Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/1...
Search
Hideki Okajima
October 24, 2019
Technology
0
130
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
EC-CUBEの最新情報とECのセキュリティについて | EC-CUBE関西UG(2019/10/24)
Hideki Okajima
October 24, 2019
Tweet
Share
More Decks by Hideki Okajima
See All by Hideki Okajima
EC-CUBEの最新情報とSite Kitプラグイン! | 第65回EC-CUBE関西UG
okazy
0
130
会員情報と受注情報をカスタマイズしてみよう! | 第64回EC-CUBE関西UG
okazy
0
86
EC-CUBE4 の Web API を触ってみよう! | 第62回EC-CUBE関西UG
okazy
0
300
EC-CUBEの最新情報 | EC-CUBE東京UG(2020/05/06)
okazy
0
350
EC-CUBE4 Web API β版を触ってみよう! | EC-CUBEオンラインUG(2020/04/09)
okazy
0
650
EC-CUBEの最新情報 | EC-CUBE関西UG(2019/12/19)
okazy
0
68
EC-CUBEの最新情報と開発ドキュメント | EC-CUBE関西UG(2019/11/21)
okazy
0
100
EC-CUBEの最新情報とECと軽減税率制度について | EC-CUBE関西UG(2019/09/19)
okazy
0
85
EC-CUBEの最新情報とEC-CUBE4.0.3の軽減税率について | EC-CUBE九州UG(2019/09/11)
okazy
0
390
Other Decks in Technology
See All in Technology
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
200
Wantedly での Datadog 活用事例
bgpat
1
510
どちらを使う?GitHub or Azure DevOps Ver. 24H2
kkamegawa
0
830
20241214_WACATE2024冬_テスト設計技法をチョット俯瞰してみよう
kzsuzuki
3
520
10個のフィルタをAXI4-Streamでつなげてみた
marsee101
0
170
複雑性の高いオブジェクト編集に向き合う: プラガブルなReactフォーム設計
righttouch
PRO
0
120
なぜCodeceptJSを選んだか
goataka
0
160
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
170
ハイテク休憩
sat
PRO
2
160
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
200
DevOps視点でAWS re:invent2024の新サービス・アプデを振り返ってみた
oshanqq
0
180
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
170
Featured
See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
Rails Girls Zürich Keynote
gr2m
94
13k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Building Adaptive Systems
keathley
38
2.3k
The Cost Of JavaScript in 2023
addyosmani
45
7k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
4 Signs Your Business is Dying
shpigford
181
21k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Speed Design
sergeychernyshev
25
670
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Transcript
EC-CUBEの最新情報 2019/10/24 Okazy
okazy (岡嶋 秀記) 株式会社イーシーキューブ - オープンエンジニア - EC-CUBE4の開発メンバー - Github等ではokazyで活動中
- 趣味は旅⾏、温泉、世界遺産
EC-CUBEの最新トピック
最新トピック - 【9/9】EC-CUBE 4.0.3 リリース - 【10/12】PHPカンファレンス沖縄 - 【10/16】クーポンプラグイン4.0.6リリース -
【11/9】オープンソースカンファレンス福岡 - 【近⽇】EC-CUBE 2.17 リリース予定 - 【1/23】EC-CUBE パートナー新年会(仮) - 【実施中】EGセキュアソリューションズにて無料セキュリティ診断
【9/9】EC-CUBE 4.0.3 リリース︕ - 主な改善内容 - 区分記載請求のフォーマットに対応(軽減税率制度) - 受注編集画⾯で受注明細の税率が変更可能に(軽減税率制度) -
ファイル管理でのサムネイル表⽰・複数ファイルアップロード - 管理画⾯からPDFのロゴ変更 - 開発者向け機能改善・不具合修正(抜粋) - 開発環境⽤のservices.yamlをプラグインでも⽤意できるようにする #4238 - 同名の Entity が存在した場合、Proxy ファイルを上書きしないよう修正 #4117 - 詳しくはこちら-> https://github.com/EC-CUBE/ec-cube/issues/4095
【10/12】PHPカンファレンス沖縄 -
クーポンプラグイン4.0.6リリース -
【11/9】OSC福岡 - OSC = オープンソースカンファレンス ⼀緒に座ってくれる⼈ 募集してます
【近⽇】EC-CUBE 2.17 リリース予定 -
- 【1/23】パートナー新年会 - ⽇程決定︕
- 【実施中】無料セキュリティ診断 - EGセキュアソリューションズ提供 - https://www.eg-secure.co.jp/ec_cube_contact/
ECのセキュリティ基礎 2019/10/24 Okazy
アジェンダ - ECサイトにおけるセキュリティの重要性 - セキュリティ対策をしよう - EC-CUBEでのセキュリティ対策 - 情報流出が起こった時の対応 -
情報流出の事例
セキュリティの重要性 - セキュリティ対策ができていないと - 顧客情報が流出する可能性 - 踏み台にされて他への攻撃に利⽤される可 能性
セキュリティの重要性 - 情報漏洩が起きると - 費⽤がかかる - 漏洩した個⼈情報数 * 2000円以上 -
訴訟費⽤、その他対応費⽤など - 社内は⼤混乱・通常業務ができない - 会社・サービスの信⽤を失ってしまう 最悪の場合には事業が継続できなくなる可能性も
セキュリティの対策 制作会社にも 製造者責任がある
セキュリティの対策 - IPAのガイドラインをチェック - 実際の裁判でも指標として使われる - https://www.ipa.go.jp/files/000058492.pdf
セキュリティの対策 - ソフトウェアのアップデートを⾏う - 継続してメンテナンスして聞くことが⼤切 - パスワードの使い回しをしない - 暗号化した通信を利⽤(SSL, SFTPなど)
- XSS, SQLインジェクション, CSRFなどの⼀般的な Webアプリケーションの脆弱性対策
EC-CUBEでのセキュリティ対策 - リリース前に脆弱性審査 - 脆弱性診断プログラム(AppScan) - 第三者機関でのセキュリティチェック - (ECセキュアソリューションズ) -
カード情報の⾮保持化(決済プラグイン)
EC-CUBEでのセキュリティ対策 - 管理画⾯のURL, ID, Passをわかりにくいものに変更 - 管理画⾯にアクセス制限をかける - 常時SSLの設置 -
サーバのソフトウェア、EC-CUBE、プラグインの定期的 なアップデート
情報流出が起こった時の対応 - 対象サービスを⽌める - 専⾨の弁護⼠に相談 - 第⼀報のアナウンスを早くする - 被害状況の調査し、調査状況についてもア ナウンス
情報流出の事例 - 古いEC-CUBEのサイトでカード情報の漏洩が報告 されている - サーバの設定不備、管理画⾯へのアクセス制限の不 備などを組み合わせて管理画⾯に侵⼊ - 購⼊フローのカード情報⼊⼒画⾯で別のサイトに⾶ ばされてカード情報を抜かれる
まとめ - IPAのガイドラインを読もう - できる対策はすぐにでも実施 - 常時SSL、パスワード、管理画⾯のアクセス制限など - 継続してメンテナンス -
ソフトウェアのアップデート