EC Site Security Basics: 7 Steps to Cover the Minimum

ECサイトのセキュリティ事故は1件あたり平均 約3,860万ドル相当 の損害につながります（出典：IBM Cost of a Data Breach Report 2024）。日本国内でも個人情報漏洩は年々増加し、ECサイトを狙ったクレジットカード情報の不正取得は警察庁の重点監視テーマになっています。

とはいえ、対策そのものは難しくありません。 SSL常時化／二要素認証／強固なパスワード／PCI DSS準拠決済／定期バックアップ／不要アプリの棚卸し／不正注文検知 の7ステップを順番に潰せば、中小ストアレベルのリスクは8割カバーできます。

このガイドのゴール

ゴール：ストアオーナーが1人で30分以内に7ステップを完了させ、ECサイトの最低限のセキュリティラインを越えること。Shopifyを前提にしていますが、考え方は他のECプラットフォームにも応用可能です。

完了時には、以下の状態になります。

ストア全体がHTTPSで提供され、ブラウザに鍵マークが出ている
管理画面ログインに二要素認証が必須化されている
決済はPCI DSS準拠のプロバイダー経由で処理される
顧客データのバックアップ体制が整い、復旧手順が明確
不要なアプリや古い拡張機能が棚卸しされている
不正注文の検知ロジックが稼働している

前提条件

Shopifyの管理者アカウントを保有している
ストアオーナーまたは Owner 権限のスタッフアカウント
スマートフォン（Authenticatorアプリ用）
パスワード管理ツール（1Password、Bitwardenなど）
30分のまとまった作業時間

パスワード管理ツールは無料の Bitwarden でも十分です。ブラウザ標準のパスワード保存機能だけに頼ると、デバイス紛失時のリスクが高くなります。

セキュリティ対策の7ステップ

Step 1: SSL/HTTPS が常時化されているか確認する

Shopifyは標準で全ストアにLet's EncryptのSSL証明書を提供しており、HTTPSは自動有効化されています。ただし、独自ドメインを後から追加した場合、まれに証明書発行が遅れていることがあります。

1
管理画面の「設定→ドメイン」を開く
Shopify管理画面の左下「設定」から「ドメイン」を選択します。登録ドメインの一覧が表示されます。
2
各ドメインのSSL状態を確認する
ドメイン名の横に「SSL有効」の表示があるか確認しましょう。「保留中」の場合は、最大48時間待つか、Shopifyサポートに連絡します。
3
ブラウザで実際にアクセスして鍵マークを確認
Chrome や Safari でストアURLを開き、アドレスバーに鍵マーク（または「保護された通信」表示）が出ていることを確認します。

独自ドメインを外部レジストラ（お名前.com・ムームードメインなど）で取得した場合、 DNS設定でCNAMEレコードがshops.myshopify.comを指している必要があります 。指定が誤っているとSSL証明書が発行されません。

出典：Shopify ヘルプセンター — SSL証明書

Step 2: 管理画面の二要素認証を有効化する

ECサイトのセキュリティ事故で最も多いのが、管理画面のパスワード単体での突破です。 二要素認証（2FA）を有効にすればこのリスクはほぼゼロになります 。

1
アカウント設定を開く
Shopify管理画面の右上のアカウントアイコン →「マネジメントアカウント」を選択します。
2
「セキュリティ」タブから二要素認証を有効化
「2段階認証」セクションの「ターンオン」をクリックします。認証方法を選択しましょう（推奨は Authenticator アプリ）。
3
Authenticator アプリでQRコードを読み取る
Google Authenticator、Microsoft Authenticator、Authy などのアプリでQRコードをスキャンします。生成された6桁のコードを入力します。
4
リカバリーコードを必ず保存する
リカバリーコードが表示されるので、 必ずパスワード管理ツールに保存 しましょう。スマホ紛失時の最後の手段になります。
5
全スタッフアカウントにも適用
「設定→ユーザーと権限」から、全スタッフに2FA有効化を依頼します。Shopify Plusなら全スタッフへの強制適用も可能です。

SMS認証は SIMスワップ詐欺 のリスクがあるため、Authenticatorアプリ方式を強く推奨します。SMSは「他の方法が使えないときの最後の手段」と捉えましょう。

出典：Shopify ヘルプセンター — 2段階認証

Step 3: パスワード運用を強化する

二要素認証を有効にしても、パスワード自体が弱ければ突破リスクは残ります。以下の3点を必ず守りましょう。

01
パスワード管理ツールで自動生成
16文字以上、英大文字・小文字・数字・記号を含むランダム文字列を、1Password / Bitwarden などで生成します。覚えなくていいので楽です。
02
使い回しを完全に廃止
他のサービスと同じパスワードを使うと、他サービスの漏洩が即ECサイトの侵入につながります。ストア用パスワードは絶対にユニークにしましょう。
03
定期的なローテーションよりも漏洩監視
昔は「90日ごとに変更」が推奨でしたが、現在のNIST勧告では 頻繁な強制変更は逆効果 とされています。代わりに Have I Been Pwned で自分のメールアドレスが漏洩していないか月1回チェックしましょう。

Step 4: 決済はPCI DSS準拠プロバイダーを使う

クレジットカード情報の取り扱いには PCI DSS（Payment Card Industry Data Security Standard） という国際基準があり、自社サーバーでカード情報を保存・通過させる場合は厳格な認証が必要です。Shopify の場合、 Shopify Payments を使えば自動的にPCI DSS Level 1（最高基準）に準拠 できます。

セキュアな決済画面のイメージ

1
決済方法を確認する
「設定→決済」を開き、現在有効になっている決済プロバイダーを確認します。
2
非準拠のプロバイダーを除外
PCI DSSに準拠していない独自決済を直接連携している場合は、Shopify Payments、PayPal、Stripe など 準拠済みの主要プロバイダー に切り替えましょう。
3
チェックアウトのカスタマイズはアプリを使う
カード入力画面を独自実装しようとするとPCI DSS準拠の責任が自社に移ります。Shopify公式のチェックアウト拡張アプリを使うのが安全です。

出典：Shopify Payments — PCI DSS準拠、PCI Security Standards Council

日本の決済代行サービス（GMOペイメントゲートウェイ・SBペイメントサービス・KOMOJU など）もすべてPCI DSS準拠済みです。これらを経由する場合も同様に安全です。

Step 5: 顧客データのバックアップ体制を整える

Shopify自体が顧客データのバックアップを取っていますが、 マーチャント側で復旧できる形でのバックアップは別途必須 です。アプリやAPIで意図せず大量削除した場合、Shopifyに依頼しても復旧できないケースがあります。

1
顧客データを月1回エクスポート
「顧客管理→エクスポート」からCSVをダウンロードします。Google DriveやDropboxの専用フォルダに保存しましょう。
2
商品データを月1回エクスポート
「商品管理→エクスポート」で全商品データもCSVで保存します。在庫数・SKU・バリエーションが含まれます。
3
バックアップアプリを導入（推奨）
Rewind Backups や BackupMaster Backups などのバックアップアプリを使えば、商品・テーマ・ブログ記事までを自動で日次バックアップできます。月額9〜30ドル程度です。

Shopifyの「バックアップから復元」機能は存在しません 。データを削除した場合、復旧手段は手動入力かバックアップアプリのみです。テーマも同様で、編集前に必ず複製を作る習慣をつけましょう。

Step 6: 不要なアプリ・拡張機能を棚卸しする

ECサイトのセキュリティ穴は、本体ではなく 連携している第三者アプリから入る ことが多いです。インストールしたまま使っていないアプリは、データへのアクセス権限を持ち続けるため、削除すべきです。

アプリ棚卸しのイメージ

1
アプリ一覧を開く
「アプリ→設定→アプリと販売チャネル設定」を開きます。インストール済みアプリの一覧が表示されます。
2
3ヶ月以上使っていないアプリを削除
各アプリの「最終使用日」を確認し、3ヶ月以上アクセスしていないアプリは削除しましょう。削除前にデータエクスポートを推奨します。
3
残すアプリの権限を確認
アプリ詳細画面で「データアクセス」を確認します。顧客情報・注文データ・商品情報のどれにアクセスできるか把握しましょう。不要に広い権限を持つアプリは要注意です。

新規アプリインストール時は、開発者の信頼性（公式パートナー・レビュー数・更新頻度）と、要求する権限の妥当性を必ずチェックしましょう。「必要以上に広い権限を要求するアプリ」は赤信号です。

Step 7: 不正注文検知を有効化する

カード不正利用は、ECサイトにとって金銭的損失と決済アカウント停止リスクの両方を抱える深刻な問題です。Shopify Paymentsは標準で Shopify Fraud Protect という不正検知機能を提供しています。

1
Fraud Protect を有効化
「設定→決済→Shopify Payments→不正対策」で Fraud Protect をオンにします。Shopify Plusは追加コストなしで利用可能です。
2
リスクスコアを注文画面で確認する習慣
各注文画面に「不正リスク」セクションが表示されます。 High Risk マークがついた注文は、発送前にお客様への確認電話やメールを行いましょう。
3
不正検知アプリで補強
Signifyd や NoFraud など、機械学習ベースの専門アプリでさらに精度を上げられます。月商500万円超のストアは検討価値があります。

出典：Shopify ヘルプセンター — 不正分析

トラブルシューティング

Step 2 で保存したリカバリーコードを使いましょう。リカバリーコードも失った場合は、Shopifyサポートに身分証明書を提出して本人確認を受ける必要があります。復旧まで数日かかることがあるので、リカバリーコードの保管は最重要です。

DNS設定の問題が大半です。「設定→ドメイン」でドメインの詳細を開き、CNAMEレコードが shops.myshopify.com を指しているか、ドメインレジストラの管理画面で確認しましょう。それでも解決しない場合はShopifyサポートにチケットを起票してください。

まずは月1回の手動CSVエクスポートで運用を始めましょう。商品数が500点を超え、頻繁な更新が発生する規模になってからバックアップアプリ（月額9〜30ドル）を検討するとよいです。データ消失リスクと運用コストの天秤で判断しましょう。

注文金額のしきい値を決めて運用負荷を下げましょう。「3万円以上のHigh Risk注文のみ手動確認、それ以下は自動キャンセル」のようなルールを社内で定めるとスムーズです。Shopify Flow（Shopify以上のプラン）で自動化も可能です。

アプリ削除の前に、 テスト用のスタッフアカウント を作成してアプリの動作を1週間観察するのが安全です。本当に不要だと判断できたら削除しましょう。テスト中に問題が起きなければ削除して問題ありません。

応用：次にやること

7ステップを完了したら、次はもう一段階上のセキュリティ対策に進みましょう。

01
WAF（Web Application Firewall）の検討
DDoS攻撃やSQLインジェクションから守るWAFは、Shopify Plusだと標準提供されています。それ以外のプランではCloudflareを別途契約することで補えます。
02
プライバシーポリシー・特定商取引法表示の整備
セキュリティ対策と同時に、法的な情報開示も整えましょう。Shopifyには標準のポリシージェネレーターがありますが、日本の特定商取引法に合わせたカスタマイズが必要です。
03
サイバーセキュリティ保険の加入検討
月商1,000万円を超えたら検討するとよいです。情報漏洩・不正アクセスによる損害を補填する保険商品が複数あります。月額数千円から加入可能です。