売上の限界へ、UXの極みへ ECサイトの構築から運用までEC事業をトータルサポート
受付時間 平日9:00~19:00
セキュリティ
多重の攻撃防止策と定期監査でセキュアな環境を維持します
当社は、経済産業省の所管する独立行政法人情報処理推進機構(IPA)が定める、ITSS+セキュリティ領域を基準に、
各領域にて多重の対策を講じることで、お客様のシステムの保有する個人情報を強固に守ります。
アプリケーションの対策
セキュアコーディング
IPAが示す「安全なウェブサイトの作り方」「ウェブアプリケーションのセキュリティ実装 チェックリスト」新版をもとにセキュアなコーディングを行うよう設計/コードレビューを行っています。
不正な処理の防止
アプリケーションの処理実行に対して共通化されたルール(Content-Security-Policy)を適用することで、悪意ある不正処理の実行を防止しています。
コードの差分確認
アプリケーションの変更差分をリアルタイムでGit(差分管理ツール)に反映することで、アプリケーションの変更内容を監視します。
PCIDSS準拠
国際的なセキュリティ基準に沿い、お客様のECサイトでクレジットカード情報を保持することなく、利用者のクレジットカード情報を管理できます。
不正アクセスの遮断
Googleの「reCAPTCHA」や3Dセキュア2.0などが標準利用可能なため、ロボットによる大量アクセス、クレマスアタック(クレジットカードのクリーニングに対する大量攻撃)などを防ぎます。
google reCAPTCHA
BotによるWebサイトへの攻撃を防ぐためGoogleが提供しているサービスです。
ログイン、注文時、お問い合わせなど、入力項目が存在するフォーム画面に組み込むことで、ロボットに依るアクセスを遮断し、不正なスクリプトの投稿やクレマスアタックを防ぐことができます。
インフラの対策
当社ではお客様のインフラ環境にAWSを提案しております。
サーバー間の通信は暗号化保護され、
サーバー外部との通信もは統合されたセキュリティポリシーを適用することで、セキュアなインフラ環境を保ちます。
データの暗号化
RDSインスタンスを暗号化し、ストレージへの不正アクセスからデータを保護することができます。詳細はこちら
通信の暗号化
SSH/SSL接続に依り、すべての通信を暗号化することで、データの盗聴や通信の改ざんなどを防ぎます。
ポートの管理
開放するポートは必要最低限に定め、非公開領域へ接続可能なポートは接続元の制限を行います。通信の暗号化と併せて、通信/ファイル/データの改ざんを防ぎます。
WAFの導入
外部からの脆弱性を狙った攻撃やDOS(大量アクセスによる攻撃)を防御するため、WAF(Web Application Firewall)を導入します。
脆弱性検査
当社ではリリース前、大規模改修後、定期監査時に脆弱性診断を行っています。
サイトに存在するURLを対象とした静的・動的スキャンだけでなく、
ベースシステムに特有の観点を追加することで、お客様のシステム固有の脆弱性を検出・対処しております。
脆弱性検査で検知できる主な脆弱性
クロスサイトスクリプティング(XSS)
SQLインジェクション
HTTP ヘッダインジェクション
パストラバーサル
バッファオーバーフロー
OSコマンドインジェクション
書式文字列エラー
リモートファイルインクルージョン
アプリケーションエラー
OWASP ZAP
「OWASP ZAP」は、OWASPが開発/管理/提供を行う、オープンソースのWebアプリケーション脆弱性診断ツールです。また、IPAにおいても評価が行われており、当社の脆弱性診断には、この「OWASP ZAP」を使用しています。
OWASPは、アメリカに本部を置くNPO団体です。ソフトウェアやWeb アプリケーションのセキュリティに関する研究や、ガイドラインの作成などの活動を行っている、セキュリティ業界のデファクトスタンダードを推進する団体です。
定期監査
「OWASP ZAP」でのツールよる自動診断に加え、 当社では年に一回程度の頻度で一定の基準を満たしたサイトに対して、
SLAで定めたオリジナルの診断項目によってセキュリティ監査を実施しております。
監査項目
内容
脆弱性検査
脆弱性検知ツール「OWASP ZAP」を利用し、脆弱性検査を実施します。
パッチ適用確認
前回の監査移行で検出された脆弱性の対応が、個別システムで行われているかを確認します。
※脆弱性へのパッチ適用などの対応は随時行っております。
個人情報/認証情報に関わるファイルのアクセス設定確認
個人情報や認証情報など気密性の高い情報が配置されたサーバー/ディレクトリに対して、多重のアクセス制限が行われていることを確認します。
サーバー/認証画面への接続権限の確認
サーバーや管理画面などにアクセスできる権限者の棚卸を行い、離職者のアカウントなどで、不正な攻撃が行われることを防ぎます。
ログ/バックアップの保存確認
ログやバックアップが適正に取得できているかを確認します。
監査レポートの作成
上記の監査を基に、セキュリティの対応状況や、対策強化のご提案をいたします。
※監査内容は、システム内容、保守契約内容に依存します。
セキュリティ情報収集
当社では、増加/高度化するサイバー攻撃に対応するため、セキュリティ情報の収集、社内教育を継続的に行っております。
取締役に国家資格の「情報処理安全確保支援士(略称:登録セキスペ)」を保持する人員を配置し、
お客様の環境に対しても、適切なセキュリティ対応を提案させていただきます。
