ECサイトのセキュリティ
コマースクリエイターをご利用の方
ECサイト会員機能のセキュリティ設定
会員パスワードの桁数は
6桁以上・英数混在・英大小文字混在を強く推奨
futureshopでは、会員登録時に設定するパスワードの最小桁数や使用可能な文字種を設定することが可能です。
一般的なリスクの例として、ログインIDとパスワードを推測して、機械的にログインを繰り返し、IDとパスワードを盗み出すような手口で事件が起きたことがあります。
大手SNSサービスや、大手ポータルサイト、通販サイトなどで起きたことがあります。(新聞などで報道されました。)
防止のためには、お客様に複雑で推測しづらいパスワードを設定していただくことが必要です。英単語ではないもの、記号や数字が混じったできるだけ長いパスワードならば、上記のような事件を防ぐことができます。
futureshopではお客様のパスワードを複雑に設定できる機能をご用意していますが、実際に設定していただくために、店舗様からお客様へ、呼びかけや告知をしていただきますようお願いします。
メールアドレス認証機能で悪意のある会員登録を防止
会員登録時、メールマガジン登録時に、メールアドレスの認証を行えます。
認証機能の有無は設定によって切り替えることができますが、悪意のある会員登録を防ぐために有効化されることをお勧めします。
ECサイト制作時のセキュリティ
Webスキミング防止機能が実装されています
Webスキミング防止機能によって、個人情報・決済情報・パスワードなど重要情報が記載される画面での「iframeの利用」「外部JavaScriptファイルの読み込み」が制限されます。
iframeタグ削除
iframeタグとは、別のhtmlファイルやPHPファイルを読み込んで画面に表示するものです。
読み込まれる「外部ファイル」が改ざんされ、攻撃に利用されるリスクがありますので、対象画面ではiframeタグを削除します。
例)<iframe src="https://example.com/sample.html"></iframe>
外部ファイル読み込んでいるscriptタグ削除
読み込まれる「外部JavaScriptファイル」が改ざんされ、攻撃に利用されるリスクがありますので、対象画面では外部ファイル読み込み用のscriptタグを削除いたします。
例)<script src="https://example.com/js/samplescript.js"></script>
- 連携システム(広告・トラッキング・MAなど)のJavaScriptについても、同様に削除されます。(連携システムでのJavaScript利用について)
-
外部サーバからのファイル読み込みを伴わないインラインスクリプト(scriptタグの中にJavaScriptが記載されているもの)は削除されません。
ただし、インラインスクリプトからの外部ファイル読み込みは禁止されます。
scirptタグ利用の例外
外部CDN(Google Hosted Libraries・cdnjs・jsDelivr・jQuery の4サイト)からのスクリプト読み込みは可能です。
https://ajax.googleapis.com/
http://ajax.googleapis.com/
https://cdnjs.cloudflare.com/
https://cdn.jsdelivr.net/
//code.jquery.com/
また、FONTPLUS, TypeSquare, Adobe Fontsのサービスも利用可能です。
測定タグは必要なページに必要なタグだけ設定
測定タグ設定の「共通出力」で出力する選択肢を選ぶと、設定されているタグがECサイトの全ページに出力されます。
以下のページに対しては、個別に出力する設定が可能ですので、全ページへ出力する必要がない場合は、個別に設定してください。
- トップページ
- 商品一覧(商品グループ・バンドル商品・クーポン対象商品)
- 商品検索結果一覧
- 商品詳細
- ショッピングカートページ
- 注文完了ページ
- 会員登録完了
- メールマガジン申込完了
また、「設定メニュー>プロモーション管理>測定タグ一覧」で不要な測定タグが「利用する」になっていないかご確認ください。
- 不要なJavaScriptの読み込みは、セキュリティ上のリスクが発生する可能性もあります。
フリーパーツによるJavaScript設定についての注意
JavaScriptをページに出力する方法として、パーツにscriptタグを直接記載し、レイアウトに配置する方法があります。
パーツは各ページのレイアウトに共通して配置できますので、scriptタグを記載するパーツは決めておき、JavaScriptを管理しやすくしてください。
一般的なリスクとして、ECサイトでJavaScriptを悪用して他のお客様(消費者)の情報を盗むという攻撃が行われた事例があります。
防止のためには、お客様が個人情報や決済情報を入力する画面で、不必要なJavaScriptを出力しないことが必要です。
JavaScriptを利用される場合は、セキュリティ脆弱性のない、安全な作りになっているか、依頼先制作会社などに確認していただくなど、十分に注意ください。
futureshopでは、より良いECサイトにしていただくため、店舗様が独自にJavaScriptをご利用可能な機能を設けています。
もし店舗様が、安全性を十分に確認できない場合は、お客様が個人情報や決済情報を入力する画面で、JavaScriptを使用しないようにしてください。
X-Frame-Options出力設定は
「DENYで出力する」が安全
X-FRAME-OPTIONSの値によって、(futureshopシステムによる)自動生成ページをフレーム内に呼び出すことができるドメインを許可するかどうかを設定することができます。
(Google Chrome 、Firefox、Edgeなどの最新版ブラウザがこの設定に対応しております。)
自動生成ページを同一サイトのフレーム内に呼び出す場合は、SAMEORIGINを選択ください。(推奨)
フレーム内に自動生成ページを呼び出ししているかどうか不明な場合は、「HTTPレスポンスヘッダにX-Frame-Optionsを出力しない」を選択することで、どのドメインからでも呼び出すことが可能になりますが、攻撃者のページからの呼び出しも可能になり、リスクが高くなります。
ECサイトでiframeを利用されているかどうかわからない場合は、制作を依頼された制作会社へお問い合わせいただくか、弊社サポートへご連絡ください。
店舗様にて独自に導入されたプログラムは、
店舗様にてセキュリティ管理を
店舗様が独自に導入されるプログラムにつきましては、設置方法にかかわらず、管理は店舗様にて行っていただきます。
- JavaScriptプログラム
- PHPプログラム
- その他の形式のプログラム
- futureshop管理画面内に記述したJavaScriptプログラム
- futureshopシステム以外のWebサーバに設置し、futureshopに読み込まれているプログラム
- プログラムの不具合や動作にかかわる事象への対応
- ファイルのバックアップ
- ファイルの改ざんへの対策
弊社では、店舗様が独自に導入されるプログラムについて、サポート対象外とさせていただきます。
ECサイト構築時に導入したものは、プログラムの開発元、発注先などにお問い合わせください。
制作会社様へのご発注の場合は、
リリース後までセキュリティに配慮
futureshopがご提供するサーバー、FTP領域およびPHPなどのプログラムが動作するサーバーには、MovableType・WordPressなどのCMS、その他のプログラムをインストールしてお使いいただけますが、以下の点にご注意ください。
独自プログラムにせよ、MovableType・WordPressなどのCMSにせよ、セキュリティへの配慮が必要になります。店舗様のサイトを構成する一部として使用するにあたり、インターネットを経由した攻撃を受ける可能性や、プログラムや作業ミスにより重要な情報が漏えいする可能性があります。
プログラムを開発・設置するにあたり、発注先に攻撃を想定した対策とテストがされているかをご確認ください。
リリース時は問題なくとも、のちに、脆弱性(危険性)が見つかる場合があります。その際に、独自プログラムならば追加改修を、MovableType・WordPressなどのCMSについては、脆弱性に対応がされた新バージョンの適用を依頼できるか、確認してください。
バージョンアップのお知らせをしてもらえるか、素早い対応ができるか、その場合の作業見積などを確認してください。
CMSプログラムは常にバージョンアップして最新化
攻撃などのリスクがあります
MovableType・WordPressなどのCMSアプリ※については、本体またはプラグインについて、それぞれプログラムの一部で脆弱性が指摘される場合があります。
脆弱性の指摘があると、通常、開発元または開発コミュニティが、対策済みのバージョンアップ版を公開します。できるだけ速やかに、対策済み版にバージョンアップする作業が必要です。
脆弱性のある旧バージョンを使い続けると、脆弱性を元に攻撃される場合があります。攻撃によって、Webサイトを改ざん、サーバーに保管している情報の漏えい、Webサイトを利用した個人への攻撃などのリスクがあります。
プラグイン・テーマファイルも必ず最新化
プラグイン・テーマファイルについても、アプリケーション本体と同様に、脆弱性が発見される場合があります。攻撃されるリスクがありますので、最新版に更新するなど速やかに対策を行ってください。
最新情報をご確認ください
| 主な製品名 | 会社名または開発元 | URL |
|---|---|---|
| Movable Type | シックス・アパート株式会社 | https://www.sixapart.jp/movabletype/ |
| WordPress | オープンソース | https://ja.wordpress.org/ |
CMSアプリケーションは、Movable Type/WordPress以外にも存在しますが、脆弱性に対して開発元または開発コミュニティが対策を行っているかどうか、利用する側で判断して、自己責任で使用する必要があります。
その他導入する全てのプログラムは、
セキュリティ配慮を開発元へ確認
アンケートフォームや掲示板など、インターネットでフリー公開されているプログラムや有料ライセンスで公開されているプログラムをfutureshopご提供のサーバーに導入される場合、当該プログラムがセキュリティに配慮されているか、開発元にご確認ください。
該当のプログラムを原因とするセキュリティ事案が起こった場合、開発元が責任を負うかどうか、どのような対応をするかどうか、使用規約や契約書類をご確認ください。
該当プログラムがセキュリティ脆弱性を持つために、サーバーそのものが不正アクセスされ、保存している情報が漏えいしたり、Webサイトが書き換えられるなどのリスクがあります。
アンケートフォームASPフォームメーラーのご案内
株式会社フューチャースピリッツがご提供する「アンケートフォームASP フォームメーラー」のご案内です。
ASP形式でアンケートに必要な機能が準備されています。
取得した個人情報については、フォームメーラーサーバーにSSL接続して取得していただくことになります。
管理画面が用意されていますので、直接ダウンロードせず入力情報を確認することができます。またアンケートを集計することができます。(有料版のみ)
無料版をご用意していますので、使い勝手などをお試しいただくことができます。
- 簡単なドラッグ&ドロップ操作!アンケートの独自項目を設定することができます。
- 生成されるフォームおよびデータ通信は、SSL暗号化通信対応。個人情報を扱うフォームにも安心してご利用できます。
- これまでの携帯(いわゆるフィーチャーフォン)だけでなく、iPhoneやAndroid携帯端末などのスマートフォンにも対応。
- 投票フォーム作成機能。投票結果は円または横棒グラフでグラフィカルに表示されます。
- アンケート・注文の集計も可能(有料版)。メールフォームの回答を集計・閲覧・保存・ダウンロードすることができます。
- 入力・確認・完了画面に、Google Analyticsまたは、Yahoo!アクセス解析のトラッキングコードを設置できます。