株式会社イーシーキューブ、EC-CUBEのカスタマイズやプラグイン開発におけるセキュアなコーディング基準を定めた「EC-CUBEセキュアコーディングガイド」を公開
- 2022年12月16日 12:00:00
- マネー
- Dream News
オープンソースソフトウェア(以下、OSS)のEC-CUBEはどこまでも自由にカスタマイズできることが魅力である一方、カスタマイズにおけるセキュアなコーディング基準が開発者によって異なるため、EC-CUBE全体での更なるセキュリティ向上への課題となっていました。この度公開したEC-CUBEセキュアコーディングガイドはIPA(情報処理推進機構)が公開している「安全なウェブサイトの作り方(https://www.ipa.go.jp/security/vuln/websecurity.html)」の実装対策を元に、EC-CUBEで過去発生した脆弱性も踏まえ、EC-CUBEとしてのセキュアなコーディング基準を定めた文書です。これにより、EC-CUBEのカスタマイズやプラグイン開発者のセキュアなコーディングの参考となり、EC-CUBEで構築される全てのECサイトのセキュリティ向上につながることが期待できます。全EC-CUBE開発者必読の文書です。
今後も、EC-CUBEの本体開発で培ったセキュリティの知見を活かし、カスタマイズしても高いレベルのセキュリティが実現できるよう、引き続き取り組みを行ってまいります。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000272437&id=bodyimage1】
EC-CUBEセキュアコーディングガイドの詳細はこちら:https://doc4.ec-cube.net/security-guideline/coding
■EC-CUBEセキュアコーディングガイドの掲載項目について
本セキュアコーディングガイドはEC-CUBE本体開発を行うエンジニアが作成し、EC-CUBEセキュリティアドバイザリーを務めるEGセキュアソリューションズ株式会社の確認を経て公開に至りました。今回公開したセキュアコーディングガイドの対策項目は以下の通りです。
・SQLインジェクション
・ディレクトリ・トラバーサル
・クロスサイト・スクリプティング
・CSRF(クロスサイト・リクエスト・フォージェリ)
・アクセス制御や認可制御の欠落
今後、本セキュアコーディングガイドへは対策項目の追加、修正等を行い、内容の充実をはかってまいります。
■EC-CUBEのセキュリティへの取り組みについて
2019年12月、経済産業省よりEC-CUBEの脆弱性に関する注意喚起 が発表されましたが、EC-CUBEではそれ以前よりセキュリティ向上を最重要課題として取り組んでまいりました。その結果、現在はOSSのEC-CUBEの良さでもあるどこまでも自由にカスタマイズできることだけではなく、カスタマイズしてもセキュアであり続けられる環境整備をイーシーキューブでは行っています。
【1.セキュアなアプリケーション開発】
■定期的な脆弱性診断を開発に組み込んだDevSecOps(セキュリティを確保しつつ、開発スピードを損なわない開発スタイル)なEC-CUBE本体開発の実現
・週1回:脆弱性診断ツール「VAddy」による修正コード診断
・本体リリース前:OSSの脆弱性診断ツール「OWASP ZAP」でのリリース前診断
・年2回:セキュリティ専門企業による脆弱性診断
■EC-CUBE本体へのセキュリティ強化機能追加
管理画面ログイン2段階認証機能、拒否リスト形式IP制限機能、ログインの試行回数制限機能、パスワードの要件を PCI DSS ver4.0 に準拠等、12個のセキュリティ強化機能をEC-CUBE4.1~4.2で追加しています。
■コミュニティ全体でクオリティ・セキュリティの向上を目指したバグバウンティの実施
EC-CUBE4.2バグバウンティについて:https://www.ec-cube.net/events/release4.2/
【2.利用環境をセキュアに保てる】
■OWASP ZAPの設定情報を全て公開。DevSecOpsな開発を制作会社でも実現可能。
■自社のセキュリティ要件にあわせることが可能。
データの置き場所、セキュリティ要件にあった外部サービスと連携、ログ管理、データ削除要件 等
■EC-CUBEで発生した脆弱性情報の全公開と公開時の情報提供
■リリース前や運用時のチェックができるセキュリティチェックリスト提供
■公式のセキュリティサービス提供や、セキュリティサービス企業との業務提携
セキュリティチェックプラグイン、EC-CUBE脆弱性診断、無償脆弱性診断を2社より提供、EC-CUBE Keeper(EC-CUBE専用WAF)、不正検知サービス2社との業務提携 等
■EC-CUBEを安全に利用できるクラウド環境「ec-cube.co(https://www.ec-cube.net/product/co/)」の提供
全サイトWAF提供、不正リクエストや障害監視、セキュリティパッチ適用 等
■セキュアコーディングガイドの提供(2022年12月16日提供開始)
【3.関係者のセキュリティリテラシー向上】
■セキュリティ向上セミナー、パートナー向け勉強会の開催
■セキュリティ対策ページの公開
■EC-CUBE運営元、(株)イーシーキューブにてISMS取得、セキュリティ人材の登用
■セキュアコーディングガイドの提供(2022年12月16日提供開始)
EC-CUBEのセキュリティへの取り組み詳細はこちら:https://www.ec-cube.net/info/security/efforts.php
■「EC-CUBE」について
ECオープンプラットフォーム(※1)「EC-CUBE」は2006年9月の公開以降多くの方にご利用いただいた結果、日本No.1 EC構築オープンソースとして認定、2020年11月には月商1000万円以上のネットショップ利用店舗数でNo.1に認定(※2)されています。
「EC-CUBE」はオープンソースのどこまでも自由なカスタマイズ性と、カスタマイズしてもセキュリティ面で安心して利用できるプロダクトや環境の提供を行っています。2019年2月にはダウンロードせずに安心安全な環境でお使いいただけるクラウド版「ec-cube.co」をリリース。更に、2022年9月には開発コミュニティ協力のもと、6つのセキュリティ強化機能の追加と、バグバウンティの実施によりクオリティとセキュリティを高めた最新版「EC-CUBE4.2」をリリースしています。「EC-CUBE」はオープンソースを基盤として、カスタマイズ可能なクラウドサービスの提供、簡単に機能追加できるプラグイン、外部サービスや企業の基幹システムとの連携を可能にする「Web API」等、単なるECサイト構築にとどまらない、企業のECを中心としたDX推進を強力にサポートするプラットフォームへと進化を続けています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000272437&id=bodyimage2】
(※1)独立行政法人情報処理推進機構「第3回オープンソースソフトウェア活用ビジネス実態調査」による
(※2)ECマーケティング株式会社「ネットショップ動向調査 ~ 小規模/大規模ネットショップ~月商1000万円未満/1000万円以上のそれぞれのWeb担当者に聞いた!現在使っているカートシステムの満足度は?」による
■株式会社イーシーキューブ概要
会社名:株式会社イーシーキューブ
本社:〒530-0001 大阪市北区梅田2-2-22
代表取締役社長:金 陽信(きむやんしん)
設立:2018年10月1日
URL:https://www.ec-cube.co.jp/
主要株主:株式会社イルグルム
事業内容:ECオープンプラットフォームの開発・提供等
【プレスリリースに関するお問い合わせ先(報道機関窓口)】
株式会社イーシーキューブ
担当:梶原 直樹
お問い合わせフォーム:https://www.ec-cube.net/contact/
電話番号:06-4795-7506
お電話での一般のお問合せは承っておりません。ご了承くださいませ。
配信元企業:株式会社イーシーキューブ
プレスリリース詳細へ
ドリームニューストップへ
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
香川照之、再び激変!シルバーヘアからセンター分けにイメチェン「永野かと」の声
大スターの息子、新幹線指定席で「車両がほぼ全席修学旅行生」体験 学生の配慮に「嬉しい」
藤井名人、4勝1敗で初防衛 タイトル戦22連覇で最長記録更新
三田寛子、イケメン長男と初めての2人旅「恋人どおしみたい」「愛情がしっかり伝わってますね」
熊本のバス・鉄道5社、全国ICカードから初の離脱 理由は費用
大谷翔平、同僚ベッツらに1厘差で首位打者維持の4打数1安打 左太もも裏には今もアザ残る
林芳正官房長官が1500人規模の集会計画 事務所「収益性ない」
大谷翔平「週刊少年ジャンプ」漫画賞の審査員に就任「編集部たっての願いをご快諾いただき」
大黒摩季、自身のデビュー日はZARD坂井泉水さんの命日「毎年、5月27日は神聖な日」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
トミーズ健、父が遺した口座解約で銀行とトラブルも…「真実」にガックリ
藤田ニコル「初めてした日」ゆうちゃみ「体位とかも全部」親に明かしたギャル的「性事情」に騒然
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
田中美久、ビキニ姿でヒップラインと“美背中”大放出!美しすぎるにもほどがある
人気芸人の14歳モデル長女”衝撃の可愛さ”に絶賛殺到「気絶しそう」「顔小さい」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
香川照之、再び激変!シルバーヘアからセンター分けにイメチェン「永野かと」の声
大スターの息子、新幹線指定席で「車両がほぼ全席修学旅行生」体験 学生の配慮に「嬉しい」
藤井名人、4勝1敗で初防衛 タイトル戦22連覇で最長記録更新
三田寛子、イケメン長男と初めての2人旅「恋人どおしみたい」「愛情がしっかり伝わってますね」
熊本のバス・鉄道5社、全国ICカードから初の離脱 理由は費用
大谷翔平、同僚ベッツらに1厘差で首位打者維持の4打数1安打 左太もも裏には今もアザ残る
林芳正官房長官が1500人規模の集会計画 事務所「収益性ない」
大谷翔平「週刊少年ジャンプ」漫画賞の審査員に就任「編集部たっての願いをご快諾いただき」
大黒摩季、自身のデビュー日はZARD坂井泉水さんの命日「毎年、5月27日は神聖な日」