株式会社イーシーキューブ、EC-CUBEのカスタマイズやプラグイン開発におけるセキュアなコーディング基準を定めた「EC-CUBEセキュアコーディングガイド」を公開
- 2022年12月16日 12:00:00
- マネー
- Dream News
オープンソースソフトウェア(以下、OSS)のEC-CUBEはどこまでも自由にカスタマイズできることが魅力である一方、カスタマイズにおけるセキュアなコーディング基準が開発者によって異なるため、EC-CUBE全体での更なるセキュリティ向上への課題となっていました。この度公開したEC-CUBEセキュアコーディングガイドはIPA(情報処理推進機構)が公開している「安全なウェブサイトの作り方(https://www.ipa.go.jp/security/vuln/websecurity.html)」の実装対策を元に、EC-CUBEで過去発生した脆弱性も踏まえ、EC-CUBEとしてのセキュアなコーディング基準を定めた文書です。これにより、EC-CUBEのカスタマイズやプラグイン開発者のセキュアなコーディングの参考となり、EC-CUBEで構築される全てのECサイトのセキュリティ向上につながることが期待できます。全EC-CUBE開発者必読の文書です。
今後も、EC-CUBEの本体開発で培ったセキュリティの知見を活かし、カスタマイズしても高いレベルのセキュリティが実現できるよう、引き続き取り組みを行ってまいります。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000272437&id=bodyimage1】
EC-CUBEセキュアコーディングガイドの詳細はこちら:https://doc4.ec-cube.net/security-guideline/coding
■EC-CUBEセキュアコーディングガイドの掲載項目について
本セキュアコーディングガイドはEC-CUBE本体開発を行うエンジニアが作成し、EC-CUBEセキュリティアドバイザリーを務めるEGセキュアソリューションズ株式会社の確認を経て公開に至りました。今回公開したセキュアコーディングガイドの対策項目は以下の通りです。
・SQLインジェクション
・ディレクトリ・トラバーサル
・クロスサイト・スクリプティング
・CSRF(クロスサイト・リクエスト・フォージェリ)
・アクセス制御や認可制御の欠落
今後、本セキュアコーディングガイドへは対策項目の追加、修正等を行い、内容の充実をはかってまいります。
■EC-CUBEのセキュリティへの取り組みについて
2019年12月、経済産業省よりEC-CUBEの脆弱性に関する注意喚起 が発表されましたが、EC-CUBEではそれ以前よりセキュリティ向上を最重要課題として取り組んでまいりました。その結果、現在はOSSのEC-CUBEの良さでもあるどこまでも自由にカスタマイズできることだけではなく、カスタマイズしてもセキュアであり続けられる環境整備をイーシーキューブでは行っています。
【1.セキュアなアプリケーション開発】
■定期的な脆弱性診断を開発に組み込んだDevSecOps(セキュリティを確保しつつ、開発スピードを損なわない開発スタイル)なEC-CUBE本体開発の実現
・週1回:脆弱性診断ツール「VAddy」による修正コード診断
・本体リリース前:OSSの脆弱性診断ツール「OWASP ZAP」でのリリース前診断
・年2回:セキュリティ専門企業による脆弱性診断
■EC-CUBE本体へのセキュリティ強化機能追加
管理画面ログイン2段階認証機能、拒否リスト形式IP制限機能、ログインの試行回数制限機能、パスワードの要件を PCI DSS ver4.0 に準拠等、12個のセキュリティ強化機能をEC-CUBE4.1~4.2で追加しています。
■コミュニティ全体でクオリティ・セキュリティの向上を目指したバグバウンティの実施
EC-CUBE4.2バグバウンティについて:https://www.ec-cube.net/events/release4.2/
【2.利用環境をセキュアに保てる】
■OWASP ZAPの設定情報を全て公開。DevSecOpsな開発を制作会社でも実現可能。
■自社のセキュリティ要件にあわせることが可能。
データの置き場所、セキュリティ要件にあった外部サービスと連携、ログ管理、データ削除要件 等
■EC-CUBEで発生した脆弱性情報の全公開と公開時の情報提供
■リリース前や運用時のチェックができるセキュリティチェックリスト提供
■公式のセキュリティサービス提供や、セキュリティサービス企業との業務提携
セキュリティチェックプラグイン、EC-CUBE脆弱性診断、無償脆弱性診断を2社より提供、EC-CUBE Keeper(EC-CUBE専用WAF)、不正検知サービス2社との業務提携 等
■EC-CUBEを安全に利用できるクラウド環境「ec-cube.co(https://www.ec-cube.net/product/co/)」の提供
全サイトWAF提供、不正リクエストや障害監視、セキュリティパッチ適用 等
■セキュアコーディングガイドの提供(2022年12月16日提供開始)
【3.関係者のセキュリティリテラシー向上】
■セキュリティ向上セミナー、パートナー向け勉強会の開催
■セキュリティ対策ページの公開
■EC-CUBE運営元、(株)イーシーキューブにてISMS取得、セキュリティ人材の登用
■セキュアコーディングガイドの提供(2022年12月16日提供開始)
EC-CUBEのセキュリティへの取り組み詳細はこちら:https://www.ec-cube.net/info/security/efforts.php
■「EC-CUBE」について
ECオープンプラットフォーム(※1)「EC-CUBE」は2006年9月の公開以降多くの方にご利用いただいた結果、日本No.1 EC構築オープンソースとして認定、2020年11月には月商1000万円以上のネットショップ利用店舗数でNo.1に認定(※2)されています。
「EC-CUBE」はオープンソースのどこまでも自由なカスタマイズ性と、カスタマイズしてもセキュリティ面で安心して利用できるプロダクトや環境の提供を行っています。2019年2月にはダウンロードせずに安心安全な環境でお使いいただけるクラウド版「ec-cube.co」をリリース。更に、2022年9月には開発コミュニティ協力のもと、6つのセキュリティ強化機能の追加と、バグバウンティの実施によりクオリティとセキュリティを高めた最新版「EC-CUBE4.2」をリリースしています。「EC-CUBE」はオープンソースを基盤として、カスタマイズ可能なクラウドサービスの提供、簡単に機能追加できるプラグイン、外部サービスや企業の基幹システムとの連携を可能にする「Web API」等、単なるECサイト構築にとどまらない、企業のECを中心としたDX推進を強力にサポートするプラットフォームへと進化を続けています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000272437&id=bodyimage2】
(※1)独立行政法人情報処理推進機構「第3回オープンソースソフトウェア活用ビジネス実態調査」による
(※2)ECマーケティング株式会社「ネットショップ動向調査 ~ 小規模/大規模ネットショップ~月商1000万円未満/1000万円以上のそれぞれのWeb担当者に聞いた!現在使っているカートシステムの満足度は?」による
■株式会社イーシーキューブ概要
会社名:株式会社イーシーキューブ
本社:〒530-0001 大阪市北区梅田2-2-22
代表取締役社長:金 陽信(きむやんしん)
設立:2018年10月1日
URL:https://www.ec-cube.co.jp/
主要株主:株式会社イルグルム
事業内容:ECオープンプラットフォームの開発・提供等
【プレスリリースに関するお問い合わせ先(報道機関窓口)】
株式会社イーシーキューブ
担当:梶原 直樹
お問い合わせフォーム:https://www.ec-cube.net/contact/
電話番号:06-4795-7506
お電話での一般のお問合せは承っておりません。ご了承くださいませ。
配信元企業:株式会社イーシーキューブ
プレスリリース詳細へ
ドリームニューストップへ
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
北大病院医師を逮捕 女子中学生への不同意性交等の容疑で
綾瀬はるかものまねタレント、カナダへ留学を報告 16年前の写真公開し「元々が似てる」の声
本田真凜さん「お腹いっぱいになったことない」“大食い”と明かすも「1食で4キロ太った」
横浜市教委 教員による児童への性犯罪公判で職員動員、一般傍聴妨害
【ソフトバンク】有原航平4勝目、20点の援護に感謝「点はどれだけ入ってもうれしい」
元AKB48西野未姫が妊娠発表 22年11月に極楽とんぼの山本圭壱と結婚
【楽天】23安打21失点「福岡の悲劇」 20失点以上は05年3月27日ロッテ戦以来2度目
本田真凜さん「引退が決まって一番初めにしたことが…」生粋の“マヨラー”ぶりを明かす
【データ】ソフトバンク今季12球団最多21得点 球団最多は03年ダイエー時代の29得点
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
吉野家が「マスク外し強要疑惑」でプチ炎上、店員さんに聞いてみると……
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
マンション刺殺、被害者は19歳大学生の女性 大阪・枚方
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
藤田ニコル「脱ぐ予定なかったのですが気づいたらノリノリで…」ヒョウ柄水着姿に大反響
【2024年最新】自動車税・固定資産税の1番お得な支払い方法!スマホ決済8選を徹底比較
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
北大病院医師を逮捕 女子中学生への不同意性交等の容疑で
綾瀬はるかものまねタレント、カナダへ留学を報告 16年前の写真公開し「元々が似てる」の声
本田真凜さん「お腹いっぱいになったことない」“大食い”と明かすも「1食で4キロ太った」
横浜市教委 教員による児童への性犯罪公判で職員動員、一般傍聴妨害
【ソフトバンク】有原航平4勝目、20点の援護に感謝「点はどれだけ入ってもうれしい」
元AKB48西野未姫が妊娠発表 22年11月に極楽とんぼの山本圭壱と結婚
【楽天】23安打21失点「福岡の悲劇」 20失点以上は05年3月27日ロッテ戦以来2度目
本田真凜さん「引退が決まって一番初めにしたことが…」生粋の“マヨラー”ぶりを明かす
【データ】ソフトバンク今季12球団最多21得点 球団最多は03年ダイエー時代の29得点