小売り、EC担当者がいま押さえるべき「勝ち抜くサイト運営」の最新常識まとめPCI DSS v4.0、Cookie規制対応、SEO、カードスキミング対策……

多くの顧客を呼び込み、快適で安心して利用できるECサイトを運営するには、最新のサービス配信基盤やセキュリティを含む技術動向、業界標準やルール改定への理解が必要だ。いまECサイト担当者が知るべきトピックと事例を見ていく。

» 2022年04月06日 10時00分 公開
[PR/ITmedia]
PR

 コロナ禍を経て顧客の購買行動は一気にオンラインにシフトした。小売業界各社もオンラインでの商機を生かすべく、ECサイト運営に力を注ぐ。いまやECサイトは重要な顧客接点であり、客にとってもWebは魅力的な商品に出会い、効率良く入手するための場だ。

 ECのような直接商品を販売するサービスだけでなく、実店への誘導を図るオンライン・ツー・オフライン、B2BビジネスにおけるデジタルマーケティングなどにもWebは活用される。Webは非常に効果的なビジネス活動の場であり、Webでの顧客体験を最大化することで新しい競争力を獲得する可能性もある。

 企業のECサイト運営担当者がこのトレンドに乗り遅れずに効果を最大化するには、ECビジネスが直面する課題を把握し、対処する必要がある。特に「UX改善とSEO最適化」「最新ルールへの対応」「最新セキュリティ対策」の3点は必須だ。

アカマイ・テクノロジーズ 中西一博氏

 2022年3月11日、オンラインイベント「リテールDXカンファレンス2022」(リテール総合研究所主催)が開催された。このうち「競争に勝てるSEO 顧客体験の最適化のヒントと情報漏えい対策」と題したセッションでは、アカマイ・テクノロジーズの中西一博氏(プロダクト・マーケティング・マネージャー)がWebビジネスの課題やセキュリティリスクのトレンドとその解決策を解説した。

 アカマイは、世界中に分散配置したWebキャッシュサーバを使い、Webリクエストへの負荷分散と最適なコンテンツ配信を実現する「Intelligent Edge Platform」サービスを提供している。「Intelligent Edge Platformは世界有数の小売事業者や流通事業者に採用されている」(中西氏)

UX改善とSEO最適化:Googleの新しいUX指標は顧客満足度に直結する

 2021年6月から、Googleはサーチエンジンの検索順位の評価指標として「Core Web Vitals」を導入した。これはユーザー体験(UX)に直結する「Webサイト利用者の体感」を数値化して評価するという試みだ。

 ページ内で最も大きなコンテンツが表示されるまでの時間を表す「Largest Contentful Paint」(LCP)、クリックなどページの入力操作に対して応答するまでの時間「First Input Delay」(FID)、ページの読み込み途中におけるレイアウトの移動量「Cumulative Layout Shift」(CLS)という3つの指標で構成される。この値が悪いWebサイトはWeb検索サービスのランキングで不利になる。

Core Web Vitalsの3つの指標(出典:中西氏の講演資料)

 これらの指標はいずれもWebサイトのユーザー体験を考える際の基礎であるため、これらの指標を改善すればECの収益力改善にもつながる。

 実際に、英VodafoneはLCPを31%高速化したことで、カートのコンバージョン率が11%も向上し、売り上げを8%伸ばした。Yahoo! JapanはCLSがPoorと評価されたページの98%を削減したところ、セッション内のPVや滞在時間が10数%も向上し、直帰率も改善した。

 この問題の改善に使えるのが「Akamai mPulse」(mPulse)だ。mPulseは、Core Web Vitalsの指標をはじめとするユーザーの体感速度に関わるWebサイトのパフォーマンスを計測して数値化し、可視化するツールだ。パフォーマンス悪化の要因を特定し、改善策がコンバージョン率、Webサイトの収益などのビジネス指標に与える影響を簡単にシミュレートできるので、対策の優先順位を判断しやすい。

 眼鏡などのアイウェアを提供する「JINS」を運営するジンズホールディングスはmPulseでJINSオンラインショップをモニタリングし、日々更新されるWebサイトのパフォーマンスの課題点と改善ポイントを可視化している。一例として外部スクリプトの読み込み遅延を発見し、ページの描画を大幅に高速化してUXの改善に成功した。

 この他、「Akamai Image & Video Manager」(IVM)も、体感速度向上に寄与する定番の機能だ。コンテンツの用途や見せ方、デバイスなどに合わせて画像や動画の品質を保ちつつデータ量を削減し、Webキャッシュと合わせて配信する。元の画像データから人間が知覚できない部分のデータを削減するというアカマイ独自の技術が使われている。このため、IVMは画像や動画の品質にこだわる化粧品、アパレル、自動車、飲食などの分野でも高く評価されている。薬用化粧品に注力するアイムは、画像配信にIVMを導入したことで画像のデータ量を最大で70%も削減でき、ページ表示速度が上がった結果、検索エンジンのスコアが大幅に向上した。

最新ルールへの対応:Cookie規制対応とPCI DSS v4.0対応を一度に実現する方法

 アカマイのエッジサーバは、単純なWebキャッシュサーバとしての機能だけでなく、IVMのような複雑なエッジコンピューティング処理も担う。この仕組みを一般の開発者にも開放するサービスが「Akamai EdgeWorkers」(EdgeWorkers)だ。アカマイが保有する約35万台のエッジサーバに独自のスクリプトなどのプログラムを配置して配信できる。

 この仕組みをCookie規制対策に活用したのが、アパレル製品のマーケットプレース「BUYMA」を運営するエニグモだ。同社はトラフィックの負荷分散とCookie規制に対応したユーザートラッキングを実現するため、EdgeWorkersを活用している。

 同社サイトはCookieの規制強化に対応するため、従来はWebブラウザで実行していたファーストパーティーCookie発行処理をWebサーバに移行した。ただし、アクセス集中緩和策として単純にWebキャッシュを使うと、Cookieのひも付けがうまく動作しなくなってしまうという問題があった。そこで、ハッシュキー付与の処理をWebサーバからEdgeWorkersを介してエッジサーバに移行することでユーザートラッキング機能を維持し、アクセス集中の緩和と両立に成功した。

エニグモにおけるAkamai EdgeWorkersの活用例(出典:中西氏の投影資料)

 ECサイト運営では、UXと同様に金銭窃取に直結するクレジットカード情報の保護が重要な課題 の一つだ。国内でも2021年に72件の“Webスキミング”被害が公表されており、2020年に比べて1.7倍近い件数に上っている。しかも、カード情報を「非保持化」して、決済代行事業者に処理を委託して対策しているはずなのに流出しているというのだ。これまで安全とされてきた3Dセキュアもスキミング手法で盗み取られているという。

 Webスキミングでは、Webサイトのコンテンツを改ざんしたりサードパーティー製スクリプトを改ざんしたりして、悪意のあるプログラムをWebブラウザに読み込ませ、Webブラウザの中で情報を抜き取る手法が主流だ。この手法はWebサーバやWebアプリケーションファイアウォール(WAF)では検知や対策がしにくい。アンチウイルスソフトでも検出しにくく、仮に検知できたとしてもWebアプリケーションの管理者が直接検知結果を把握できないので、問題を認知して取り除けない点が課題だった。

Webスキミング対策の動作イメージ(出典:中西氏の投影資料)

 クレジットカードのセキュリティ標準である「PCI DSS」の最新版「PCI DSS v4.0」(2022年3月末リリース予定)には、この種の問題への対策として新たに「一般消費者向けカード支払い用Webページに関する要件」が設けられる予定だ。今後PCI DSSへの対応をうたうには、Webブラウザに読み込ませるスクリプトをサービス提供者が適切に管理する必要がある。

 新たなコンプライアンスの要件にも対応するソリューションとして、アカマイは、クライアント側で稼働するWebスキミング攻撃を検知する「Page Integrity Manager」を提供している。アカマイのエッジサーバからコンテンツを配信するときに検知用スクリプトを追加して、Webブラウザ内で攻撃を検知する仕組みだ。

 「ファーストパーティー製かサードパーティー製かを問わず、Webブラウザで動作するスクリプトの通信や振る舞い監視できる点が強み。配信元がどこかによらず、読み込んだコンテンツに問題があればWebアプリケーションの管理者にアラートを発するので問題を把握しやすい」(中西氏)

最新のWebセキュリティ対策:WAF以上の機能を提供する

 EC運営に当たっては、Webサーバの脆弱(ぜいじゃく)性を突く攻撃にも注意が必要だ。2021年末に報告された「Log4j」の脆弱性は、攻撃者がリモートから任意のプログラムを実行できてしまうものだった。中西氏によると「アカマイのユーザーサイトの約6割で、Log4jのゼロデイ攻撃の試行を観測した。Webサイトへの攻撃だけでなく、Web APIサーバへの攻撃試行も観測している」という。こうしたWebサイトへのゼロデイ攻撃も、従来型のWAFだけでは防御し切れないため多層的なサーバサイドセキュリティが必要だ。

 アカマイの「App & API Protector」は、WebサイトやWebブラウザベースのWebアプリケーションへの攻撃だけでなく、APIへの攻撃やbotによる攻撃を可視化し、攻撃を緩和する機能を提供する。攻撃検知エンジンはAI(人工知能)を使ってサイトの状態に合わせて検知ルールをチューニングする機能やルールアップデートなどの運用を自動化する機能を搭載しているため、高い技術スキルがなくても利用できる。

 「App & API Protectorの多層防御の仕組みが、Log4Shellに対しても有効に機能した。例えば、アカマイが世界中から収集する情報を基にリスクがあるアクセスをブロックする『クライアント・レピュテーション』が効果を発揮し、Log4jの脆弱性に対応したWAFルールを適用する前から攻撃を検知して自動でブロックしていた」(中西氏)

 アカマイの技術チームは脆弱性の調査において高い成果を挙げたことでも知られる。「今回、アカマイ日本オフィスのLog4j緊急対策チームは、DoSにつながる新たな脆弱性を報告し、Apache Software Foundationから正式な発見者としてクレジットされた」(中西氏)

 コロナ禍を経て購買行動のオンラインシフトが進んだことから、小売業界におけるECサイト運営の重要性は以前にもまして高まっている。アカマイはWebサイトパフォーマンスやセキュリティリスクを分析する簡単な無料診断サービスも提供しており、最新の技術動向に基づいた安全で快適なサービス提供を支援している。現在のECサイトの状態を把握するためにも、まず相談してみてはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:アカマイ・テクノロジーズ合同会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2022年4月19日