今週月曜日(3/8)にイーシーキューブ社主催のセキュリティセミナーに参加しました。ウェビナーになっていろいろな勉強会に参加しやすくなっていますね。
私はイーシーキューブ社の人々が好きで、今回もCCOの梶原さんのほのかな関西風のボケで和やかにセミナーが始まりました。EC-CUBEのエバンジェリストでもあり登録セキスぺでもあるスピリットオフの川口さんが先生でした。
https://www.ec-cube.net/event/detail.php?event_id=278
テーマはEC-CUBEはセキュリティ面で不安な製品かという点です。
当社もEC-CUBEを年商数十億円規模のサイトの構築や運用をお手伝いしています。当然セキュリティ面についても審査があります。EC-CUBEだから特別安全とか特別危険ということはなく、脆弱性パッチがでれば当てることや、一般的なレベルでの防衛策はちゃんと実施すれば、易々と破られるようなサイトにはならないと認識しています。
世界中で使われているWindowsですら、しばしば脆弱性が見つかり、丁寧にアップデートしていく必要があるわけですので、どんなソフトウェアでも脆弱性があればアップデートしていく必要があると言うことになります。EC-CUBEは脆弱性の情報を公開しパッチを提供するという点でとても丁寧な対応をしていると思っています。
ASPならば安心という話を聞くこともあるのですが、情報が公開されていなければ安心なのかどうなのか判断しようがないです。ASPであっても脆弱性はあるはずで、見つかれば修正されると思うのですが、いつまでどんな脆弱性があったのかを丁寧にアナウンスしているところはあまりないように思います。EC-CUBEはどの程度安心なのかが分かるという意味でも健全なのではないかと思います。
EC-CUBEのセキュリティ面がとくに注目を集めたのは経済産業省の以下のアナウンスによるところが大きいと思います。
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html
当日は、梶原さんからは、このアナウンスに至るまでの経緯もお聞きすることができました。ECの被害の情報は警察からきていたようですが、多くは設定不備によるものであることが分かっていました。そのため、内閣サイバーセキュリティセンターや警察庁、経済産業省と連携してセキュリティに関する啓蒙活動を積極的にすすめたり、セキュリティ専門企業による無料診断なども開始したものの、EC-CUBE運営側からだけの啓蒙活動ではセキュリティ事案も減らないということで、経済産業省と連携の上で上記のアナウンスを出してもらうに至ったということでした。
セミナーではEC-CUBEのセキュリティのページを見ることが強く勧められていました。
https://www.ec-cube.net/info/security/
このページにはバージョンごとのチェックリストもあります。サーバにEC-CUBEを設置されたことがある方なら難しいチェックではないと思います。ぜひ点検をされることをお勧めします。当社にご相談いただきましても、有償にはなりますが、チェックいたしますのでご連絡ください。