EC-CUBE Security

EC-CUBE Security

イーシーキューブはオープンソースソフトウェアの提供企業として、徹底した情報公開方針のもと、
絶えず変化するコンプライアンスニーズや自社のセキュリティ要件に合わせた
セキュアな事業運営をしていただけるよう、また、EC業界全体のセキュリティ向上を目指す活動として、
「アプリケーション」「環境」「人」を軸とした三位一体のセキュリティ支援を行っています。

三位一体のセキュリティ支援
  • カスタマイズしても
    セキュアを保つ
  • 自社独自の
    データ資産を守る
  • 絶えず変化する
    コンプライアンスニーズ
    を満たす
  • 自社のセキュリティ要件に
    合わせられる
  • セキュリティ専門企業や
    セキュリティ関連団体とも
    連携した対策を推進

EC-CUBEは発見された脆弱性情報をすべて公開しています。経産省所管のIPAや、JPCERT/CCとも連携し、
脆弱性対策情報ポータルサイトJVNでも情報をご確認いただけます。

PICK UP & NEWS

NEWS & RELEASE

脆弱性情報

開発者の皆様へ

EC-CUBEを適切な設定でセキュアな環境で運用するため、
セキュリティチェックシートと既知の脆弱性情報をご確認ください

セキュリティチェックシート
脆弱性情報

イーシーキューブの三位一体のセキュリティ支援

Application

セキュアなソフトウェアによる支援

セキュリティアドバイザー
セキュリティ専門企業EGセキュアソリューションズとアドバイザリー契約
DevSecOpsな本体開発
自動脆弱性検査などDevSecOps(セキュリティを確保しつつ、開発スピードを損なわないスタイル)な開発を実施
本体セキュリティ強化機能
利用者と運営者を守るセキュリティ強化機能
バグバウンティ
コミュニティ全体でセキュリティとクオリティ向上に取り組むバグバウンティの実施
定期的かつ多層的な脆弱性検査
年2回の専門企業による診断
リリース前の
OWASP ZAPによる検査
週1回のVAddyによる自動検査
People

利用者のセキュリティ
リテラシー向上への支援

セキュリティ情報サイト提供
利用者がEC-CUBEのセキュリティ情報を網羅的に把握できるようEC-CUBE Securityページを提供
セキュリティセミナー
EC-CUBE開発陣やセキュリティ専門企業の講師による最新動向を踏まえたセキュリティ対策セミナーを実施
セキュアコーディングガイド提供
EC-CUBEのセキュアなコーディング基準を定めたEC-CUBE開発者向けセキュアコーディングガイドを提供
サイバーセキュリティ連盟加盟
サイバーセキュリティマインドやサイバー防御力の向上、サイバーセキュリティ対策の重要性啓発、及び、サイバーセキュリティ対策力の獲得・強化の活動を行う、サイバーセキュリティ連盟の運営会員です。
一般社団法人サイバーセキュリティ連盟 Cyber Security Alliance
セキュアな運営
株式会社イーシーキューブでのISMS(ISO27001)認証取得、セキュリティコンサルによるリスクアセスメントの実施
ISMS認証取得
IS 749589 / ISO 27001
EC-CUBE Security 「アプリケーション」「環境」「人」を軸とした三位一体のセキュリティ支援
Environment

セキュアな利用環境の構築のための支援

自社セキュリティ要件にフィット
オープンソースソフトウェアだから、自社のセキュリティ要件(データやログの保管・削除要件等)にあわせた設計が可能
クラウド環境提供
EC-CUBEを安全に利用できるクラウド環境「ec-cube.co」の提供
※ただいま新サービス準備のため新規受付は停止中です。
自社でもDevSecOps
本体同様のDevSecOpsを利用企業でも同様に構築できるよう情報を公開
安全性チェックツール提供
サイト公開時の安全性チェックができるセキュリティチェックリストやプラグインを提供
セキュリティサービス提供
無償から利用できるセキュリティサービスを複数提供
脆弱性の公開
新規で発見された脆弱性はその対策方法をEC-CUBEサイトとJVNでも公開
Application

Application

セキュアなソフトウェアによる支援

セキュリティ専門企業「EG セキュアソリューションズ株式会社」
とアドバイザリー契約し、セキュアな開発を推進

イーシーキューブはサイバーセキュリティ対策のプロフェッショナル集団である
EGセキュアソリューションズとアドバイザリー契約を結んでいます。
Webアプリケーションの脆弱性診断などで培ったEGセキュアソリューションズのノウハウを活かし、
継続的なEC-CUBEのセキュリティ向上に取り組んでいます。

EG セキュアソリューションズ株式会社

定期的かつ多層的な脆弱性検査を実施

EC-CUBEは、定期的かつ多層的な脆弱性診断等によるDevSecOps(セキュリティを維持しつつ開発スピードを損なわないスタイル)な開発を行っています。
これによりセキュアでクオリティの高い定期的なバージョンアップを実現しています。

  • 年2回の専門企業による診断
  • リリース前のOWASP ZAPによる検査
  • 週1回のVAddyによる自動検査

コミュニティ、セキュリティ専門企業、セキュリティ関連団体とも連携した
セキュアなアプリケーション開発

EC-CUBEは、全国のコミュニティとの連携だけではなく、セキュリティ専門企業であるEGセキュアソリューションズや、セキュリティ関連業界団体とも連携し、セキュアで安心してご利用いただけるアプリケーションを開発し提供しています。EC-CUBE本体の他、プラグインによるセキュリティ強化機能により各社のセキュリティ要件にあわせた構築と運用が可能です。

  • パスワード要件を国際セキュリティ基準 PCI DSS ver4.0 に準拠
  • クレジットマスター攻撃対策機能
    • IPアドレス制限機能(不正IPや海外からのアクセス遮断等)
    • スロットリング制御(リクエスト数による制限)
  • ログインアタック対策機能(試行回数制限、アカウントロック)
  • 重要操作時の本人認証機能
  • 管理機能への不正アクセス防止対策
  • ログインの試行回数制限機能
  • ログイン2段階認証
  • ログイン履歴機能
  • 管理画面へのアクセス制限
  • 管理機能の権限設定

バグバウンティの実施

国内でも最大級のEC-CUBE開発コミュニティの力を結集し、EC-CUBE本体やプラグインのセキュリティ・クオリティ向上のため、バグバウンティ(脆弱性や不具合の報告に対し報酬を与える制度)を実施しています。

バグバウンティについて
バグバウンティ
Environment

Environment

セキュアな利用環境の構築のための支援

EC-CUBEのサイト構築や環境設定、その後の運用といった、
EC-CUBEを利用する全ての場面において セキュアであり続けるための支援を行っています。

セキュリティツール提供支援

各バージョン毎の
運用環境セキュリティ
チェックシートを提供

運用環境セキュリティチェックシート
適切な設定でセキュアな環境を保つ
チェックシートを確認する

各バージョン毎の
運用環境セキュリティ
チェックプラグインを提供

policy
プラグインを確認する

専用セキュリティ
診断サービスの提供
【有料診断】

EC-CUBE セキュリティ診断
EC-CUBE セキュリティ診断

専用セキュリティ
診断サービスの提供
【無料診断2種】

EC-CUBE セキュリティ診断
詳しくはこちら

決済プラグインの
EMV-3Dセキュア
(3Dセキュア2.0)対応

3D セキュア 2.0
決済プラグイン一覧はこちら

かっこ株式会社
不正注文検知サービス
との提携

かっこ株式会社
かっこ株式会社
不正検知プラグイン

株式会社アクル
不正注文検知サービス
「ASUKA」との提携
※お得なEC-CUBE専用プランあり

株式会社アクル
株式会社アクル 不正注文検知サービス「ASUKA」
お問い合わせはこちら

株式会社サイバーセキュリティクラウド
クラウドWAFサービス
「攻撃遮断くん」との提携

株式会社サイバーセキュリティクラウド
詳しくはこちら お問い合わせ

OWASP ZAPによる
自動脆弱性診断方法の
情報公開

OWASP ZAP
詳しくはこちら

セキュリティやサーバ保守にかかるコストとリソースを抑え、
安心してEC-CUBEを構築・運営していただけるクラウド環境として
「ec-cube.co」を提供しています。

  • 常時SSL化
  • ファイアウォール
  • セキュリティパッチ適用
  • 管理画面IP制限
  • 不正リクエストに対する監視
  • 死活監視
  • 障害監視
  • ログの保管

※ただいま新サービス準備のため新規受付は停止中です。

ec-cube.co

EC-CUBEは発見された脆弱性情報を全て公開しています

EC-CUBE利用者が運営中も継続して脆弱性診断が行いやすいよう、発見された脆弱性情報はすべて公開しています。また、経産省所管のIPAや、JPCERT/CCとも連携し、脆弱性対策情報ポータルサイトJVNでも情報を公開しており、セキュリティ診断の実施や類似するソフトウェアの対策に貢献しています。

脆弱性リスト
EC-CUBEは発見された脆弱性情報を全て公開しています

People

利用者のセキュリティリテラシー
向上への支援

ECに関わる全ての人のセキュリティリテラシー向上を目指し、パートナー体制や組織体制の強化、
ドキュメントの整備、セキュリティセミナー・講習会の実施等、様々な活動を行っています。

セキュアコーディングガイドの提供

セキュアコーディングガイド

カスタマイズやプラグイン開発におけるセキュアなコーディング基準を定めた文章を公開。

セキュアコーディングガイドを確認する

セキュリティセミナー

セキュリティセミナー

EC-CUBEのセキュリティ対策やECセキュリティ最新情報等、専門家もお呼びしセミナーを実施しています。

イベント・セミナー情報

セキュリティ講習会

セキュリティ講習会

EC-CUBEを運営する店舗や制作会社のセキュリティ能力の向上を目的とした講習会を実施しています。

イベント・セミナー情報

YouTube
EC-CUBE公式チャンネル

全国のインテグレートパートナーと共にセキュリティ対応能力の強化に取り組んでいます

インテグレートパートナーとは、EC-CUBEと強力な協力体制を築いた公式制作パートナーです。
EC-CUBEの重要なアナウンスの先行連絡や、セキュリティに関する講習会の受講など、セキュリティ対策においても連携体制を築いています。

EC-CUBE アドバイザーによる無料相談 インテグレートパートナー一覧

情報セキュリティマネジメントシステム(ISMS)認証を取得

株式会社イーシーキューブでは、国際規格に基づく情報セキュリティマネジメントシステム(ISMS)認証を取得し、
情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しております。

情報セキュリティマネジメントシステム(ISMS)認証

IS 749589 / ISO 27001

  • 登録組織

    株式会社イーシーキューブ

  • 登録範囲

    ECオープンプラットフォームの開発およびクラウドサービス提供

  • 登録番号

    IS 749589

  • 適用規格

    ISO/IEC 27001:2013 /
    JIS Q 27001:2014

  • 登録日

    2021年09月01日

  • 審査登録機関

    BSI グループジャパン株式会社

サイバーセキュリティ連盟の運営会員です

サイバーセキュリティマインドやサイバー防御力の向上やサイバーセキュリティ対策の重要性啓発、及び、
サイバーセキュリティ対策力の獲得・強化の活動を行う、サイバーセキュリティ連盟の運営会員です。

一般社団法人サイバーセキュリティ連盟 Cyber Security Alliance

PICK UP

開発者の皆様へ

EC-CUBEを適切な設定でセキュアな環境で運用するため、
セキュリティチェックシートと既知の脆弱性情報をご確認ください

セキュリティチェックシート
脆弱性情報

セキュリティ対策の流れ

  • 01 ご利用のEC-CUBEの
    バージョンを確認する

  • 02 セキュリティチェックシートや
    脆弱性リストを確認する

  • 03 ご使用のバージョンに必要な
    対応項目や既知の脆弱性があれば、
    記載された対応を行う

01

ご利用のEC-CUBEのバージョンを確認する

EC-CUBEのバージョンにより対応・対策が異なりますので、
まずはEC-CUBEのバージョンをご確認ください。

動画で確認する コードで確認する
02

セキュリティチェックシートや
脆弱性リストを確認する

各バージョン毎に運用環境セキュリティチェックシートをご用意いたしました。
チェックシートを元にご利用の状況をご確認いただき、セキュアな環境構築にご活用ください。
最新バージョン以外のEC-CUBEをご利用になる場合は、セキュリティシート・ツールに加え、
必ず脆弱性リストより該当の脆弱性をご確認いただきますよう、お願いいたします。

セキュリティチェックシートを確認する 脆弱性リストを確認する チェックツールで確認する
03

ご使用のバージョンに
必要な対応項目や既知の脆弱性があれば、
記載された対応を行う

EC-CUBEを安心して運営・開発をしていただけるよう、ご対応ください。

さらなるセキュリティ強化支援

イーシーキューブでは専門的な知見を持つ公式制作パートナーであるインテグレートパートナーのご紹介や
セキュリティ専門企業による無料診断、EC-CUBEセキュリティ診断など、様々なサービスをご用意しております。
各種セキュリティツールの導入や、セキュアコーディングガイドもご確認ください。

インテグレートパートナーのご紹介

インテグレートパートナーとは、EC-CUBEと強力な協力体制を築いた公式制作パートナーです。EC-CUBEの重要なアナウンスの先行連絡や、セキュリティに関する講習会の受講など、セキュリティ対策においても連携体制を築いています。EC-CUBEでは幅広くみなさまのEC構築を支援するため、インテグレートパートナーのご紹介を行っています。ネットショップの構築やリニューアルのご相談も承っていますのでぜひご活用ください。

EC-CUBEアドバイザー
EC-CUBEアドバイザーによる無料相談 インテグレートパートナー一覧

セキュリティ専門企業による無料セキュリティ診断

EGセキュアソリューションズ

EGセキュアソリューションズ

EC-CUBEセキュリティアドバイザリーとして、EC-CUBEサイトを安全に保つための無料セキュリティチェックサービスをご提供。

無料診断お申し込み
SHIFT SECURITY

SHIFT SECURITY

中小企業や個人事業者が運営するECサイトにも安心、安全を担保できるように、「EC-CUBE向け無償簡易セキュリティ診断」をご提供。

無料診断お申し込み

※ご利用状況により簡易な診断が行えない場合や、カスタマイズ部分については有償での対応になります。チェック後に対策が必要となる場合は、別途ご対応いただく必要がございます。 ※無料診断では、EC-CUBE本体に関するご質問等、セキュリティ診断以外のご質問にはお答えいたしかねますのでご了承くださいませ。

EC-CUBEセキュリティ診断

提供元である株式会社イーシーキューブと、徳丸浩氏率いるEGセキュアソリューションズの協業により、EC-CUBEセキュリティ診断サービスを提供しています。『株式会社イーシーキューブ』と『EGセキュアソリューションズ』2社のノウハウを集約し、EC-CUBEをカスタマイズして構築されたECサイトの脆弱性を洗い出し、詳細な診断レポートの形で報告いたします。

EC-CUBEセキュリティ診断
EC-CUBE セキュリティ診断

メンテナンスフリーでセキュアな環境構築が可能な 「ec-cube.co」

セキュリティやサーバ保守にかかるコストとリソースを抑え、安心してEC-CUBEを構築・運営していただけるクラウド環境として「ec-cube.co」を提供しています。

※ただいま新サービス準備のため新規受付は停止中です。

  • 常時SSL化
  • ファイアウォール
  • セキュリティパッチ適用
  • 管理画面IP制限
  • 不正リクエストに対する監視
  • 死活監視
  • 障害監視
  • ログの保管
ec-cube.co

今すぐネットショップをはじめよう!

資料請求サービス紹介資料をダウンロード

制作パートナーを探す探し方はEC-CUBEのアドバイザーに相談
最新ニュースやECノウハウをお届けします
メールマガジン登録はコチラ
  1. ホーム
  2. EC-CUBE Security
  3. セキュリティ対策について