EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG（2019/10/24）

EC-CUBEの最新情報 2019/10/24 Okazy

okazy （岡嶋秀記）株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中
- 趣味は旅⾏、温泉、世界遺産

EC-CUBEの最新トピック

最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -
【11/9】オープンソースカンファレンス福岡 - 【近⽇】EC-CUBE 2.17 リリース予定 - 【1/23】EC-CUBE パートナー新年会（仮） - 【実施中】EGセキュアソリューションズにて無料セキュリティ診断

【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応（軽減税率制度） - 受注編集画⾯で受注明細の税率が変更可能に（軽減税率制度） -
ファイル管理でのサムネイル表⽰・複数ファイルアップロード - 管理画⾯からPDFのロゴ変更 - 開発者向け機能改善・不具合修正（抜粋） - 開発環境⽤のservices.yamlをプラグインでも⽤意できるようにする #4238 - 同名の Entity が存在した場合、Proxy ファイルを上書きしないよう修正 #4117 - 詳しくはこちら-> https://github.com/EC-CUBE/ec-cube/issues/4095

【10/12】PHPカンファレンス沖縄 -

クーポンプラグイン4.0.6リリース -

【11/9】OSC福岡 - OSC = オープンソースカンファレンス⼀緒に座ってくれる⼈募集してます

【近⽇】EC-CUBE 2.17 リリース予定 -

- 【1/23】パートナー新年会 - ⽇程決定︕

- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/

ECのセキュリティ基礎 2019/10/24 Okazy

アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -
情報流出の事例

セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可能性

セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -
訴訟費⽤、その他対応費⽤など - 社内は⼤混乱・通常業務ができない - 会社・サービスの信⽤を失ってしまう最悪の場合には事業が継続できなくなる可能性も

セキュリティの対策制作会社にも製造者責任がある

セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf

セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤（SSL, SFTPなど）
- XSS, SQLインジェクション, CSRFなどの⼀般的な Webアプリケーションの脆弱性対策

EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム（AppScan） - 第三者機関でのセキュリティチェック - （ECセキュアソリューションズ） -
カード情報の⾮保持化（決済プラグイン）

EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -
サーバのソフトウェア、EC-CUBE、プラグインの定期的なアップデート

情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもアナウンス

情報流出の事例 - 古いEC-CUBEのサイトでカード情報の漏洩が報告されている - サーバの設定不備、管理画⾯へのアクセス制限の不備などを組み合わせて管理画⾯に侵⼊ - 購⼊フローのカード情報⼊⼒画⾯で別のサイトに⾶ばされてカード情報を抜かれる

まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -
ソフトウェアのアップデート

EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG（2019/10/24）

EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG（2019/10/24）

Hideki Okajima

More Decks by Hideki Okajima

Other Decks in Technology

Featured

Transcript

EC-CUBEの最新情報 2019/10/24 Okazy

okazy （岡嶋秀記）株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中

EC-CUBEの最新トピック

最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -

【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応（軽減税率制度） - 受注編集画⾯で受注明細の税率が変更可能に（軽減税率制度） -

【10/12】PHPカンファレンス沖縄 -

クーポンプラグイン4.0.6リリース -

【11/9】OSC福岡 - OSC = オープンソースカンファレンス⼀緒に座ってくれる⼈募集してます

【近⽇】EC-CUBE 2.17 リリース予定 -

- 【1/23】パートナー新年会 - ⽇程決定︕

- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/

ECのセキュリティ基礎 2019/10/24 Okazy

アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -

セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可能性

セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -

セキュリティの対策制作会社にも製造者責任がある

セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf

セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤（SSL, SFTPなど）

EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム（AppScan） - 第三者機関でのセキュリティチェック - （ECセキュアソリューションズ） -

EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -

情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもアナウンス

まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -