EC-CUBEの脆弱性が発表された、イタチごっこではあるが対応しないとECサイトとしては厳しい

管理人の元にはECサイト構築やモールへの出店の相談が来ることも多い。
自社ECサイトを構築する際に有用なのがEC-CUBEのようなオープンソースのECサイトプラットフォームなのだ。
しかしこうしたオープンソースのECプラットフォームにはイロイロと問題があるのも事実だ。

EC-CUBEのバージョン

EC-CUBEは国産ECプラットフォームとしては歴史のあるものだ。
オープンソースという事もあり独自でECサイトを構築する際には良く使われる。
たぶん国産のECサイトプラットフォームでは実績が一番多いだろう。

インターネットにさらされるECサイトではセキュリティー面で新しい攻撃に常に対応していく必要がある。
この対応を怠ると手痛い仕打ちを受ける事になってしまう。

EC-CUBEは現在3.0系バージョンに上がっているが主力は2.13系のバージョンだ。
ECサイトによってはさらに古いバージョンを使用している場合もある。
日々変化していくセキュリティーに対応していくためにはオープンソースのバージョンアップは必須なのだ。

今回は脆弱性が発見されたのでその対策としてバージョンアップされているのでできる限り対応した方が良いだろう。

オープンソースとカスタマイズ

せっかく自社ECサイトを構築するのだから様々な機能やデザインを導入したいだろう。
この時にプログラムのコア部分まで変更するようなカスタマイズを行うとバージョンアップの際に苦労することになる。

セキュリティーを考えるとオープンソースのバージョンアップは必須なのだ。
もちろん利用しているバージョンがバージョンアップ対象のサポート期間中である必要がある。
常にバージョンアップできるように使用するのがセキュリティー的にはミソなのだ。

セキュリティーパッチやバージョンアップ

こうしたECサイトのセキュリティーで良く問題になるのはクロスサイトスクリプティングやクロスサイトリクエストフォージェリが多い。

こうしたセキュリティーの問題点を対策しておかないとユーザーは安心してショッピングが楽しめない。
クレジット情報が盗まれたり個人情報が漏れてしまうような事があればショップの主催者の責任になってしまう。
信用も失墜してしまうのだ。

最近は独自ECを作るのにクラウドという方法もある

少し前までは独自ECサイトを構築するのにこうしたプラットフォームを使うしか方法が無かった。
しかし今ではクラウドという方法もあるのだ。

例えばこんな感じだ。
まず独自ドメインを取る。
次にクラウド上でECサイトが構築できるサービス(カートとも言う)と契約する。
クラウド上での出来合いのサービスなのでカスタマイズはかなり制限されるが良く出来ているモノもある。
これらは楽天市場のようなモールとは異なり独自でECサイトを構築したのとあまり変わらない。
外から見れば(ユーザーから見れば)独自サイトと分からないのだ。

こういう方式なら使うほうはサービスとして使用料を毎月支払う事で利用できる。
最近はこうした形が多くなっている。
これならセキュリティー対策はサービス提供側が行うので考えなくても良いのだ。
少しづつ状況は変わってきている。

今回はこのへんで
では