Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/1...
Search
Hideki Okajima
October 24, 2019
Technology
0
140
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
Hideki Okajima
October 24, 2019
Tweet
Share
More Decks by Hideki Okajima
See All by Hideki Okajima
EC-CUBEの最新情報とSite Kitプラグイン! | 第65回EC-CUBE関西UG
okazy
0
140
会員情報と受注情報をカスタマイズしてみよう! | 第64回EC-CUBE関西UG
okazy
0
94
EC-CUBE4 の Web API を触ってみよう! | 第62回EC-CUBE関西UG
okazy
0
320
EC-CUBEの最新情報 | EC-CUBE東京UG(2020/05/06)
okazy
0
360
EC-CUBE4 Web API β版を触ってみよう! | EC-CUBEオンラインUG(2020/04/09)
okazy
0
690
EC-CUBEの最新情報 | EC-CUBE関西UG(2019/12/19)
okazy
0
73
EC-CUBEの最新情報と開発ドキュメント | EC-CUBE関西UG(2019/11/21)
okazy
0
110
EC-CUBEの最新情報とECと軽減税率制度について | EC-CUBE関西UG(2019/09/19)
okazy
0
92
EC-CUBEの最新情報とEC-CUBE4.0.3の軽減税率について | EC-CUBE九州UG(2019/09/11)
okazy
0
400
Other Decks in Technology
See All in Technology
AIエージェント開発のノウハウと課題
pharma_x_tech
0
310
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
tomzoh
0
190
OCI Success Journey OCIの何が評価されてる?疑問に答える事例セミナー(2025年2月実施)
oracle4engineer
PRO
2
160
Cracking the Coding Interview 6th Edition
gdplabs
14
28k
DevinでAI AWSエンジニア製造計画 序章 〜CDKを添えて〜/devin-load-to-aws-engineer
tomoki10
0
140
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
610
入門 PEAK Threat Hunting @SECCON
odorusatoshi
0
160
分解して理解する Aspire
nenonaninu
2
1.1k
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
160
LINEギフトにおけるバックエンド開発
lycorptech_jp
PRO
0
300
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
1
610
4th place solution Eedi - Mining Misconceptions in Mathematics
rist
0
150
Featured
See All Featured
A Philosophy of Restraint
colly
203
16k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.8k
Building Adaptive Systems
keathley
40
2.4k
Thoughts on Productivity
jonyablonski
69
4.5k
Bootstrapping a Software Product
garrettdimon
PRO
306
110k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
10
510
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
640
Building Applications with DynamoDB
mza
93
6.2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.2k
Music & Morning Musume
bryan
46
6.4k
Transcript
EC-CUBEの最新情報 2019/10/24 Okazy
okazy (岡嶋 秀記) 株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中
- 趣味は旅⾏、温泉、世界遺産
EC-CUBEの最新トピック
最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -
【11/9】オープンソースカンファレンス福岡 - 【近⽇】EC-CUBE 2.17 リリース予定 - 【1/23】EC-CUBE パートナー新年会(仮) - 【実施中】EGセキュアソリューションズにて無料セキュリティ診断
【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応(軽減税率制度) - 受注編集画⾯で受注明細の税率が変更可能に(軽減税率制度) -
ファイル管理でのサムネイル表⽰・複数ファイルアップロード - 管理画⾯からPDFのロゴ変更 - 開発者向け機能改善・不具合修正(抜粋) - 開発環境⽤のservices.yamlをプラグインでも⽤意できるようにする #4238 - 同名の Entity が存在した場合、Proxy ファイルを上書きしないよう修正 #4117 - 詳しくはこちら-> https://github.com/EC-CUBE/ec-cube/issues/4095
【10/12】PHPカンファレンス沖縄 -
クーポンプラグイン4.0.6リリース -
【11/9】OSC福岡 - OSC = オープンソースカンファレンス ⼀緒に座ってくれる⼈ 募集してます
【近⽇】EC-CUBE 2.17 リリース予定 -
- 【1/23】パートナー新年会 - ⽇程決定︕
- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/
ECのセキュリティ基礎 2019/10/24 Okazy
アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -
情報流出の事例
セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可 能性
セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -
訴訟費⽤、その他対応費⽤など - 社内は⼤混乱・通常業務ができない - 会社・サービスの信⽤を失ってしまう 最悪の場合には事業が継続できなくなる可能性も
セキュリティの対策 制作会社にも 製造者責任がある
セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf
セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤(SSL, SFTPなど)
- XSS, SQLインジェクション, CSRFなどの⼀般的な Webアプリケーションの脆弱性対策
EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム(AppScan) - 第三者機関でのセキュリティチェック - (ECセキュアソリューションズ) -
カード情報の⾮保持化(決済プラグイン)
EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -
サーバのソフトウェア、EC-CUBE、プラグインの定期的 なアップデート
情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもア ナウンス
情報流出の事例 - 古いEC-CUBEのサイトでカード情報の漏洩が報告 されている - サーバの設定不備、管理画⾯へのアクセス制限の不 備などを組み合わせて管理画⾯に侵⼊ - 購⼊フローのカード情報⼊⼒画⾯で別のサイトに⾶ ばされてカード情報を抜かれる
まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -
ソフトウェアのアップデート