Submit Search
Upload
なんでECサイトで セキュリティって 重要なの?
•
0 likes
•
390 views
Tao Sasaki
Follow
EC-CUBE東京ユーザグループの勉強会で使用した発表資料です。
Read less
Read more
Software
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
icoトークンセールの正体
icoトークンセールの正体
Masakazu Masujima
コンテンツビジネスの資金調達とファンド管理
コンテンツビジネスの資金調達とファンド管理
Masakazu Masujima
業務系SEの今後について
業務系SEの今後について
Takashi Kambayashi
Kobe sec#11 summary
Kobe sec#11 summary
Yukio NAGAO
もし友、学ぶ会 120324
もし友、学ぶ会 120324
Arata Suehira
20110216テクマトリックス講演資料(配布版)
20110216テクマトリックス講演資料(配布版)
Koki Uchiyama
Security & Privacy for Startups
Security & Privacy for Startups
OpenID Foundation Japan
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
Recommended
icoトークンセールの正体
icoトークンセールの正体
Masakazu Masujima
コンテンツビジネスの資金調達とファンド管理
コンテンツビジネスの資金調達とファンド管理
Masakazu Masujima
業務系SEの今後について
業務系SEの今後について
Takashi Kambayashi
Kobe sec#11 summary
Kobe sec#11 summary
Yukio NAGAO
もし友、学ぶ会 120324
もし友、学ぶ会 120324
Arata Suehira
20110216テクマトリックス講演資料(配布版)
20110216テクマトリックス講演資料(配布版)
Koki Uchiyama
Security & Privacy for Startups
Security & Privacy for Startups
OpenID Foundation Japan
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
【セキュランLT】国内金融機関に激震!!仮想通貨、要求されたらあなたはどうしますか?
Hibino Hisashi
EC-CUBE 2系での軽減税率対応
EC-CUBE 2系での軽減税率対応
Tao Sasaki
Introduction of EC-CUBE 4.0
Introduction of EC-CUBE 4.0
Tao Sasaki
2014年10月 東北発表資料
2014年10月 東北発表資料
Tao Sasaki
concrete5とコワーキング / コワーキング カンファレンス2013
concrete5とコワーキング / コワーキング カンファレンス2013
Tao Sasaki
WEB TOUCH MEETING #52
WEB TOUCH MEETING #52
Tao Sasaki
concrete5で社内システムのお話し
concrete5で社内システムのお話し
Tao Sasaki
concrete5とC4SAのお話し
concrete5とC4SAのお話し
Tao Sasaki
Espressoじゃなくてcodaを使う理由
Espressoじゃなくてcodaを使う理由
Tao Sasaki
EC-CUBE東京ユーザグループ 皆様にご挨拶をかねて
EC-CUBE東京ユーザグループ 皆様にご挨拶をかねて
Tao Sasaki
More Related Content
More from Tao Sasaki
EC-CUBE 2系での軽減税率対応
EC-CUBE 2系での軽減税率対応
Tao Sasaki
Introduction of EC-CUBE 4.0
Introduction of EC-CUBE 4.0
Tao Sasaki
2014年10月 東北発表資料
2014年10月 東北発表資料
Tao Sasaki
concrete5とコワーキング / コワーキング カンファレンス2013
concrete5とコワーキング / コワーキング カンファレンス2013
Tao Sasaki
WEB TOUCH MEETING #52
WEB TOUCH MEETING #52
Tao Sasaki
concrete5で社内システムのお話し
concrete5で社内システムのお話し
Tao Sasaki
concrete5とC4SAのお話し
concrete5とC4SAのお話し
Tao Sasaki
Espressoじゃなくてcodaを使う理由
Espressoじゃなくてcodaを使う理由
Tao Sasaki
EC-CUBE東京ユーザグループ 皆様にご挨拶をかねて
EC-CUBE東京ユーザグループ 皆様にご挨拶をかねて
Tao Sasaki
More from Tao Sasaki
(9)
EC-CUBE 2系での軽減税率対応
EC-CUBE 2系での軽減税率対応
Introduction of EC-CUBE 4.0
Introduction of EC-CUBE 4.0
2014年10月 東北発表資料
2014年10月 東北発表資料
concrete5とコワーキング / コワーキング カンファレンス2013
concrete5とコワーキング / コワーキング カンファレンス2013
WEB TOUCH MEETING #52
WEB TOUCH MEETING #52
concrete5で社内システムのお話し
concrete5で社内システムのお話し
concrete5とC4SAのお話し
concrete5とC4SAのお話し
Espressoじゃなくてcodaを使う理由
Espressoじゃなくてcodaを使う理由
EC-CUBE東京ユーザグループ 皆様にご挨拶をかねて
EC-CUBE東京ユーザグループ 皆様にご挨拶をかねて
なんでECサイトで セキュリティって 重要なの?
1.
XROSS CUBE, Inc. なんでECサイトで セキュリティって 重要なの? 情報漏洩が起きるとどうなるか? 2019年5月9日 EC-CUBE東京ユーザグループ初心者向け勉強会
2.
セキュリティがザルだと 何が起きるか?
3.
実店舗で火事が起きた事を考えてみましょう
4.
最悪、会社が潰れて地獄
5.
でも、ウチのサイトは まだまだアクセス数とか少ないし
6.
踏み台にされて他への 攻撃に利用されます
7.
情報漏洩が起きると 具体的にどうなるか?
8.
いっぱいお金がかかる 漏れた個人情報の数×2,000円以上+訴訟費用+その他対応費用もろもろ 社内は大混乱、通常業務ができなくなるケースも 数十万で済んだ幸運な例も有り その後の売上や信用減とかまで考えると、考えたくなくなる 損害賠償の額が数百億円単位になる事も
9.
いっぱいお金がかかる 漏れた個人情報の数×2,000円以上+訴訟費用+その他対応費用もろもろ 社内は大混乱、通常業務ができなくなるケースも 数十万で済んだ幸運な例も有り その後の売上や信用減とかまで考えると、考えたくなくなる 損害賠償の額が数百億円単位になる事も QUOカード500円分とかが多い が、その配送費用等でなんやかん や2,000円くらいになるらしい そもそも漏洩した件数が少なかっ た 最近裁判では負けたが、集団訴 訟が起きている。
10.
過去の漏洩事件の損害
11.
でも、専門家じゃないし
12.
責任者なら責任がある 「知らなかった」で済まないのが法律
13.
実店舗で火事が起きた事を考えてみましょう
14.
責任者って? ● 運営会社の経営者 ● 企業内の運営責任者 ●
個人情報管理責任者
15.
作った業者には責任は無いの?
16.
実店舗で火事が起きた事を考えてみましょう
17.
制作会社にも製造者責任はある
18.
何をすればよいか?
19.
漏れた時の準備をする 漏れない前提ではダメ 残念ながら、どんなに対策してても運が悪いと情報 漏洩は起きます。可能性を限りなく0に近づける事は 可能ですが、0にする事は不可能です たとえ漏れちゃったとしても 「これは仕方ない」 という状況にしておく 免責範囲が全然違う 漏れたらまず、状況の把握から ●
該当サービスを止める ○ サーバから止めて被害の拡大を防ぐ ○ ログ等記録の保存 ● 専門の弁護士に相談 ● 可能な限り早く第一報をアナウンスする ● 被害状況を調査。調査状況、完了予定について も進捗をアナウンス ● 対応策を検討。場合によってはサイトの作り直し やサービスの廃止も検討に
20.
漏れた時の準備をする 漏れない前提ではダメ 残念ながら、どんなに対策してても運が悪いと情報 漏洩は起きます。可能性を限りなく0に近づける事は 可能ですが、0にする事は不可能です たとえ漏れちゃったとしても 「これは仕方ない」 という状況にしておく 免責範囲が全然違う 漏れたらまず、状況の把握から ●
該当サービスを止める ○ サーバから止めて被害の拡大を防ぐ ○ ログ等記録の保存 ● 専門の弁護士に相談 ● 可能な限り早く第一報をアナウンスする ● 被害状況を調査。調査状況、完了予定について も進捗をアナウンス ● 対応策を検討。場合によってはサイトの作り直し やサービスの廃止も検討に 漏れても良いって事 じゃない。 だからと言って運任せ はダメ。妥当なレベル で確率を下げる 二次被害を起こす場合が あるので、専門家と相談し てから
21.
ここを狙ってセキュリ ティレベルを設定す る 運 責任 利便性
22.
ここを狙ってセキュリ ティレベルを設定す る 運 責任 利便性 「たまたま運良く漏洩していない」 という状況に甘えちゃダメ!! 「不便だから」とかも限度があります
23.
何をすればよいか?を知る ガイドラインを守る ● IPAはチェック。実際の裁判でも指標として使わ れている。 https://www.ipa.go.jp/files/000058492.pdf ● 納品物のチェックを必ず行う。
● ソフトウェアのアップデートは必ず行う。だいた い保守業者がやってくれる。 ● 作った時だけじゃなく、継続して注意を怠らない 危険な要求をしない ● 面倒だからパスワード使い回しとか無し ● 公開エリアにphpMyAdminとか ● お金かかるからアップデートしない ● 暗号化無しのFTP接続を要求 ● 既にサポートが終了したソフトウェアの継続使 用。 IEとかWindowsとか ● ベンダーの忠告には耳を傾けよう
24.
製作者は最低限のセキュリティ担保の義務がある 契約書に書いてなくても やらなきゃダメ やらなきゃダメな事の例 ● XSS、SQLインジェクション、セッションハイジャッ ク、CSRFなどの一般的なWebアプリケーションの脆 弱性対策 ● 詳しくはIPAのガイドラインを参照
https://www.ipa.go.jp/files/000058491.pdf 暗黙的に守らないといけない事以外は契 約書できちんと決める
25.
EC-CUBEのセキュリティチェック 過去のバージョンにセキュリティホールがあった事があった。 ● 「EC-CUBEは危険」という誤解が広がり、脆弱性に対してはメッチャ神経質になっ た。 ● それ以後、リリース前には必ず外部のセキュリティチェックを通すことに ●
最近、専門機関の調査から出されたレポートでも、改ざんされたEC-CUBEでの被 害について書いてあり、EC-CUBEはターゲットにされている
26.
EC-CUBEでのクレジットカード情報の取り扱い 現在ではEC-CUBEが動いているサーバ にはカード情報が残らない (カード情報非保持非通過) ● 古いバージョンのモジュールを使っているサイ ト、独自にカード決済機能を実装しているサイト は要確認 ● 開発時のログ設定をそのままにしておくと、ログ に顧客情報やカード情報などの個人情報を吐き 出す決済モジュールもあったので、ログには気を つける 0000
0000 0000 0000 12/21 CREDIT CARD ECサイト 注文情 報のみ カード情報 決済代行 EC-CUBE 最近の漏洩事件ではここを書き 換えられるケースが多い
Download now