Web界隈の認証事情とECサイトのセキュリティ

  • EC-CUBE4系
  • セキュリティ
投稿日:2023/02/08

認証のトレンド


近年、Web界隈では多要素認証(MFA)が急速に普及しています。
多要素認証とは、下記の通り二つ以上の要素を組み合わせて認証することです。
特に、二つの要素を組み合わるケースを「二要素認証」と表現します。

多要素認証

一般的に、同じ要素を二つ使用する場合は、「二段階認証」と表現します。
稀に、「二要素」と「二段階」が混在しているケースも見受けられますが、
厳密には意味が異なります。

最近では、国内の複数サイトでサイバー攻撃が多発し、物騒な世の中となりました。
そんな背景もあり、従来のID・パスワード認証だけではリスクが高いということで
セキュリティ強化の一環で急速普及したのだと思います。

認証方式と強度


下記の表は、主要な認証方式をまとめたものです。
下に行けば行くほど、強度と信頼性が増加します。

認証方式と強度

パスワードレス認証


昨今のサイバー攻撃対策の一環として、認証にパスワードを使用しない方式が注目されています。
前述の例で言えば、「所有者認証」「生体情報」あるいは両者の組み合わせのことを指します。
その中で、「生体認証」について取り上げます。

近年、ブラウザでWebにアクセスする際の生体認証の規格として
「FIDO2(ファイドツー)」が注目されています。

FIDO2

実は、FIDO2は、現在の主要なOSやブラウザで標準実装されています。
・Windows10 / 11 / iOS / Android
・Chrome / FireFox / Safari / Edge

また、認証機については、USB型の指紋認証機が手頃に入手可能です。

FIDO2 USB ELECOM
(出典:ELECOM)

このように、パソコンであってもOSや周辺機器が出揃っていますし、
スマホでも生体認証の仕組みは搭載されているため、
利用者側から見ると導入のハードルは低くなっています。

一方、サイト側からすると、生体認証に対応したサーバ構築などの
初期コストや運用ルールの構築など導入のハードルは高くなりがちです。

そして、ECサイト界隈に焦点を絞ってみると、
パスワードレス認証はあまり普及していないように感じます。
これは、前述の初期コスト以外にも利用者のリテラシー面や
手間が増えることでの離脱懸念が背景にあると思います。
(実際、弊社のお客様でもこのような懸念を抱いていらっしゃるケースもあります)

リスクベース認証


とはいえ、サイバー攻撃リスクに備えてセキュリティを強化したいというニーズは日々高まっています。
そこで、最近注目されているのが「リスクベース認証」です。
これは、怪しいアクセスにだけ追加の認証を要求することを指します。
どうやってそれを見分けるのかというと、IPアドレスや過去の利用ログなどを解析するのが主流です。
ただし、この仕組みを自前で実装するのはなかなか大変です。
ですが、近年ではリスクベース認証のSaaSなども提供されているため、導入しやすくなっています。

セキュリティ重視のEC-CUBE



EC-CUBE4.2
(出典:イーシーキューブ)

2022年9月28日に、EC-CUBEの最新版であるEC-CUBE4.2がリリースされました。
4.2系では過去最大レベルでセキュリティ対策を重視した作りとなっています。
今やセキュリティは切っても切り離せないものになっている中、
開発元のイーシーキューブ社が最新のセキュリティ事情を考慮し、
積極的にアップデートする取り組みは大変評価できます。

ちなみに、弊社メンバーもEC-CUBE4.2の開発に携わっておりまして
セキュリティ面でも貢献させていただいております。

そんな安心安全なECサイト構築プラットフォームを自由自在にカスタマイズし、
お客様のご要望に最大限にお応えすることが可能なのが弊社の強みです。

また、弊社には国家資格の「情報処理安全確保支援士」も在籍しておりますので、
セキュリティ面での最適なご提案も可能です。
ぜひお気軽にお問合せください。
関連カテゴリ