EC-CUBEのバージョンアップ前に現在のセキュリティチェックを！アクセス制限編

管理者のアクセス可能なIPアドレスを制限しているか？

IPアドレス制限の重要性

IPアドレス制限は、特定のIPアドレスからのアクセスを許可または拒否することができるセキュリティ対策です。
管理者がECサイトの管理画面にアクセスする際に、特定のIPアドレスからのみアクセスを許可することで、不正アクセスを防ぎます。不正なアクセス元からの攻撃を遮断することができるため、重要な情報を保護する上で非常に効果的な手段です。

IPアドレス制限の実装方法

IPアドレス制限を実装するには、ECサイトのサーバーコンフィギュレーションを調整する必要があります。一般的な手順は以下の通りです。
管理者用のアクセスIPアドレスの特定: 利用する管理者が常に同じIPアドレスからアクセスする場合は、そのIPアドレスを特定します。 アクセス制限の設定: サーバーの設定ファイルにおいて、特定のIPアドレスからのアクセスを許可するように設定します。一般的には、.htaccessファイルやnginxの設定ファイルなどを編集して行います。

代替え手段としてのベーシック認証

管理画面にベーシック認証を設けることで、IDとパスワードの組み合わせによってアクセスを制限します。この方法はIPアドレス制限と併用することも可能です。

管理画面ログインに2段階認証または2要素認証を設けているか？

二段階認証とは

二段階認証は、パスワードに加えて追加の認証手段を必要とするセキュリティプロセスです。通常、ユーザーはログイン時にパスワードを入力した後、事前登録しておいてメールアドレスやSMSで送信される認証コードなどの追加情報を提供する必要があります。これにより、不正なアクセスが試みられた場合でも、不正ログインを防ぐことができます。

二要素認証とは

二要素認証は、二つの異なる認証要素を組み合わせてアカウントにアクセスする手法です。通常、何か知っている情報（パスワードなど）と何か持っている情報（スマートフォンやキャッシュカードなど）を組み合わせて使用します。 身近な例としては、銀行のATMが挙げられます。ここでは、キャッシュカード（所有）と暗証番号（知識）が必要となります。オンラインバンクなどでは、IDとパスワードに加えてスマートフォンのアプリに表示されるワンタイムパスワードを入力する場合もあります。 二要素認証は、1つ目の認証が突破されても2つ目の認証でブロックできるため、不正アクセスを防ぐだけでなく、セキュリティを強化することができます。

アカウントロック機能で不正アクセスから保護できてるか？

アカウントのロック

管理者画面のセキュリティを強化するために、アカウントロック機能を有効にしましょう。PCIDSS ver4.0の基準に従い、ログイン失敗が10回以下の場合にアカウントを自動的にロックする仕組みを導入することで、不正アクセスや攻撃からの保護を強化できます。

アカウントロック機能の有効化

管理者画面のログインフォームには、アカウントロック機能を組み込みます。ユーザーが誤ったパスワードを10回以下入力した場合、アカウントは自動的にロックされます。

ロックされたアカウントの対応

アカウントがロックされた場合、管理者はシステムにログインできなくなります。この状況を解除するには、別の認証手段や管理者による手動でのロック解除が必要です。

セキュリティポリシーの強化

アカウントロック機能の有効化は、セキュリティポリシーの一部として運用されるべきです。従業員や管理者に対して、安全なパスワードの設定やセキュリティ意識の向上を促すための教育やトレーニングも重要といえます。

アカウントロック機能の導入により、管理者画面への不正アクセスや攻撃からの保護が強化され、セキュリティレベルが向上しし、適切な対応を行うことで、安全な管理者アクセス環境を確保できます。