セキュリティスキャン
Adobe Commerce サイトとMagento Open Source サイトでセキュリティのリスクやマルウェアを監視し、セキュリティの更新や通知を受け取ります。
- ストアのリアルタイムのセキュリティステータスに関するinsightを取得します。
- 問題を解決するのに役立つ、ベストプラクティスに基づいた提案を受け取ります。
- 毎週、毎日、またはオンデマンドで実行するようにセキュリティスキャンをスケジュールします。
- 21,000 を超えるセキュリティテストを実行して、潜在的なマルウェアを特定します。
- サイトの進行状況を追跡および監視する履歴セキュリティレポートにアクセスします。
- 成功したチェックと失敗したチェックを表示するスキャン レポートにアクセスします。推奨されるアクションも表示されます。
セキュリティスキャンツールは、Commerce/Magento アカウントのダッシュボードから無料で利用できます。 Commerce技術情報については、2}Cloud Infrastructure ガイドのセキュリティスキャンツールの設定を参照してください __
セキュリティスキャンを実行
-
Commerceのホームページから、Commerce/Magento アカウントにログインします。
-
セキュリティ スキャン ツールの使用条件を確認し、同意します。
- 左側のパネルで「Security Scan」を選択します。
- 「Go to Security Scan」をクリックします。
- Terms and Conditions を読んでください。
- 「Agree」をクリックして続行します。
-
Monitored Websites ページで「+Add Site」をクリックします。
異なるドメインを持つ複数のサイトがある場合は、ドメインごとに個別のスキャンを設定します。
-
確認コードを追加してサイト ドメインの所有権を確認するには、次のいずれかの操作を行います。
Commerce ストアフロント:
-
Site URL と Site Name を入力します。
-
「Generate Confirmation Code」をクリックします。
-
「コピー」をクリックして、確認コードをクリップボードにコピーします。
-
完全な管理者権限を持つユーザーとしてストアの管理者にログインし、次の手順を実行します。
-
管理者 サイドバーで、Content/Design/Configuration に移動します。
-
リストでサイトを見つけて、「Edit」をクリックします。
-
「
-
Scripts and Style Sheets までスクロールし、既存のコードの末尾にあるテキストボックスをクリックします。 確認コードをテキストボックスに貼り付けます。
-
完了したら、「Save Configuration」をクリックします。
-
PWA ストアフロント:
-
Site URL と Site Name を入力します。
-
Confirmation Code の場合は、
META Tagオプションを選択し、「Generate Code」をクリックします。 -
「Copy」をクリックして、生成された確認コードの META タグをクリップボードにコピーします。
-
PWA Studio ストアフロントのプロジェクトディレクトリに移動して、次の手順を実行します。
-
PWA Studio プロジェクトディレクトリの下で、
packages > venia-concept > template.htmlに移動します。 -
コピーした確認コード(生成された META タグ)をHTMLの先頭に追加し、変更内容を保存します。
-
PWA Studio CLI に戻り、yarn を使用してプロジェクトの依存関係をインストールし、project build コマンドを実行します。
code language-sh yarn install && yarn build -
クラウドプロジェクトで、
pwaフォルダーを作成し、ストアフロントプロジェクトのdistフォルダー内にコンテンツをコピーします。code language-sh mkdir pwa && cp -r <path to your storefront project>/dist/* pwa -
Git CLI ツールを使用して、これらの変更をステージング、コミットし、クラウドプロジェクトにプッシュします。
code language-sh git add . && git commit -m "Added storefront file bundles" && git push originビルドプロセスが完了すると、変更内容がPWA ストアフロントにデプロイされます。
-
-
-
Commerce アカウントの Security Scan ページに戻り、「Verify Confirmation Code」をクリックしてドメインの所有権を確立します。
-
確認が正常に完了したら、次のいずれかのタイプで Set Automatic Security Scan のオプションを設定します。
毎週スキャン (推奨):
毎週スキャンを実行する Week Day、Time、Time Zone を選択します。
デフォルトでは、スキャンは毎週午前 0 時(土曜日、UTC)に開始され、毎週早朝(日曜日)まで継続するようにスケジュールされています。
毎日スキャン:
Time を選択し、スキャンが毎日実行されることを Time Zone 認します。
デフォルトでは、スキャンは毎日、午前 0 時(UTC)に開始するようにスケジュールされています。
-
完了したスキャンとセキュリティ更新の通知を受信する Email Address を入力します。
-
完了したら、「Submit」をクリックします。
ドメインの所有権が確認されると、そのサイトはCommerce アカウントの監視対象 Web サイトリストに表示されます。
-
異なるドメインを持つ複数の web サイトがある場合は、このプロセスを繰り返して、それぞれのセキュリティスキャンを設定します。
スキャン エラーの管理
セキュリティスキャンツールを使用すると、レポート表示から直接スキャンの失敗を管理できます。 特定のスキャンの失敗を偽陽性としてマークし、リスクスコアから除外することができます。
スキャン エラーを管理する利点
スキャンの失敗を管理することで、次の方法でストアのセキュリティの概要をより正確に維持できます。
- セキュリティレポートでの誤検出を減らす。
- 注意が必要な関連するセキュリティ問題に焦点を当てます。
- ストアの真のセキュリティ・ステータスをより明確に把握する。
- 既知の偽陽性について、サポートへの連絡を不要にします。
- 既に調査したスキャンの失敗を自己管理することで、時間を節約できます。
スキャンの失敗を偽陽性としてマークする一般的なシナリオを次に示します。
- 既にセキュリティパッチを適用していて、スキャンツールが検出されなかった場合。
- 検出された問題が特定のストア設定に適用できない場合。
- 問題に対処する別のセキュリティ対策を実装した場合。
- スキャンエラーが、ビジネスニーズに合わせて意図的に設定した設定に基づいている場合。
スキャン エラーを無視する
誤検出と識別されたスキャンエラーを管理するには、次の手順に従います。
-
Monitored Websites ページで、管理するサイトの View Report をクリックします。
-
レポート ビューで、誤検出としてマークする失敗したスキャンを見つけます。
-
特定のスキャン エラーの Ignore をクリックします。
-
「Apply Changes」をクリックして選択内容を保存します。
無視されたスキャンエラーは Ignored Results のセクションに移動し、リスクスコアから除外されます。
スキャンの失敗を無視しない
以前に無視したスキャンの失敗をアクティブなモニタリングに復元する必要がある場合は、次の手順に従います。
-
レポート ビューで、[Ignored Results] セクションまでスクロールします。
-
復元するスキャン エラーの Stop Ignoring をクリックします。
-
「Apply Changes」をクリックして選択内容を保存します。
スキャンの失敗は Failed Scans のセクションに戻り、リスクスコアに含まれます。
無視されたスキャン エラーの表示
無視された結果は、レポートの別のセクションに表示され、リスクスコアはアクティブなスキャンエラーのみを反映するように自動的に更新されます。 変更を適用する前に複数の項目を選択することで、複数のスキャン失敗を一度に管理できます。
