EC-CUBEのセキリュティ対策
毎年、個人情報やクレジットカード情報の漏洩事件が絶えず、WEBサイトを運営する上で、セキュリティ対策は欠かせません。
今回は、EC-CUBEのセキュリティ対策についてお話ししたいと思います。
EC-CUBEのバージョンを最新版にしておく
最新版のEC-CUBEは脆弱性対応がされています。
常にEC-CUBEを最新化しておくことが、セキュリティ対策となります。
ちなみに、EC-CUBEには2系と3系がありますが、2系と3系はまったく違うシステムです。
その為、2系を利用している場合、3系にバージョンアップする必要はなく、2系の最新バージョンを利用すれば問題ございません。
パッチファイルを適用する
EC-CUBEに脆弱性が発見された際は、パッチファイルが公開されますので、パッチファイルを早く適用して下さい。
dataフォルダをドキュメントルート配下に設置しない
dataフォルダにはプログラムや設定ファイル、ログファイルなど、システムに重大な影響を及ぼすファイルが格納されています。
設定ファイルにはデータベース接続情報も記述されていますし、ログファイルを解析すれば様々な情報が読み取れます。
その為、dataフォルダは簡単にアクセスできるドキュメントルート配下に設置しないで下さい。
管理画面のディレクトリ名をadminから変更
EC-CUBEの管理画面のディレクトリ名は標準ではadminです。
サイトのURLの後に、adminを付ければ誰でも管理画面にアクセスできてしまいます。
adminから変更することをお勧めします。
reCAPTCHAを導入する
reCAPTCHAは、Googleが提供しているフォームでのbot(ボット)による不正行為を防ぐ為の機能です。
サイトはフォームから攻撃を受けることが多いです。
その為、reCAPTCHAを導入することで外部からの攻撃を防ぐことが可能です。
EC-CUBEには以下のフォームがあります。
・会員登録画面
・注文画面
・クレジットカード情報入力画面
・ログイン画面
・お問い合わせフォーム
3Dセキュアを導入する
3Dセキュアとは、クレジットカード決済時に行う本人認証のことです。
クレジット決済時に3Dセキュアを導入することで、なりすましなどの不正決済を防止できます。
管理画面へのアクセスを制限する
管理画面へのアクセスを制限する方法として、IPアドレス制限とBasic認証があります。
IPアドレス制限
IPアドレス制限の場合、御社にて固定IPアドレスを取得していないと制限できないないと思われるかもしれませんが、プロバイダのホスト名で制限することも可能です。
もちろん、IPアドレスよりは多くの人がアクセスできることが可能ですが、ある程度制限することは可能です。
できれば、固定IPアドレスを取得して、管理画面へのIPアドレス制限を設定しましょう。
Basic認証
最も簡単なアクセス権限ですが、Basic認証も有効です。
くれぐれもEC-CUBE管理画面と同一のIDとパスワードを設定しないように。
管理画面のログイン・パスワードを複雑にする、定期的にパスワードを変更する
EC-CUBEの管理画面のログイン・パスワードを複雑にすることもセキュリティ対策の一環です。
・12桁以上
・英字(大文字/小文字混在)、記号、数字を組み合わせる
また、定期的に(1ヶ月に1度とか)パスワードを変更することをお勧め致します。
定期的なセキュリティ診断
定期的に(1年に1度くらいがベスト)セキュリティ診断会社に定期的にセキュリティ診断を依頼する。
脆弱性はEC-CUBEだけに存在する訳ではありません。
ミドルウェアにも脆弱性が存在します。
また、日々攻撃方法は進化しています。
その為、セキュリティ診断は定期的に実施する必要があります。
サンクユーのEC-CUBE脆弱性診断サービス
サンクユーではEC-CUBEの脆弱性診断サービスを提供しております。
定期的に脆弱性診断を受け、都度脆弱性に対応することで安全なECサイト運営を行うことができます。
低価格でご提供しておりますので、是非ご検討くださいませ。
以上のように、様々なセキュリティ対策がありますが、定期的なセキュリティ診断以外は基本的な対策と思って頂いた方が良いかと存じます。
お客様の個人情報、クレジット情報を取り扱う以上、ECサイト事業者としてはしっかり対策する必要があります。
もし予算的に可能であれば、定期的なセキュリティ診断を行なってください。
せっかく順調に売り上げを上げているECサイトでも情報漏洩が発生してしまうと、信用を失い売り上げも失ってしまいます。
今後はセキュリティ対策も予算化することがECサイト事業者に求められる責務だと思います。
取引する制作会社も考えるべき
「EC-CUBEだから」ではなくネット上で取引をする以上、セキュリティには十分に配慮する必要があります。
どんなシステムにも脆弱性は潜んでいます。
残念ながら最近はセキュリティに対する知識・意識がない制作会社も少なくありません。
WEB制作はパソコンさえあれば簡単に起業ができる業種ですので、制作会社の質は正直なところマチマチです。
デザインは得意だけどシステムには疎い制作会社もあります。
また、大きい会社だからしっかりしているとも言えません。
営業が得意だから規模を大きくできた会社もあります。
見極めが難しいと思いますが、企業規模・価格だけで制作会社を決定するのではなく、システムやセキュリティ対策への知見があるかも検討材料としてみては如何でしょうか。
投稿者プロフィール
- 関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。
システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。
その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。(退任時役職:常務取締役)
2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。
クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution
■趣味・好きなもの
BMW / WRC / ロードバイク / RIZIN / Bellator / UFC
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン
最新の投稿
- EC-CUBE2024.11.20EC-CUBEからShopifyへ乗り換え
- EC-CUBE2024.07.29EC-CUBEで分納の仕組みを実装する
- EC-CUBE2024.06.122024年でもEC-CUBE会員のパスワードを表示したいという要望がある事実
- EC-CUBE2024.05.28EC-CUBE3系をお使いのECサイト様は4系へのバージョンアップをお勧めします