ECサイト大手5社のセキュリティスコア比較
決済情報や個人情報を大量に扱うECサイト大手5社のWebセキュリティ設定を比較しました。
| 企業 | ドメイン | スコア | ランク |
|---|---|---|---|
| Amazon Japan | amazon.co.jp | 90点 | A+ |
| メルカリ | mercari.com | 85点 | A |
| ユニクロ | uniqlo.com | 70点 | B |
| ZOZO | zozo.jp | 65点 | C |
| 楽天 | rakuten.co.jp | 60点 | C |
項目別の比較
| 項目 | Amazon | メルカリ | ユニクロ | ZOZO | 楽天 |
|---|---|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ | ✅ | ✅ |
| HSTS | ✅ | ✅ | ✅ | ✅ | ✅ |
| CSP | ✅ | ✅ | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ✅ | ✅ | ✅ |
| X-Frame-Options | ✅ | ✅ | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ✅ | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ✅ | ✅ | ✅ |
| DMARC | ✅ | ✅ | ❌ | ❌ | ❌ |
業界全体の傾向
EC大手5社の平均スコアは74点で、業界内でもかなりの差が見られます。
- グローバル企業が高スコア:AmazonとメルカリはCSP・DMARCまで設定しており、セキュリティ意識の高さが伺えます
- 基本項目は全社対応:HTTPS、HSTS、X-Content-Type-Options、X-Frame-Optionsは全社設定済み
- CSPの導入率が低い:5社中2社のみ。ECサイトはサードパーティスクリプト(広告タグ、決済SDK等)が多く、CSP導入のハードルが高い傾向
- Permissions-Policyは全社未設定:比較的新しいヘッダーのため、業界全体で導入が進んでいない状況
- DMARC未設定が3社:楽天・ZOZO・ユニクロはDMARC未設定で、なりすましメール対策に課題あり
改善ポイント
- 楽天・ZOZO:DMARCの導入が急務。ECサイトを装ったフィッシングメールは被害が深刻化しやすい
- ユニクロ・ZOZO・楽天:CSPの段階的導入。Report-Onlyモードから始め、サードパーティスクリプトとの互換性を確認
- 全社共通:Permissions-Policyの導入で、不要なブラウザAPI(カメラ、位置情報等)へのアクセスを制限
- ZOZO・楽天:Referrer-Policyの設定で、外部サイトへの不要な情報漏洩を防止
ECサイトは決済情報・個人情報を直接扱うため、セキュリティ設定の不備は直接的な金銭被害につながります。特にCSPとDMARCの導入は顧客保護の観点から優先すべき課題です。
各社の詳細分析
- Amazon Japanのセキュリティ設定を詳しく見る
- メルカリのセキュリティ設定を詳しく見る
- ユニクロのセキュリティ設定を詳しく見る
- ZOZOのセキュリティ設定を詳しく見る
- 楽天のセキュリティ設定を詳しく見る
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。