オープンソースソフトウェア(以下、OSS)のEC-CUBEはどこまでも自由にカスタマイズできることが魅力である一方、カスタマイズにおけるセキュアなコーディング基準が開発者によって異なるため、EC-CUBE全体での更なるセキュリティ向上への課題となっていました。この度公開したEC-CUBEセキュアコーディングガイドはIPA(情報処理推進機構)が公開している「安全なウェブサイトの作り方(https://www.ipa.go.jp/security/vuln/websecurity.html)」の実装対策を元に、EC-CUBEで過去発生した脆弱性も踏まえ、EC-CUBEとしてのセキュアなコーディング基準を定めた文書です。これにより、EC-CUBEのカスタマイズやプラグイン開発者のセキュアなコーディングの参考となり、EC-CUBEで構築される全てのECサイトのセキュリティ向上につながることが期待できます。全EC-CUBE開発者必読の文書です。
今後も、EC-CUBEの本体開発で培ったセキュリティの知見を活かし、カスタマイズしても高いレベルのセキュリティが実現できるよう、引き続き取り組みを行ってまいります。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000272437&id=bodyimage1】
EC-CUBEセキュアコーディングガイドの詳細はこちら:https://doc4.ec-cube.net/security-guideline/coding
■EC-CUBEセキュアコーディングガイドの掲載項目について
本セキュアコーディングガイドはEC-CUBE本体開発を行うエンジニアが作成し、EC-CUBEセキュリティアドバイザリーを務めるEGセキュアソリューションズ株式会社の確認を経て公開に至りました。今回公開したセキュアコーディングガイドの対策項目は以下の通りです。
・SQLインジェクション
・ディレクトリ・トラバーサル
・クロスサイト・スクリプティング
・CSRF(クロスサイト・リクエスト・フォージェリ)
・アクセス制御や認可制御の欠落
今後、本セキュアコーディングガイドへは対策項目の追加、修正等を行い、内容の充実をはかってまいります。
■EC-CUBEのセキュリティへの取り組みについて
2019年12月、経済産業省よりEC-CUBEの脆弱性に関する注意喚起 が発表されましたが、EC-CUBEではそれ以前よりセキュリティ向上を最重要課題として取り組んでまいりました。その結果、現在はOSSのEC-CUBEの良さでもあるどこまでも自由にカスタマイズできることだけではなく、カスタマイズしてもセキュアであり続けられる環境整備をイーシーキューブでは行っています。
【1.セキュアなアプリケーション開発】
■定期的な脆弱性診断を開発に組み込んだDevSecOps(セキュリティを確保しつつ、開発スピードを損なわない開発スタイル)なEC-CUBE本体開発の実現
・週1回:脆弱性診断ツール「VAddy」による修正コード診断
・本体リリース前:OSSの脆弱性診断ツール「OWASP ZAP」でのリリース前診断
・年2回:セキュリティ専門企業による脆弱性診断
■EC-CUBE本体へのセキュリティ強化機能追加
管理画面ログイン2段階認証機能、拒否リスト形式IP制限機能、ログインの試行回数制限機能、パスワードの要件を PCI DSS ver4.0 に準拠等、12個のセキュリティ強化機能をEC-CUBE4.1~4.2で追加しています。
■コミュニティ全体でクオリティ・セキュリティの向上を目指したバグバウンティの実施
EC-CUBE4.2バグバウンティについて:https://www.ec-cube.net/events/release4.2/
【2.利用環境をセキュアに保てる】
■OWASP ZAPの設定情報を全て公開。DevSecOpsな開発を制作会社でも実現可能。
■自社のセキュリティ要件にあわせることが可能。
データの置き場所、セキュリティ要件にあった外部サービスと連携、ログ管理、データ削除要件 等
■EC-CUBEで発生した脆弱性情報の全公開と公開時の情報提供
■リリース前や運用時のチェックができるセキュリティチェックリスト提供
■公式のセキュリティサービス提供や、セキュリティサービス企業との業務提携
セキュリティチェックプラグイン、EC-CUBE脆弱性診断、無償脆弱性診断を2社より提供、EC-CUBE Keeper(EC-CUBE専用WAF)、不正検知サービス2社との業務提携 等
■EC-CUBEを安全に利用できるクラウド環境「ec-cube.co(https://www.ec-cube.net/product/co/)」の提供
全サイトWAF提供、不正リクエストや障害監視、セキュリティパッチ適用 等
■セキュアコーディングガイドの提供(2022年12月16日提供開始)
【3.関係者のセキュリティリテラシー向上】
■セキュリティ向上セミナー、パートナー向け勉強会の開催
■セキュリティ対策ページの公開
■EC-CUBE運営元、(株)イーシーキューブにてISMS取得、セキュリティ人材の登用
■セキュアコーディングガイドの提供(2022年12月16日提供開始)
EC-CUBEのセキュリティへの取り組み詳細はこちら:https://www.ec-cube.net/info/security/efforts.php
■「EC-CUBE」について
ECオープンプラットフォーム(※1)「EC-CUBE」は2006年9月の公開以降多くの方にご利用いただいた結果、日本No.1 EC構築オープンソースとして認定、2020年11月には月商1000万円以上のネットショップ利用店舗数でNo.1に認定(※2)されています。
「EC-CUBE」はオープンソースのどこまでも自由なカスタマイズ性と、カスタマイズしてもセキュリティ面で安心して利用できるプロダクトや環境の提供を行っています。2019年2月にはダウンロードせずに安心安全な環境でお使いいただけるクラウド版「ec-cube.co」をリリース。更に、2022年9月には開発コミュニティ協力のもと、6つのセキュリティ強化機能の追加と、バグバウンティの実施によりクオリティとセキュリティを高めた最新版「EC-CUBE4.2」をリリースしています。「EC-CUBE」はオープンソースを基盤として、カスタマイズ可能なクラウドサービスの提供、簡単に機能追加できるプラグイン、外部サービスや企業の基幹システムとの連携を可能にする「Web API」等、単なるECサイト構築にとどまらない、企業のECを中心としたDX推進を強力にサポートするプラットフォームへと進化を続けています。
【画像 https://www.dreamnews.jp/?action_Image=1&p=0000272437&id=bodyimage2】
(※1)独立行政法人情報処理推進機構「第3回オープンソースソフトウェア活用ビジネス実態調査」による
(※2)ECマーケティング株式会社「ネットショップ動向調査 ~ 小規模/大規模ネットショップ~月商1000万円未満/1000万円以上のそれぞれのWeb担当者に聞いた!現在使っているカートシステムの満足度は?」による
■株式会社イーシーキューブ概要
会社名:株式会社イーシーキューブ
本社:〒530-0001 大阪市北区梅田2-2-22
代表取締役社長:金 陽信(きむやんしん)
設立:2018年10月1日
URL:https://www.ec-cube.co.jp/
主要株主:株式会社イルグルム
事業内容:ECオープンプラットフォームの開発・提供等
【プレスリリースに関するお問い合わせ先(報道機関窓口)】
株式会社イーシーキューブ
担当:梶原 直樹
お問い合わせフォーム:https://www.ec-cube.net/contact/
電話番号:06-4795-7506
お電話での一般のお問合せは承っておりません。ご了承くださいませ。
配信元企業:株式会社イーシーキューブ
プレスリリース詳細へ
ドリームニューストップへ
