イーシーキューブはオープンソースソフトウェアの提供企業として、徹底した情報公開方針のもと、
絶えず変化するコンプライアンスニーズや自社のセキュリティ要件に合わせた
セキュアな事業運営をしていただけるよう、また、EC業界全体のセキュリティ向上を目指す活動として、
「アプリケーション」「環境」「人」を軸とした三位一体のセキュリティ支援を行っています。
- カスタマイズしても
セキュアを保つ - 自社独自の
データ資産を守る - 絶えず変化する
コンプライアンスニーズ
を満たす - 自社のセキュリティ要件に
合わせられる - セキュリティ専門企業や
セキュリティ関連団体とも
連携した対策を推進
PICK UP & NEWS
NEWS & RELEASE
-
2023.02.28
クレジットマスター攻撃への対応機能を含めたセキュリティ強化機能を実装した最新版EC-CUBE4.2.1をリリース
-
2023.02.28
EC-CUBE 2系/3系/4系 の脆弱性に関して
-
2023.01.20
クレジットマスター攻撃に関するアンケートにご回答ください
-
2023.01.13
カード決済の不正な大量アタック(クレジットマスター)の増加と対策について
-
2022.12.16
株式会社イーシーキューブ、「EC-CUBEセキュアコーディングガイド」を公開
脆弱性情報
-
2023.02.28
危険度低 EC-CUBE 4系におけるクロスサイトスクリプティングの脆弱性
-
2023.02.28
危険度低 EC-CUBE 3系におけるクロスサイトスクリプティングの脆弱性
-
2023.02.28
危険度低 EC-CUBE 2系におけるクロスサイトスクリプティングの脆弱性
-
2022.09.14
危険度低 EC-CUBE4.0/4.1におけるクロスサイトスクリプティングの脆弱性
-
2022.09.14
危険度低 EC-CUBE3.0におけるディレクトリトラバーサルの脆弱性
開発者の皆様へ
EC-CUBEを適切な設定でセキュアな環境で運用するため、
セキュリティチェックシートと既知の脆弱性情報をご確認ください
イーシーキューブの三位一体のセキュリティ支援
セキュアなソフトウェアによる支援
- セキュリティアドバイザー
- セキュリティ専門企業EGセキュアソリューションズとアドバイザリー契約
- DevSecOpsな本体開発
- 自動脆弱性検査などDevSecOps(セキュリティを確保しつつ、開発スピードを損なわないスタイル)な開発を実施
- 本体セキュリティ強化機能
- 利用者と運営者を守るセキュリティ強化機能
- バグバウンティ
- コミュニティ全体でセキュリティとクオリティ向上に取り組むバグバウンティの実施
- 定期的かつ多層的な脆弱性検査
- 年2回の専門企業による診断
- リリース前の
OWASP ZAPによる検査 - 週1回のVAddyによる自動検査
利用者のセキュリティ
リテラシー向上への支援
- セキュリティ情報サイト提供
- 利用者がEC-CUBEのセキュリティ情報を網羅的に把握できるようEC-CUBE Securityページを提供
- セキュリティセミナー
- EC-CUBE開発陣やセキュリティ専門企業の講師による最新動向を踏まえたセキュリティ対策セミナーを実施
- セキュアコーディングガイド提供
- EC-CUBEのセキュアなコーディング基準を定めたEC-CUBE開発者向けセキュアコーディングガイドを提供
- セキュアな運営
- 株式会社イーシーキューブでのISMS(ISO27001)認証取得、セキュリティコンサルによるリスクアセスメントの実施
-
IS 749589 / ISO 27001
セキュアな利用環境の構築のための支援
- 自社セキュリティ要件にフィット
- オープンソースソフトウェアだから、自社のセキュリティ要件(データやログの保管・削除要件等)にあわせた設計が可能
- クラウド環境提供
- EC-CUBEを安全に利用できるクラウド環境「ec-cube.co」の提供
※ただいま新サービス準備のため新規受付は停止中です。 - 自社でもDevSecOps
- 本体同様のDevSecOpsを利用企業でも同様に構築できるよう情報を公開
- 安全性チェックツール提供
- サイト公開時の安全性チェックができるセキュリティチェックリストやプラグインを提供
セキュアなソフトウェアによる支援
セキュリティ専門企業「EG セキュアソリューションズ株式会社」
とアドバイザリー契約し、セキュアな開発を推進
イーシーキューブはサイバーセキュリティ対策のプロフェッショナル集団である
EGセキュアソリューションズとアドバイザリー契約を結んでいます。
Webアプリケーションの脆弱性診断などで培ったEGセキュアソリューションズのノウハウを活かし、
継続的なEC-CUBEのセキュリティ向上に取り組んでいます。
定期的かつ多層的な脆弱性検査を実施
EC-CUBEは、定期的かつ多層的な脆弱性診断等によるDevSecOps(セキュリティを維持しつつ開発スピードを損なわないスタイル)な開発を行っています。
これによりセキュアでクオリティの高い定期的なバージョンアップを実現しています。
- 年2回の専門企業による診断
- リリース前のOWASP ZAPによる検査
- 週1回のVAddyによる自動検査
コミュニティ、セキュリティ専門企業、セキュリティ関連団体とも連携した
セキュアなアプリケーション開発
EC-CUBEは、全国のコミュニティとの連携だけではなく、セキュリティ専門企業であるEGセキュアソリューションズや、セキュリティ関連業界団体とも連携し、セキュアで安心してご利用いただけるアプリケーションを開発し提供しています。EC-CUBE本体の他、プラグインによるセキュリティ強化機能により各社のセキュリティ要件にあわせた構築と運用が可能です。
- パスワード要件を国際セキュリティ基準 PCI DSS ver4.0 に準拠
- クレジットマスター攻撃対策機能
- IPアドレス制限機能(不正IPや海外からのアクセス遮断等)
- スロットリング制御(リクエスト数による制限)
- ログインアタック対策機能(試行回数制限、アカウントロック)
- 重要操作時の本人認証機能
- 管理機能への不正アクセス防止対策
- ログインの試行回数制限機能
- ログイン2段階認証
- ログイン履歴機能
- 管理画面へのアクセス制限
- 管理機能の権限設定
バグバウンティの実施
国内でも最大級のEC-CUBE開発コミュニティの力を結集し、EC-CUBE本体やプラグインのセキュリティ・クオリティ向上のため、バグバウンティ(脆弱性や不具合の報告に対し報酬を与える制度)を実施しています。
セキュアな利用環境の構築のための支援
EC-CUBEのサイト構築や環境設定、その後の運用といった、
EC-CUBEを利用する全ての場面において
セキュアであり続けるための支援を行っています。
セキュリティツール提供支援
各バージョン毎の
運用環境セキュリティ
チェックシートを提供
各バージョン毎の
運用環境セキュリティ
チェックプラグインを提供
専用セキュリティ
診断サービスの提供
【有料診断】
専用セキュリティ
診断サービスの提供
【無料診断2種】
決済プラグインの
EMV-3Dセキュア
(3Dセキュア2.0)対応
かっこ株式会社
不正注文検知サービス
との提携
株式会社アクル
不正注文検知サービス
「ASUKA」との提携
株式会社サイバーセキュリティクラウド
クラウドWAFサービス
「攻撃遮断くん」との提携
OWASP ZAPによる
自動脆弱性診断方法の
情報公開
セキュリティやサーバ保守にかかるコストとリソースを抑え、
安心してEC-CUBEを構築・運営していただけるクラウド環境として
「ec-cube.co」を提供しています。
- 常時SSL化
- ファイアウォール
- セキュリティパッチ適用
- 管理画面IP制限
- 不正リクエストに対する監視
- 死活監視
- 障害監視
- ログの保管
※ただいま新サービス準備のため新規受付は停止中です。
利用者のセキュリティリテラシー
向上への支援
ECに関わる全ての人のセキュリティリテラシー向上を目指し、パートナー体制や組織体制の強化、
ドキュメントの整備、セキュリティセミナー・講習会の実施等、様々な活動を行っています。
セキュアコーディングガイドの提供
カスタマイズやプラグイン開発におけるセキュアなコーディング基準を定めた文章を公開。
セキュリティセミナー
EC-CUBEのセキュリティ対策やECセキュリティ最新情報等、専門家もお呼びしセミナーを実施しています。
セキュリティ講習会
EC-CUBEを運営する店舗や制作会社のセキュリティ能力の向上を目的とした講習会を実施しています。
全国のインテグレートパートナーと共にセキュリティ対応能力の強化に取り組んでいます
インテグレートパートナーとは、EC-CUBEと強力な協力体制を築いた公式制作パートナーです。
EC-CUBEの重要なアナウンスの先行連絡や、セキュリティに関する講習会の受講など、セキュリティ対策においても連携体制を築いています。
情報セキュリティマネジメントシステム(ISMS)認証を取得
株式会社イーシーキューブでは、国際規格に基づく情報セキュリティマネジメントシステム(ISMS)認証を取得し、
情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しております。
IS 749589 / ISO 27001
- 登録組織
株式会社イーシーキューブ
- 登録範囲
ECオープンプラットフォームの開発およびクラウドサービス提供
- 登録番号
IS 749589
- 適用規格
ISO/IEC 27001:2013 /
JIS Q 27001:2014 - 登録日
2021年09月01日
- 審査登録機関
BSI グループジャパン株式会社
PICK UP
開発者の皆様へ
EC-CUBEを適切な設定でセキュアな環境で運用するため、
セキュリティチェックシートと既知の脆弱性情報をご確認ください
セキュリティ対策の流れ
-
01 ご利用のEC-CUBEの
バージョンを確認する -
02 セキュリティチェックシートや
脆弱性リストを確認する -
03 ご使用のバージョンに必要な
対応項目や既知の脆弱性があれば、
記載された対応を行う
ご利用のEC-CUBEのバージョンを確認する
EC-CUBEのバージョンにより対応・対策が異なりますので、
まずはEC-CUBEのバージョンをご確認ください。
セキュリティチェックシートや
脆弱性リストを確認する
各バージョン毎に運用環境セキュリティチェックシートをご用意いたしました。
チェックシートを元にご利用の状況をご確認いただき、セキュアな環境構築にご活用ください。
最新バージョン以外のEC-CUBEをご利用になる場合は、セキュリティシート・ツールに加え、
必ず脆弱性リストより該当の脆弱性をご確認いただきますよう、お願いいたします。
ご使用のバージョンに
必要な対応項目や既知の脆弱性があれば、
記載された対応を行う
EC-CUBEを安心して運営・開発をしていただけるよう、ご対応ください。
さらなるセキュリティ強化支援
イーシーキューブでは専門的な知見を持つ公式制作パートナーであるインテグレートパートナーのご紹介や
セキュリティ専門企業による無料診断、EC-CUBEセキュリティ診断など、様々なサービスをご用意しております。
各種セキュリティツールの導入や、セキュアコーディングガイドもご確認ください。
インテグレートパートナーのご紹介
インテグレートパートナーとは、EC-CUBEと強力な協力体制を築いた公式制作パートナーです。EC-CUBEの重要なアナウンスの先行連絡や、セキュリティに関する講習会の受講など、セキュリティ対策においても連携体制を築いています。EC-CUBEでは幅広くみなさまのEC構築を支援するため、インテグレートパートナーのご紹介を行っています。ネットショップの構築やリニューアルのご相談も承っていますのでぜひご活用ください。
セキュリティ専門企業による無料セキュリティ診断
EGセキュアソリューションズ
EC-CUBEセキュリティアドバイザリーとして、EC-CUBEサイトを安全に保つための無料セキュリティチェックサービスをご提供。
SHIFT SECURITY
中小企業や個人事業者が運営するECサイトにも安心、安全を担保できるように、「EC-CUBE向け無償簡易セキュリティ診断」をご提供。
※ご利用状況により簡易な診断が行えない場合や、カスタマイズ部分については有償での対応になります。チェック後に対策が必要となる場合は、別途ご対応いただく必要がございます。 ※無料診断では、EC-CUBE本体に関するご質問等、セキュリティ診断以外のご質問にはお答えいたしかねますのでご了承くださいませ。
EC-CUBEセキュリティ診断
提供元である株式会社イーシーキューブと、徳丸浩氏率いるEGセキュアソリューションズの協業により、EC-CUBEセキュリティ診断サービスを提供しています。『株式会社イーシーキューブ』と『EGセキュアソリューションズ』2社のノウハウを集約し、EC-CUBEをカスタマイズして構築されたECサイトの脆弱性を洗い出し、詳細な診断レポートの形で報告いたします。
メンテナンスフリーでセキュアな環境構築が可能な 「ec-cube.co」
セキュリティやサーバ保守にかかるコストとリソースを抑え、安心してEC-CUBEを構築・運営していただけるクラウド環境として「ec-cube.co」を提供しています。
※ただいま新サービス準備のため新規受付は停止中です。
- 常時SSL化
- ファイアウォール
- セキュリティパッチ適用
- 管理画面IP制限
- 不正リクエストに対する監視
- 死活監視
- 障害監視
- ログの保管
