楽天RMSサービススクエア参画に備えるセキュリティ対策とWAF選定

楽天RMSサービススクエアとは？店舗運営支援サービスの概要

楽天RMSサービススクエアは、楽天市場に出店する店舗向けに、サードパーティ製の運営支援ツールやサービスを提供するプラットフォームです。
楽天市場の店舗管理システム「RMS（Rakuten Merchant Server）」と連携し、在庫管理、受注処理、顧客分析、広告運用など、EC店舗運営に必要な様々な機能を提供するツールが集約されています。

RMSサービススクエアは、楽天市場の多くの店舗で利用されているため、楽天市場に出店する企業にとって注目のサービスとなっています。

また、ツールベンダーにとってRMSサービススクエアは、楽天という強力なブランド力と巨大な顧客基盤を活用できる重要な販路といえます。
ただし、RMSサービススクエアへ参加するには楽天が定める審査基準をクリアする必要があり、サービス品質やセキュリティ対策についても一定の水準が求められます。

RMSサービススクエア参加企業におけるセキュリティの重要性

楽天RMSサービススクエアでは、楽天市場に出店する店舗様が安心してサービスを利用できるよう、楽天RMSサービススクエア参加企業に対していくつかの基準を設けています。

厳選された企業だけが参加できる仕組み

楽天RMSサービススクエアは、楽天が定める安心・安全の基準を満たした参加企業が提供するサービスのみで構成されています。
その要件として、楽天市場の戦略や楽天RMSの仕様を理解し、店舗様に真に価値のあるサービスを提供できる信頼性の高い企業のみが選ばれています。

参加企業に求められるセキュリティ水準

楽天RMSサービススクエア参加企業においても、店舗様に迷惑をかけないよう、楽天市場のガイドラインを守っていただく必要があるとされています。

また、RMSサービススクエアへの参加申請時には、サービス概要とともに情報セキュリティ対策に関する書類の提出も必要とされています。

引用：楽天RMSサービススクエア参加企業向けホームページ

これらの取り組みから、楽天RMSサービススクエアのホームページ上には直接的にセキュリティツールの導入に関する記述はないものの、楽天RMSサービススクエアに参加するにあたり、一定のセキュリティ水準を担保することが前提条件となっていることが読み取れます。

EC事業支援会社に求められるセキュリティ

楽天RMSサービススクエアに限らず、ECサイト運営を支援するWebサービスを提供する企業はいままで以上にセキュリティ対策が求められるようになってきています。
その背景には、EC事業特有のリスクとツールベンダーが担う責任の重さがあります。

サービス利用者の信頼を失うWebサービスの脆弱性とは

SaaSなどの、インターネット経由で利用できるWebサービスは、SQLインジェクション、クロスサイトスクリプティング（XSS）、認証回避などの脆弱性が深刻な問題となります。
これらの脆弱性が悪用されると、不正アクセスやデータ改ざんが発生し、セキュリティインシデントとなり利用企業の事業継続に直接的な影響を与えます。

特に在庫管理システムや受注管理ツールにおいて脆弱性が存在すると、商品情報の改ざんや注文データの漏洩により、利用店舗の売上に直結する損害が発生する可能性があります。

一度でもセキュリティインシデントが発生すると、ツールベンダーへの信頼は大きく損なわれ、既存顧客の離脱や新規獲得の困難に直面することになります。

個人情報漏洩に繋がる代表的なサイバー攻撃

EC事業支援ツールが標的となる主なサイバー攻撃には、以下のようなものがあります。

SQLインジェクション攻撃は、Webアプリケーションの入力フォームやURLパラメータに悪意のあるSQL文を注入し、データベースから顧客の個人情報や取引データを直接盗取します。
在庫管理や受注管理システムでは、商品情報だけでなく購入者の氏名、住所、電話番号等の機密情報が標的となります。

SQLインジェクションを詳しく解説 >

クロスサイトスクリプティング（XSS）攻撃は、Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。
利用者のブラウザ上で不正なスクリプトが実行され、セッション情報や入力データが攻撃者に送信される可能性があります。

クロスサイトスクリプティング（XSS）を詳しく解説 >

ツール提供者として果たすべきセキュリティ責任

EC事業支援ツールの提供者は、単なるツールベンダーではなく、利用企業のビジネスインフラを支える重要なパートナーとしての責任を負っています。

顧客から預かる個人情報や取引データの保護、サービスの安定稼働、そして万が一の際の適切な対応など、これら一連の対策が利用企業様からの信頼につながります。
しかし、どれだけ内部体制を整えても、Webアプリケーションのプログラムそのものの穴（脆弱性）を狙う巧妙な攻撃までは防ぎきれません。
例えば、SQLインジェクションやXSSといった攻撃は、一般的なファイアウォールをすり抜け、アプリケーションに直接致命傷を与えるからです。

そのようなWebアプリケーションを狙った攻撃を効果的に防御するセキュリティツールがWAFであり、多くのEC事業支援ツールの提供者が導入しています。

RMSサービススクエア参加企業も導入するWAFとは？

楽天RMSサービススクエアの公式ホームページ上にはWAFの導入についての記載はありませんが、楽天RMSサービススクエアに参加する企業様の中で自社ツールのセキュリティ対策として、WAFを導入している企業が多いです。
ここではWAFについて簡単に解説します。

WAFの基本概念と役割

WAF（Web Application Firewall、読み方：ワフ）は、WebサイトやWebアプリケーションに特化したセキュリティツールです。従来のファイアウォールがネットワーク層での通信制御を行うのに対し、WAFはHTTP/HTTPSトラフィックの内容を詳細に解析し、アプリケーション層での攻撃を検知・遮断します。

特にSaaS型のEC支援ツールでは、Web経由で様々なデータのやり取りが行われるため、アプリケーション層を狙った攻撃のリスクが高く、WAFによる保護が不可欠となっています。

WAFについて詳しくはこちら >

WAF選定時の3ポイント

WAFには様々なタイプがあるため、ここでは重要な3つの選定ポイントを解説します。

1つ目は、WAFの種類です。WAFは物理機器を設置するオンプレミス型、サーバに直接インストールして使うソフトウェア型、クラウドで導入できるクラウド型があります。
それぞれに特徴があるため、自社の環境に適したWAFを選ぶことが最重要といえます。

WAFの種類についてはこちらで詳しく解説 >

2つ目は、サポート体制です。既存サービスに影響なく、適切に導入するための支援やインシデント発生時のサポート体制は極めて重要です。攻撃を受けた際に、24時間365日体制で専門家が原因分析や具体的な対策を迅速に提案してくれるかを確認しましょう。このような手厚いサポートが、担当者の負担を軽減し、WAFの効果を最大限に引き出す鍵となります。

3つ目は、運用工数です。WAFの運用にどれくらい手間がかかるかも重要なポイントです。WAFの種類によっては、攻撃から守るためのルールを自社で常に更新する必要があり負担が大きくなります。
その点、クラウド型WAFならWAFサービス提供会社が自動でルールを最新の状態に保ってくれるため、運用負担を大幅に削減でき、本来の業務に専念できます。

 

これらの3点を踏まえ、楽天RMSサービススクエアに参加しているグリニッジ株式会社が導入しているのが、クラウド型WAF攻撃遮断くんです。

導入事例：株式会社グリニッジ

楽天RMSサービススクエアに参加しているグリニッジ株式会社は、自社サービスのセキュリティ強化を目的としてWAF（攻撃遮断くん）を導入しています。

↓グリニッジ株式会社様のコメント引用
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
攻撃遮断くんの稼働状況をお聞かせください。

アクセス速度のパフォーマンスに問題はなく、当社のサービスを利用されているお客様からの問い合わせもありません。セキュリティだけをしっかり向上させることができたという印象です。
最初のインストール時、正常に遮断してくれないところが一部ありましたが、サポートの素早い対応によってすぐに解決しました。それ以降は特に問題ありません。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

グリニッジ株式会社様導入事例はこちら >

楽天RMSサービススクエアに限らず、EC事業支援ツールを提供する企業にとって、WAFの導入は顧客からの信頼獲得と事業継続性の確保において重要な投資となっています。

月額1万から始める、クラウド型WAF「攻撃遮断くん」

攻撃遮断くんはEC事業者向け支援ツールなどの業務アプリケーションを含め、業種業界問わず、累計20,000サイト以上の導入実績を持つクラウド型WAFです。
月額1万円から始めることができ、PayPalなど決済プラットフォームを活用するECサイトなどにも多数導入されています。
24時間365日の日本語サポート体制をもち、専任のサポートチームが対応するためセキュリティ知識がなくとも導入が可能です。
攻撃遮断くんについて、詳しく知りたい方はこちらより資料ダウンロードが可能です。