ECオープンソースコミュニティの現場から見るセキュリティ

TOP 平成26年度サイバーセキュリティ月間 サイバーセキュリティ ひとこと言いたい! ECオープンソースコミュニティの現場から見るセキュリティ

ECオープンソースコミュニティの現場から見るセキュリティ

2015年2月13日
 

ECオープンソースコミュニティの現場から見るセキュリティ

 

株式会社ロックオン EC-CUBE統括責任者
金 陽信

 

 2006年の9月に日本発のECオープンソースとしてリリースしたEC-CUBEも8年が経過し、推定2万店舗以上で利用される程になりました。日本のEC化率も、2006年当時はまだ1%台だったものが、2014年の経済産業省の「電子商取引に関する市場調査」によると、2013年には3.67%、流通額もB2Cで11.2兆円、B2Bで186兆円となり、巨大市場へと成長しています。ECの利用率も約90%となっており、この記事を読んでいただいる様な層では、インターネットでお買い物をした事がないという人はほぼいないのではないでしょうか。
 一方で、利用者、流通額が増えてくれば当然、それに伴うトラブルも増えてきます。住所や氏名はもちろんメールアドレスやクレジットカードの情報など、まさに個人情報や機密情報となる情報をやりとりするECサイトは、攻撃者からすると宝箱のようなものでしょう。

 「ECに色を」というコンセプトから、多彩なネットショプが世の中に増える事を願い、誰でもソースコードが見れる「オープンソース」の形式でソフトウェアを配布してきたEC-CUBEですが、裏を返せば誰でもソースコードを見れるセキュリティリスクの高い形式となります。
 そのため、オープンソース=セキュリティが低いとされがちですが、EC-CUBEは、グループやコミュニティではなくロックオンが企業として開発・運営にあたっていますので、セキュリティ強化を重要課題と位置付け、開発・運営をしています。
 更にインテグレートパートナーと呼ばれる制作会社のパートナーを中心に、全国の開発者の方も積極的にソースをチェックしてくれており、運営企業とコミュニティが一体となって、セキュリティ対策にあたっています。

 しかし、そういったチェック体制を持っていても、世の多くのソフトウェアと同じように脆弱性が発見される事があります。EC-CUBEでは、脆弱性が発見された場合、パートナーのネットワークを通じて、一般公開よりも前に利用者へ情報に届くような仕組みも作っています。攻撃手段の情報ともなりえる脆弱性情報を段階的に公開していける事は、EC-CUBEの大きな強みになっています。最終的な一般公開にあたっては、JPCERTとも連携しパートナーからの情報が届かないところでも脆弱性が放置されないように広く情報発信をしています。

 セキュリティインシデントの危機感は年々高まっており、セキュリティ関連のサービスや開発案件も多く見受けられる様になってきています。一方で、セキュリティ対策をしたからといっても売上が増えるわけではないとして、セキュリティ強化のための工数や費用が確保されない事もまだまだ多いようです。残念ながら、酷いところでは、個人情報や機密情報をやりとりするECサイトなのに、「クライアントとサーバーの通信を暗号化するためにSSLの利用すらしていない」、「脆弱性のパッチの適用だけでなく、そもそも情報をチェックしていない」といった話すら聞こえてきます。
 ショップ運営者は売上の向上に繋がるものに目が向きがちですし、制作会社の方々も売上向上などの施策を大きく掲げがちです。しかし、たった一度の攻撃でこれまでの売上も、時には事業自体を失う事件が起きています。売上が大きなショップほど事件が起きた際の事業へのインパクトも大きく、制作会社にも当然その瑕疵等が求められます。セキュリティインシデントは対岸の火事ではありません。

 そういった運用現場の声から、開発だけでなく利用者への教育やECの運営まで踏み込んだセキュリティ対応の必要性を感じ、EC-CUBEのパートナーの中から有識者を集めEC-CUBEセキュリティワーキンググループを2013年10月に設立しました。ワーキンググループでは、2014年に1年をかけて、セキュリティガイドラインを作成し、2015年からは、作成したガイドラインを用いて啓蒙活動や教育を行っています。
 開発・運用の両現場から、更に安心して利用できる安全なネットショップが増えていくことを願っています。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。