Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/1...
Search
Hideki Okajima
October 24, 2019
Technology
0
160
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
Hideki Okajima
October 24, 2019
Tweet
Share
More Decks by Hideki Okajima
See All by Hideki Okajima
EC-CUBEの最新情報とSite Kitプラグイン! | 第65回EC-CUBE関西UG
okazy
0
150
会員情報と受注情報をカスタマイズしてみよう! | 第64回EC-CUBE関西UG
okazy
0
110
EC-CUBE4 の Web API を触ってみよう! | 第62回EC-CUBE関西UG
okazy
0
360
EC-CUBEの最新情報 | EC-CUBE東京UG(2020/05/06)
okazy
0
400
EC-CUBE4 Web API β版を触ってみよう! | EC-CUBEオンラインUG(2020/04/09)
okazy
0
730
EC-CUBEの最新情報 | EC-CUBE関西UG(2019/12/19)
okazy
0
86
EC-CUBEの最新情報と開発ドキュメント | EC-CUBE関西UG(2019/11/21)
okazy
0
130
EC-CUBEの最新情報とECと軽減税率制度について | EC-CUBE関西UG(2019/09/19)
okazy
0
100
EC-CUBEの最新情報とEC-CUBE4.0.3の軽減税率について | EC-CUBE九州UG(2019/09/11)
okazy
0
430
Other Decks in Technology
See All in Technology
Tableau API連携の罠!?脱スプシを夢見たはずが、逆に依存を深めた話
cuebic9bic
2
190
大規模イベントに向けた ABEMA アーキテクチャの遍歴 ~ Platform Strategy 詳細解説 ~
nagapad
0
160
解消したはずが…技術と人間のエラーが交錯する恐怖体験
lamaglama39
0
160
ファインディにおける Dataform ブランチ戦略
hiracky16
0
250
OPENLOGI Company Profile for engineer
hr01
1
36k
恐怖!テストコードなき夜
tsukuboshi
2
110
Perlアプリケーションで トレースを実装するまでの 工夫と苦労話
masayoshi
1
360
【CEDEC2025】大規模言語モデルを活用したゲーム内会話パートのスクリプト作成支援への取り組み
cygames
PRO
2
690
AI時代の知識創造 ─GeminiとSECIモデルで読み解く “暗黙知”と創造の境界線
nyagasan
0
190
2時間で300+テーブルをデータ基盤に連携するためのAI活用 / FukuokaDataEngineer
sansan_randd
0
110
AI エンジニアの立場からみた、AI コーディング時代の開発の品質向上の取り組みと妄想
soh9834
8
630
製造業の課題解決に向けた機械学習の活用と、製造業特化LLM開発への挑戦
knt44kw
0
140
Featured
See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
30
6k
GraphQLとの向き合い方2022年版
quramy
49
14k
Being A Developer After 40
akosma
90
590k
YesSQL, Process and Tooling at Scale
rocio
173
14k
The Language of Interfaces
destraynor
158
25k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Producing Creativity
orderedlist
PRO
346
40k
Documentation Writing (for coders)
carmenintech
73
4.9k
Building Adaptive Systems
keathley
43
2.7k
The Invisible Side of Design
smashingmag
301
51k
Navigating Team Friction
lara
188
15k
GitHub's CSS Performance
jonrohan
1031
460k
Transcript
EC-CUBEの最新情報 2019/10/24 Okazy
okazy (岡嶋 秀記) 株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中
- 趣味は旅⾏、温泉、世界遺産
EC-CUBEの最新トピック
最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -
【11/9】オープンソースカンファレンス福岡 - 【近⽇】EC-CUBE 2.17 リリース予定 - 【1/23】EC-CUBE パートナー新年会(仮) - 【実施中】EGセキュアソリューションズにて無料セキュリティ診断
【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応(軽減税率制度) - 受注編集画⾯で受注明細の税率が変更可能に(軽減税率制度) -
ファイル管理でのサムネイル表⽰・複数ファイルアップロード - 管理画⾯からPDFのロゴ変更 - 開発者向け機能改善・不具合修正(抜粋) - 開発環境⽤のservices.yamlをプラグインでも⽤意できるようにする #4238 - 同名の Entity が存在した場合、Proxy ファイルを上書きしないよう修正 #4117 - 詳しくはこちら-> https://github.com/EC-CUBE/ec-cube/issues/4095
【10/12】PHPカンファレンス沖縄 -
クーポンプラグイン4.0.6リリース -
【11/9】OSC福岡 - OSC = オープンソースカンファレンス ⼀緒に座ってくれる⼈ 募集してます
【近⽇】EC-CUBE 2.17 リリース予定 -
- 【1/23】パートナー新年会 - ⽇程決定︕
- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/
ECのセキュリティ基礎 2019/10/24 Okazy
アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -
情報流出の事例
セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可 能性
セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -
訴訟費⽤、その他対応費⽤など - 社内は⼤混乱・通常業務ができない - 会社・サービスの信⽤を失ってしまう 最悪の場合には事業が継続できなくなる可能性も
セキュリティの対策 制作会社にも 製造者責任がある
セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf
セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤(SSL, SFTPなど)
- XSS, SQLインジェクション, CSRFなどの⼀般的な Webアプリケーションの脆弱性対策
EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム(AppScan) - 第三者機関でのセキュリティチェック - (ECセキュアソリューションズ) -
カード情報の⾮保持化(決済プラグイン)
EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -
サーバのソフトウェア、EC-CUBE、プラグインの定期的 なアップデート
情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもア ナウンス
情報流出の事例 - 古いEC-CUBEのサイトでカード情報の漏洩が報告 されている - サーバの設定不備、管理画⾯へのアクセス制限の不 備などを組み合わせて管理画⾯に侵⼊ - 購⼊フローのカード情報⼊⼒画⾯で別のサイトに⾶ ばされてカード情報を抜かれる
まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -
ソフトウェアのアップデート