ブログに戻る
2026-06-29Sécurité
Magento 2 セキュリティ監査: 2026年に確認すべき15のポイント
セキュリティ監査が不可欠な理由
2026年、eコマースサイトへの攻撃はかつてないほど高度化しています。Adobe Commerce / Magento 2は、その人気と取り扱う機密データから、ハッカーの主要な標的であり続けています。
定期的なセキュリティ監査は選択肢ではなく、必須です。以下に、必ず確認すべき15のポイントをご紹介します。
1. バージョンとセキュリティパッチ
Magento 2インスタンスが最新の利用可能なバージョンを使用していることを確認してください。Adobeは定期的にセキュリティパッチを公開しています:
- Adobeのセキュリティ速報を確認
- リリースから48時間以内にパッチを適用
- Composerでアップデートを自動化
2. 管理者アクセス設定
- 二要素認証(2FA)を有効化
- 強力なパスワードとパスワードマネージャーを使用
- ログイン試行回数を制限
- デフォルトの管理URLを変更
3. ファイルとフォルダーの権限
不適切な権限は攻撃者への扉を開きます:
- ファイル:644
- フォルダー:755
- app/etc/env.php は決して公開アクセス可能にしてはいけません
4. データベースセキュリティ
- デフォルトのテーブルプレフィックスを変更
- SQLアクセスに強力なパスワードを使用
- データベース接続の許可IPを制限
5. RedisとVarnishの設定
- Redisアクセスを認証
- Varnishの許可IPを制限
- キャッシュ接続にTLSを使用
6. XSSおよびCSRF攻撃からの保護
Magento 2にはネイティブ保護機能が含まれていますが、以下を確認:
- XSSバリデーターがアクティブであること
- すべてのフォームでCSRFトークンが生成されていること
- カスタムモジュールがこれらのメカニズムを尊重していること
7. 決済セキュリティ
- 決済モジュールがPCI DSSを使用していることを確認
- カード決済に3D Secure(SCA)を有効化
- サーバーにクレジットカードデータを保存しない
8. Web APIとGraphQL
APIは一般的な攻撃ベクトルです:
- 統合キーによるAPIアクセスを制限
- レート制限を有効化
- すべてのGraphQL入力を検証
9. ログと監視
- 失敗したログイン試行のログ記録を有効化
- New Relicまたは同等のツールで異常を検出
- ログを最低90日間保持
10. TLS/SSL証明書
- 証明書が有効で最新であることを確認
- 最低TLS 1.3を使用
- すべてのHTTPトラフィックをHTTPSにリダイレクト
11. Captchaとボット対策
Magento 2にはGoogle reCAPTCHA v3が含まれています。以下で有効になっていることを確認:
- ログインフォーム
- 登録フォーム
- パスワード忘れフォーム
12. バックアップと復旧計画
- ファイルとデータベースを毎日バックアップ
- バックアップをオフサイトに保存(S3など)
- 四半期に最低1回は復元をテスト
13. 非アクティブなユーザーアカウント
- 毎月管理者アカウントを監査
- 非アクティブなアカウントを削除または無効化
- API統合アカウントの権限を確認
14. CSP(Content Security Policy)
- XSS攻撃を防ぐために厳格なCSPを実装
- ブロッキングモードを適用する前にレポートモードでテスト
- Magento 2のCSPモジュールを使用
15. 外部脆弱性スキャン
- 脆弱性スキャナーを使用(Sucuri、Qualys)
- 年次のペネトレーションテスト(ペンテスト)を実施
- CVE(共通脆弱性識別子)を追跡
ストアのセキュリティは継続的なプロセスです。Magento 2およびAdobe Commerce向けの包括的なセキュリティ監査を実施しています。サイトを保護するためにお問い合わせください。
お手伝いできます.
あなたのプロジェクトについて話しましょう。