Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/1...
Search
Hideki Okajima
October 24, 2019
Technology
0
160
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
Hideki Okajima
October 24, 2019
Tweet
Share
More Decks by Hideki Okajima
See All by Hideki Okajima
EC-CUBEの最新情報とSite Kitプラグイン! | 第65回EC-CUBE関西UG
okazy
0
150
会員情報と受注情報をカスタマイズしてみよう! | 第64回EC-CUBE関西UG
okazy
0
110
EC-CUBE4 の Web API を触ってみよう! | 第62回EC-CUBE関西UG
okazy
0
360
EC-CUBEの最新情報 | EC-CUBE東京UG(2020/05/06)
okazy
0
400
EC-CUBE4 Web API β版を触ってみよう! | EC-CUBEオンラインUG(2020/04/09)
okazy
0
740
EC-CUBEの最新情報 | EC-CUBE関西UG(2019/12/19)
okazy
0
86
EC-CUBEの最新情報と開発ドキュメント | EC-CUBE関西UG(2019/11/21)
okazy
0
130
EC-CUBEの最新情報とECと軽減税率制度について | EC-CUBE関西UG(2019/09/19)
okazy
0
100
EC-CUBEの最新情報とEC-CUBE4.0.3の軽減税率について | EC-CUBE九州UG(2019/09/11)
okazy
0
430
Other Decks in Technology
See All in Technology
Amazon Bedrock AgentCore でプロモーション用動画生成エージェントを開発する
nasuvitz
6
410
そのコンポーネント、サーバー?クライアント?App Router開発のモヤモヤを可視化する補助輪
makotot
3
280
モバイルアプリ研修
recruitengineers
PRO
2
210
ソフトウェア エンジニアとしての 姿勢と心構え
recruitengineers
PRO
1
570
イオン店舗一覧ページのパフォーマンスチューニング事例 / Performance tuning example for AEON store list page
aeonpeople
2
260
Yahoo!ニュースにおけるソフトウェア開発
lycorptech_jp
PRO
0
330
OpenAPIから画面生成に挑戦した話
koinunopochi
0
150
Android Studio の 新しいAI機能を試してみよう / Try out the new AI features in Android Studio
yanzm
0
260
我々は雰囲気で仕事をしている / How can we do vibe coding as well
naospon
2
220
認知戦の理解と、市民としての対抗策
hogehuga
0
310
kintone開発チームの紹介
cybozuinsideout
PRO
0
73k
EKS Pod Identity における推移的な session tags
z63d
1
200
Featured
See All Featured
Six Lessons from altMBA
skipperchong
28
4k
Designing for humans not robots
tammielis
253
25k
Faster Mobile Websites
deanohume
309
31k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Mobile First: as difficult as doing things right
swwweet
223
9.9k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
1k
What's in a price? How to price your products and services
michaelherold
246
12k
Scaling GitHub
holman
462
140k
We Have a Design System, Now What?
morganepeng
53
7.7k
Optimizing for Happiness
mojombo
379
70k
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.8k
Transcript
EC-CUBEの最新情報 2019/10/24 Okazy
okazy (岡嶋 秀記) 株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中
- 趣味は旅⾏、温泉、世界遺産
EC-CUBEの最新トピック
最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -
【11/9】オープンソースカンファレンス福岡 - 【近⽇】EC-CUBE 2.17 リリース予定 - 【1/23】EC-CUBE パートナー新年会(仮) - 【実施中】EGセキュアソリューションズにて無料セキュリティ診断
【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応(軽減税率制度) - 受注編集画⾯で受注明細の税率が変更可能に(軽減税率制度) -
ファイル管理でのサムネイル表⽰・複数ファイルアップロード - 管理画⾯からPDFのロゴ変更 - 開発者向け機能改善・不具合修正(抜粋) - 開発環境⽤のservices.yamlをプラグインでも⽤意できるようにする #4238 - 同名の Entity が存在した場合、Proxy ファイルを上書きしないよう修正 #4117 - 詳しくはこちら-> https://github.com/EC-CUBE/ec-cube/issues/4095
【10/12】PHPカンファレンス沖縄 -
クーポンプラグイン4.0.6リリース -
【11/9】OSC福岡 - OSC = オープンソースカンファレンス ⼀緒に座ってくれる⼈ 募集してます
【近⽇】EC-CUBE 2.17 リリース予定 -
- 【1/23】パートナー新年会 - ⽇程決定︕
- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/
ECのセキュリティ基礎 2019/10/24 Okazy
アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -
情報流出の事例
セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可 能性
セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -
訴訟費⽤、その他対応費⽤など - 社内は⼤混乱・通常業務ができない - 会社・サービスの信⽤を失ってしまう 最悪の場合には事業が継続できなくなる可能性も
セキュリティの対策 制作会社にも 製造者責任がある
セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf
セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤(SSL, SFTPなど)
- XSS, SQLインジェクション, CSRFなどの⼀般的な Webアプリケーションの脆弱性対策
EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム(AppScan) - 第三者機関でのセキュリティチェック - (ECセキュアソリューションズ) -
カード情報の⾮保持化(決済プラグイン)
EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -
サーバのソフトウェア、EC-CUBE、プラグインの定期的 なアップデート
情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもア ナウンス
情報流出の事例 - 古いEC-CUBEのサイトでカード情報の漏洩が報告 されている - サーバの設定不備、管理画⾯へのアクセス制限の不 備などを組み合わせて管理画⾯に侵⼊ - 購⼊フローのカード情報⼊⼒画⾯で別のサイトに⾶ ばされてカード情報を抜かれる
まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -
ソフトウェアのアップデート