脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入

被害事例では、システムの脆弱性が狙われ、ペイメントアプリケーションの改ざんがあったことを把握しています。「ペイメントアプリケーションの改ざん被害」はEC-CUBEが導入された通販サイトにおいて複数確認されていたことから、他の被害サイトと同種の脆弱性が存在していたと思われます。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制し、ファイルの改ざんを防ぐことが可能になります。

既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入

被害事例では、実施済みのセキュリティ対策に「WAFを導入し、不正アクセスのリクエストをブロック」が挙げられており、被害前には不正アクセス抑止機能（WAF）が導入されていなかったものと思われます。発見・公表から間もない脆弱性は補修作業が間に合わないケースも考えられ、不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。

Webサイトの改ざんを速やかに把握し、被害を最小限に留める仕組みの導入

不正アクセスによりファイルが改ざんされた場合、改ざん検知システムの導入により速やかに検知することが可能です。改ざん検知システムには、検知のみを行うものの他、検知したファイルを過去に取得した安全なファイルに置き換え、自動で修復するシステムがあります。
被害事例では、所轄の警察署からの連絡により漏洩懸念を確認していますが、改ざん検知システムの導入により、漏洩の懸念をより早い段階で検知することが可能になります。
また被害事例の対象期間は、2022年3月15日～8月23日（162日間）と長期に渡っていますが、改ざん検知システムが導入されていれば、より早い段階で調査を開始、対象期間と被害件数を抑えることができた可能性があります。