティパッチとアップデート：サーバソフトウェアやオペレーティングシステムのセキュリティパッチとアップデートを定期的に適用します。これにより、既知の脆弱性を修正し、攻撃のリスクを減らします。
   • ファイアウォールとネットワークセキュリティ：サーバにファイアウォールやWAF（Web Application Firewall）を設置して、不正なネットワークトラフィックや攻撃をブロックする対策を行います。
   • DDoS攻撃対策：分散型サービス妨害（DDoS）攻撃に備え、トラフィックの増加に対処するための対策を実施します。
   • SSL/TLS暗号化：顧客のウェブサイトがHTTPS経由でアクセスできるよう、SSL/TLS暗号化を提供します。
   • バックアップと災害対策：顧客のデータを定期的にバックアップし、災害が発生した際に備えます。
   • セキュリティ監視とログ管理：サーバのセキュリティ監視を実施し、異常なアクティビティを検知して対応します。また、ログを適切に管理してセキュリティインシデントの調査や追跡を行います。

2. 管理者
   • パスワード管理：ユーザ名とパスワードを管理する。パスワードは強力なものにすることで不正ログインを回避します。
   • ソフトウェアアップデート：ワードプレス、プラグインは常に最新版にすることで脆弱性を回避します。。
   • アクセスログの監視：SiteGuardによりログインアクセスを確認し、不正ログインを回避します。。
   • バックアップ：サイト変更時で障害が発生した場合のリスクを回避します。
   • PCのセキュリティ対策：運用に利用するPC端末のセキュリティ対策を行いPCからの情報漏洩を回避します。
   • サイト放置の回避：１か月以上サイトをメンテナンスしない場合、サイトを閉じる。

3. 顧客
   • 不正カード利用：チャージバックというルールで顧客は守られ、ECサイト事業者は被害をこうむります。顧客の配送先に不審な点がないか確認します。不審な配送先では顧客に確認するようにします。また、保険に加入するという対策があります。
   • スパム攻撃：プラグインで対応します。スパムの発信元を遮断したり、不審なスパムは自動削除するようにします。
   • クロスサイトスクリプティング（XXS)： ソフトウェアの脆弱性をなくすことで回避できます。具体的にはソフトウェアを常に最新化します。
   • レビューの改ざん：レビューは必ず管理者がチェックして公開するようにします。
   • サイトの過負荷：WAFで対応します。　攻撃を仕掛けるアドレスを遮断します。

システムにかかわる場合、共通の情報セキュリティ対策があります。この項目は、常に実践することで情報セキュリティ脅威を低減できますので、是非実践するようにしてください。

1. パスワードを適切に運用する。
2. 情報リテラシー、モラルを向上させる。
3. メールの添付ファイル開封や、メールやSMSのリンク、URLのクリックを安易にしない。
4. 適切な報告/連絡/相談を行う インシデント体制の整備する。（相談者を常に持つこと）
5. サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う。
6. 適切なバックアップ運用を行う。

ソロプレナー向けのECサイトの情報セキュリティに関して以下の内容を説明しました。

1. 情報セキュリティはかかわる人によって内容が異なるので、かかわる人、つまし、レンタルサーバー業者、管理者、顧客について説明しました。
2. かかわる人別に、情報セキュリティの脅威について説明しました。
3. 脅威を低減するための対策をかかわる人別に説明しました。
4. ITにかかわる人々が共通で行う対策について説明しました。