ブログに戻る
2026-06-29Sécurité

Magento 2 セキュリティ監査: 2026年に確認すべき15のポイント


セキュリティ監査が不可欠な理由


2026年、eコマースサイトへの攻撃はかつてないほど高度化しています。Adobe Commerce / Magento 2は、その人気と取り扱う機密データから、ハッカーの主要な標的であり続けています。


定期的なセキュリティ監査は選択肢ではなく、必須です。以下に、必ず確認すべき15のポイントをご紹介します。


1. バージョンとセキュリティパッチ


Magento 2インスタンスが最新の利用可能なバージョンを使用していることを確認してください。Adobeは定期的にセキュリティパッチを公開しています:


  • Adobeのセキュリティ速報を確認
  • リリースから48時間以内にパッチを適用
  • Composerでアップデートを自動化

2. 管理者アクセス設定


  • 二要素認証(2FA)を有効化
  • 強力なパスワードとパスワードマネージャーを使用
  • ログイン試行回数を制限
  • デフォルトの管理URLを変更

3. ファイルとフォルダーの権限


不適切な権限は攻撃者への扉を開きます:


  • ファイル:644
  • フォルダー:755
  • app/etc/env.php は決して公開アクセス可能にしてはいけません

4. データベースセキュリティ


  • デフォルトのテーブルプレフィックスを変更
  • SQLアクセスに強力なパスワードを使用
  • データベース接続の許可IPを制限

5. RedisとVarnishの設定


  • Redisアクセスを認証
  • Varnishの許可IPを制限
  • キャッシュ接続にTLSを使用

6. XSSおよびCSRF攻撃からの保護


Magento 2にはネイティブ保護機能が含まれていますが、以下を確認:


  • XSSバリデーターがアクティブであること
  • すべてのフォームでCSRFトークンが生成されていること
  • カスタムモジュールがこれらのメカニズムを尊重していること

7. 決済セキュリティ


  • 決済モジュールがPCI DSSを使用していることを確認
  • カード決済に3D Secure(SCA)を有効化
  • サーバーにクレジットカードデータを保存しない

8. Web APIとGraphQL


APIは一般的な攻撃ベクトルです:


  • 統合キーによるAPIアクセスを制限
  • レート制限を有効化
  • すべてのGraphQL入力を検証

9. ログと監視


  • 失敗したログイン試行のログ記録を有効化
  • New Relicまたは同等のツールで異常を検出
  • ログを最低90日間保持

10. TLS/SSL証明書


  • 証明書が有効で最新であることを確認
  • 最低TLS 1.3を使用
  • すべてのHTTPトラフィックをHTTPSにリダイレクト

11. Captchaとボット対策


Magento 2にはGoogle reCAPTCHA v3が含まれています。以下で有効になっていることを確認:


  • ログインフォーム
  • 登録フォーム
  • パスワード忘れフォーム

12. バックアップと復旧計画


  • ファイルとデータベースを毎日バックアップ
  • バックアップをオフサイトに保存(S3など)
  • 四半期に最低1回は復元をテスト

13. 非アクティブなユーザーアカウント


  • 毎月管理者アカウントを監査
  • 非アクティブなアカウントを削除または無効化
  • API統合アカウントの権限を確認

14. CSP(Content Security Policy)


  • XSS攻撃を防ぐために厳格なCSPを実装
  • ブロッキングモードを適用する前にレポートモードでテスト
  • Magento 2のCSPモジュールを使用

15. 外部脆弱性スキャン


  • 脆弱性スキャナーを使用(Sucuri、Qualys)
  • 年次のペネトレーションテスト(ペンテスト)を実施
  • CVE(共通脆弱性識別子)を追跡

ストアのセキュリティは継続的なプロセスです。Magento 2およびAdobe Commerce向けの包括的なセキュリティ監査を実施しています。サイトを保護するためにお問い合わせください。