Recommended
More Related Content
More from Tao Sasaki
なんでECサイトで セキュリティって 重要なの?
- 4. 最悪、会社が潰れて地獄
- 10. 過去の漏洩事件の損害
- 11. でも、専門家じゃないし
- 14. 責任者って? ● 運営会社の経営者 ● 企業内の運営責任者 ● 個人情報管理責任者
- 15. 作った業者には責任は無いの?
- 17. 制作会社にも製造者責任はある
- 18. 何をすればよいか?
- 19. 漏れた時の準備をする 漏れない前提ではダメ 残念ながら、どんなに対策してても運が悪いと情報 漏洩は起きます。可能性を限りなく0に近づける事は 可能ですが、0にする事は不可能です たとえ漏れちゃったとしても 「これは仕方ない」 という状況にしておく 免責範囲が全然違う 漏れたらまず、状況の把握から ● 該当サービスを止める ○ サーバから止めて被害の拡大を防ぐ ○ ログ等記録の保存 ● 専門の弁護士に相談 ● 可能な限り早く第一報をアナウンスする ● 被害状況を調査。調査状況、完了予定について も進捗をアナウンス ● 対応策を検討。場合によってはサイトの作り直し やサービスの廃止も検討に
- 20. 漏れた時の準備をする 漏れない前提ではダメ 残念ながら、どんなに対策してても運が悪いと情報 漏洩は起きます。可能性を限りなく0に近づける事は 可能ですが、0にする事は不可能です たとえ漏れちゃったとしても 「これは仕方ない」 という状況にしておく 免責範囲が全然違う 漏れたらまず、状況の把握から ● 該当サービスを止める ○ サーバから止めて被害の拡大を防ぐ ○ ログ等記録の保存 ● 専門の弁護士に相談 ● 可能な限り早く第一報をアナウンスする ● 被害状況を調査。調査状況、完了予定について も進捗をアナウンス ● 対応策を検討。場合によってはサイトの作り直し やサービスの廃止も検討に 漏れても良いって事 じゃない。 だからと言って運任せ はダメ。妥当なレベル で確率を下げる 二次被害を起こす場合が あるので、専門家と相談し てから
- 23. 何をすればよいか?を知る ガイドラインを守る ● IPAはチェック。実際の裁判でも指標として使わ れている。 https://www.ipa.go.jp/files/000058492.pdf ● 納品物のチェックを必ず行う。 ● ソフトウェアのアップデートは必ず行う。だいた い保守業者がやってくれる。 ● 作った時だけじゃなく、継続して注意を怠らない 危険な要求をしない ● 面倒だからパスワード使い回しとか無し ● 公開エリアにphpMyAdminとか ● お金かかるからアップデートしない ● 暗号化無しのFTP接続を要求 ● 既にサポートが終了したソフトウェアの継続使 用。 IEとかWindowsとか ● ベンダーの忠告には耳を傾けよう
- 24. 製作者は最低限のセキュリティ担保の義務がある 契約書に書いてなくても やらなきゃダメ やらなきゃダメな事の例 ● XSS、SQLインジェクション、セッションハイジャッ ク、CSRFなどの一般的なWebアプリケーションの脆 弱性対策 ● 詳しくはIPAのガイドラインを参照 https://www.ipa.go.jp/files/000058491.pdf 暗黙的に守らないといけない事以外は契 約書できちんと決める
- 25. EC-CUBEのセキュリティチェック 過去のバージョンにセキュリティホールがあった事があった。 ● 「EC-CUBEは危険」という誤解が広がり、脆弱性に対してはメッチャ神経質になっ た。 ● それ以後、リリース前には必ず外部のセキュリティチェックを通すことに ● 最近、専門機関の調査から出されたレポートでも、改ざんされたEC-CUBEでの被 害について書いてあり、EC-CUBEはターゲットにされている
- 26. EC-CUBEでのクレジットカード情報の取り扱い 現在ではEC-CUBEが動いているサーバ にはカード情報が残らない (カード情報非保持非通過) ● 古いバージョンのモジュールを使っているサイ ト、独自にカード決済機能を実装しているサイト は要確認 ● 開発時のログ設定をそのままにしておくと、ログ に顧客情報やカード情報などの個人情報を吐き 出す決済モジュールもあったので、ログには気を つける 0000 0000 0000 0000 12/21 CREDIT CARD ECサイト 注文情 報のみ カード情報 決済代行 EC-CUBE 最近の漏洩事件ではここを書き 換えられるケースが多い