「徳丸浩氏×EC-CUBE『ECセキュリティ対策セミナー』レポート」～国内Webセキュリティの第一人者 徳丸浩氏をむかえ、最新ECセキュリティ事情をお伝え～

5月18日（木)大阪・産業創造会館にて、EC-CUBE開発元の株式会社ロックオンとEGセキュアソリューションズ株式会社（旧社名：HASHコンサルティング株式会社）の2社共催で、eコマースのセキュリティ対策をテーマにした無料セミナーを開催いたしました。

国内Webセキュリティの第一人者 徳丸浩氏をむかえ、ECサイト構築から運用まで、最新のECセキュリティ事情をお伝えするという内容で、盛況に開催させていただきましたので、その内容をレポートいたします。

「オープンソースEC-CUBEを使う上で知っておくべきセキュリティの話」

本セミナーでは、特にEC-CUBEのセキュリティに関して、その傾向や事例、そして対策方法に関して分かりやすくお伝えすることを目的に開催いたしました。

株式会社ロックオン EC-CUBEマーケティングマネージャー 梶原直樹の登壇では、

1. 具体的にEC-CUBEがどのようなセキュリティ対策を行っているのか
2. EC-CUBEをお使いになる場合のセキュリティ対策の基本事項はどのようなものか
3. ECサイトに欠かせない決済面でのセキュリティについて

の3点についてお話しました。

EC-CUBE公式アドバイザーが、ツール選びからサイト制作、マーケティング・セキュリティの領域までアドバイスいたします。ご相談窓口はこちら

（1）具体的にEC-CUBEがどのようなセキュリティ対策を行っているのか

EC-CUBEはオープンソースであり、全国のコミッターと呼ばれる開発者の方に支えられながら、開発元の株式会社ロックオン主導で開発を進めています。
過去の脆弱性についてはすべて公表して対策を行っており、新しい脆弱性については常に、一般公開前にパートナーへの事前告知とパッチの提供が行われています。

（2）EC-CUBEをお使いになる場合のセキュリティ対策の基本事項はどのようなものか

オープンソース＝セキュリティ対策は「自己責任」といわれますが、EC-CUBEには、EC構築について専門家であるパートナーが揃っています。
「ご自身で構築・運営までされる（セキュリティ対策もすべて自分でやる）」という方以外は、まずはこちらよりパートナーへご相談されることをお勧めいたします。

（3）ECサイトに欠かせない決済面でのセキュリティについて

2016年2月にクレジット取引セキュリティ対策協議会から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が発表され、EC事業者に対してPCI DSSの準拠またはクレジットカード情報の非保持化を求めています。
PCI DSSの対応には多大なコストがかかるため、一般的にはクレジットカード情報の非保持化を選択される事業者様が大半だと思われます。

「ECサイト上でカード情報を保存していない」＝「クレジットカード情報の非保持化ができている」と思われがちですが、ここでいわれるカード情報の非保持化とは、カード情報を保存していないことだけではありません。ECサイトのサーバ上で、カード情報を処理・通過させた場合、カード情報の非保持化ができていないと見なされますので、注意が必要です。

2018年3月までの対策となると、あと1年で対応を完了しなくてはなりません。
カード情報を暗号化したトークンを利用してカード決済を行う「トークン決済」、または、決済代行会社の画面に遷移して決済を行う「リンク型決済」が具体的な手段となりますので、詳しくは、お使いの決済代行会社へお問い合わせをお願いします。

EC-CUBEを使った決済サービスの一覧については、こちらからご確認ください。

「ECサイトオーナーと開発会社が今やっておくべきセキュリティ施策とは」

EGセキュアソリューションズ株式会社 代表 徳丸 浩氏による登壇では、

1. 脆弱性の責任は誰にあるのか？
2. 攻撃のデモンストレーション
3. 今時のウェブサイトの守り方

主に、以上3点についてお話されました。

（1）脆弱性の責任は誰にあるのか？

セキュリティ対策については、通説として”発注者責任”という考え方がありますが、実際の個人情報流出事件の判例として、制作会社の”専門家としての責務”を重視した判例が過去に出ており、

• 発注者であるECサイトを運営する店舗主
• 受注者であるECサイトを開発する制作会社

それぞれの立場で、どのようなことに気をつけるべきか、詳しい解説がありました。

特に、IPA 独立行政法人 情報処理推進機構が発信している「安全なウェブサイトの作り方」記載の脆弱性については最低限、対応すべきであること、制作会社は、店舗主に対して、例え採用の見込みが薄くても、セキュリティ対策の提案は積極的に行うべきであること、以上の2点で締めくくられました。

（2）攻撃のデモンストレーション

EC-CUBEをカスタマイズしたサイトに発生しうる、”カスタマイズ部分の脆弱性”の解説としては、

• OS＆ミドルウェアの脆弱性
• カスタマイズ部分の脆弱性
• カスタマイズ部分から使用しているライブラリの脆弱性

などが考えられます。
具体的にどのような脆弱性が狙われているかデモンストレーションし、注意を呼びかけました。

（3）今時のウェブサイトの守り方

ウェブサイトを守るための対策の1つとしては、ECサイトの検収時に「EC-CUBEセキュリティ診断」による脆弱性診断が紹介されました。
「EC-CUBEセキュリティ診断サービス」は、EC-CUBE開発元の株式会社ロックオンと、イー・ガーディアングループで徳丸浩氏が代表を務めるEGセキュアソリューションズ株式会の協業によりリリースされたサービスです。

EC-CUBEに特化した、精度の高いセキュリティ診断を安価で提供することから、店舗主様が、セキュリティに関する高度な知識の習得や費用面での大きな負担なく、ECサイトのセキュリティ向上を実現することができます。
EC-CUBEをカスタマイズして構築されてたECサイトの脆弱性を洗い出し、レポートの形で報告いたしますので、サイトの新規構築やリニューアル、その他、ECサイトを点検したいタイミングでご利用いただけます。
ご興味のある方は、こちらから詳細をご覧ください。

最後に

「ECセキュリティ対策セミナー」に参加された方からは、以下のような声をいただきました。

• オープンソースは自己責任で対応しなければいけないことを、改めて実感した。
• システム担当としてセキュリティを考える必要があり、気を付けるべきポイントが分かった。
• デモをみることで、セキュリティに対してしなければいけないことを再認識できた。
• なかなかその道のプロの話を聞く機会がいないので、ためになった。

今回のセミナーは大変多くの方にご参加をいただき、ありがとうございました！
セキュリティについてお悩みの方は、お気軽にこちらからご検討の上、ご相談ください。

文中に含まれる「株式会社ロックオン」は、2019年8月1日より「株式会社イルグルム」へ商号を変更しました。