$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/1...
Search
Hideki Okajima
October 24, 2019
Technology
0
130
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
Hideki Okajima
October 24, 2019
Tweet
Share
More Decks by Hideki Okajima
See All by Hideki Okajima
EC-CUBEの最新情報とSite Kitプラグイン! | 第65回EC-CUBE関西UG
okazy
0
130
会員情報と受注情報をカスタマイズしてみよう! | 第64回EC-CUBE関西UG
okazy
0
84
EC-CUBE4 の Web API を触ってみよう! | 第62回EC-CUBE関西UG
okazy
0
300
EC-CUBEの最新情報 | EC-CUBE東京UG(2020/05/06)
okazy
0
350
EC-CUBE4 Web API β版を触ってみよう! | EC-CUBEオンラインUG(2020/04/09)
okazy
0
640
EC-CUBEの最新情報 | EC-CUBE関西UG(2019/12/19)
okazy
0
67
EC-CUBEの最新情報と開発ドキュメント | EC-CUBE関西UG(2019/11/21)
okazy
0
100
EC-CUBEの最新情報とECと軽減税率制度について | EC-CUBE関西UG(2019/09/19)
okazy
0
84
EC-CUBEの最新情報とEC-CUBE4.0.3の軽減税率について | EC-CUBE九州UG(2019/09/11)
okazy
0
390
Other Decks in Technology
See All in Technology
もう一度、 事業を支えるシステムに。
leveragestech
6
3k
全社員に向けて生成AI活用を促進!~電通総研の生成AI活用ロードマップ~
iotcomjpadmin
0
140
RDRAとLLM
kanzaki
4
480
歴史あるRuby on Railsでデッドコードを見つけ、 消す方法@yabaibuki.dev #3
ayumu838
0
1.6k
OpenLLMetry-Hands-On 生成AIアプリを観測してみよう!OpenLLMetryハンズオン編
tkhresk
1
140
Entra ID の基礎(Japan Microsoft 365 コミュニティ カンファレンス 2024)
murachiakira
3
1.9k
sre本読んだ感想
pisakun
0
110
Behind the scenes of 24-hour global online event “JAWS PANKRATION 2024”
syoshie
0
110
総会員数1,500万人のレストランWeb予約サービスにおけるRustの活用
kymmt90
3
2.6k
静的解析で実現した効率的なi18n対応の仕組みづくり
minako__ph
2
2.3k
Nutanixにいらっしゃいませ。Moveと仮想マシン移行のポイント紹介
shadowhat
0
190
大規模トラフィックを支える ゲームバックエンドの課題と構成の変遷 ~安定したゲーム体験を実現するために~
colopl
0
610
Featured
See All Featured
Navigating Team Friction
lara
183
15k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Visualization
eitanlees
145
15k
Teambox: Starting and Learning
jrom
133
8.8k
A Tale of Four Properties
chriscoyier
156
23k
Six Lessons from altMBA
skipperchong
27
3.5k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Speed Design
sergeychernyshev
25
640
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
Site-Speed That Sticks
csswizardry
0
82
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
Transcript
EC-CUBEの最新情報 2019/10/24 Okazy
okazy (岡嶋 秀記) 株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中
- 趣味は旅⾏、温泉、世界遺産
EC-CUBEの最新トピック
最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -
【11/9】オープンソースカンファレンス福岡 - 【近⽇】EC-CUBE 2.17 リリース予定 - 【1/23】EC-CUBE パートナー新年会(仮) - 【実施中】EGセキュアソリューションズにて無料セキュリティ診断
【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応(軽減税率制度) - 受注編集画⾯で受注明細の税率が変更可能に(軽減税率制度) -
ファイル管理でのサムネイル表⽰・複数ファイルアップロード - 管理画⾯からPDFのロゴ変更 - 開発者向け機能改善・不具合修正(抜粋) - 開発環境⽤のservices.yamlをプラグインでも⽤意できるようにする #4238 - 同名の Entity が存在した場合、Proxy ファイルを上書きしないよう修正 #4117 - 詳しくはこちら-> https://github.com/EC-CUBE/ec-cube/issues/4095
【10/12】PHPカンファレンス沖縄 -
クーポンプラグイン4.0.6リリース -
【11/9】OSC福岡 - OSC = オープンソースカンファレンス ⼀緒に座ってくれる⼈ 募集してます
【近⽇】EC-CUBE 2.17 リリース予定 -
- 【1/23】パートナー新年会 - ⽇程決定︕
- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/
ECのセキュリティ基礎 2019/10/24 Okazy
アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -
情報流出の事例
セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可 能性
セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -
訴訟費⽤、その他対応費⽤など - 社内は⼤混乱・通常業務ができない - 会社・サービスの信⽤を失ってしまう 最悪の場合には事業が継続できなくなる可能性も
セキュリティの対策 制作会社にも 製造者責任がある
セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf
セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤(SSL, SFTPなど)
- XSS, SQLインジェクション, CSRFなどの⼀般的な Webアプリケーションの脆弱性対策
EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム(AppScan) - 第三者機関でのセキュリティチェック - (ECセキュアソリューションズ) -
カード情報の⾮保持化(決済プラグイン)
EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -
サーバのソフトウェア、EC-CUBE、プラグインの定期的 なアップデート
情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもア ナウンス
情報流出の事例 - 古いEC-CUBEのサイトでカード情報の漏洩が報告 されている - サーバの設定不備、管理画⾯へのアクセス制限の不 備などを組み合わせて管理画⾯に侵⼊ - 購⼊フローのカード情報⼊⼒画⾯で別のサイトに⾶ ばされてカード情報を抜かれる
まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -
ソフトウェアのアップデート