質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

プラグイン

プラグイン(plug-in)は、ソフトウェアアプリケーションの機能拡張の為に開発された、一組のソフトウェアコンポーネントのことを指します。

EC-CUBE

EC-CUBEは、主に日本国内で開発されているECコンテンツ管理システムです。ロックオン社のECKitを元にしてオープンソース化され、商品管理・受注管理・顧客管理・売上集計などECに特化した様々な機能を備えています。

Q&A

4回答

2283閲覧

ショッピングサイトのセキュリティについて

RSKK

総合スコア8

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

プラグイン

プラグイン(plug-in)は、ソフトウェアアプリケーションの機能拡張の為に開発された、一組のソフトウェアコンポーネントのことを指します。

EC-CUBE

EC-CUBEは、主に日本国内で開発されているECコンテンツ管理システムです。ロックオン社のECKitを元にしてオープンソース化され、商品管理・受注管理・顧客管理・売上集計などECに特化した様々な機能を備えています。

0グッド

2クリップ

投稿2020/09/30 11:20

Wordpressでコーポレートサイトを作成するにあたり、ショッピング機能をプラグインで付けたいというお客様がおられますが、セキュリティ上、プラグイン(welcart)を使用しない方が良いのではないかと思っております。
変わりにbase等のASPでショッピングサイトを開設し、コーポレートサイトからショッピングサイトへ飛べるようにしようと考えております。

以下がお伺いしたい内容です。(ショッピングサイトは小中規模です)
0. welcartはアップデートをすれば、セキュリティ的には問題ないのでしょうか?
情婦漏洩等の問題が起きたの場合に責任を問われるのは開発者、事業者のどちらでしょうか?
0. base等のASPの場合は、セキュリティ的には問題ないのでしょうか?
情婦漏洩等の問題が起きたの場合に責任を問われるのは誰なのでしょうか?
0. セキュリティ面に関しまして、EC-CUBEとwelcartですとどちらが良いのでしょうか?
0. 他に良い方法はご存知でしょうか?

どれか一つでもご回答いただけると幸いです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

セキュリティを仕事にしているものです。情報漏えいが起きた時にまず責任を問われるのは、サイト運営者です。それは「常識」の範疇ではないかと思います。

しかし、アプリケーションに問題がある場合は、サイト運営者が開発会社に損害賠償訴訟を起こすことがあります。今まで知られている判決は以下に示す2例ですが、弁護士の先生に伺ったところ、大企業の場合は信用に傷がつくので、裁判にはせずに、「開発会社がサイト運営者の言い値で損害賠償を支払っている」とのことです。こちら、有名な先生の言ですし、いかにもありそうなので私は「そういうものなのだな」と思っています。
問題は開発会社が小さいところですと、「サイト運営者の言い値で損害賠償を支払」うわけにはいかないので、そういうケースでは裁判になる場合があります。

判例1: SQLインジェクションでカード情報が漏洩した
こちら、情報漏えいの被害を開発会社に損害賠償を命じた有名な判決です。

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

判例2: SQLインジェクションの改修費用を支払わされた
こちらは、攻撃はうけていないのですが、中国のサイトに脆弱性情報が掲示されたのに対して、サイト運営者が、元々の開発会社とは別の会社に調査・改修を依頼して、その費用を元の開発会社に請求したものです。

SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ

いずれの判決も、開発会社の敗訴となっています。
ご参考までに。

投稿2020/09/30 22:19

ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2020/10/01 03:19 編集

> 「開発会社がサイト運営者の言い値で損害賠償を支払っている」 すごい話です。。。 最近だと、ドコモロ vs 銀行とか、SBI 証券の賠償金の出どころが気になるところですね。
KazuhiroHatano

2020/10/01 03:49

「この仕様だと〇〇しないと××するかもしれません」 →「金かかるならいらない」 →「小規模だからいらない」 →「短期間だからいらない」 あるある…(泣)
ockeghem

2020/10/01 03:53

ちゃんとそういう「やりとり」は記録に残しておかないといけませんね。裁判の際には証拠になりますので。
退会済みユーザー

退会済みユーザー

2020/10/01 03:56

> KazuhiroHatano さん リスクアセスメントの話でしかないはずなんですけど、そんなことが出来るのはそれなりのナレッジのある所だけですからね。 この質問も、リスクアセスメントやセキュリティ設計の話をすっ飛ばして、実装の(それもごく局所的な話)だけを切り取ろうとしてるし。非常に怖いと思います。
guest

0

お客様がおられますが

商用を前提としている時点で「赤の他人から無責任なアドバイスがつく可能性のある無償の質問サイト」で解決できる範疇を超えています。特に今回は法律の観点も絡んでくるのでは?
QAで済む話にはなりません。

「専門家の意見を聞きたい」のであれば、きちんととそれなりのお金をかけて専門家に対応を御願いされたほうが良いかと思います(専門家の方々はそれで生計立てています)

投稿2020/09/30 12:01

m.ts10806

総合スコア80875

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

welcartはアップデートをすれば、セキュリティ的には問題ないのでしょうか?

情婦漏洩等の問題が起きたの場合に責任を問われるのは開発者、事業者のどちらでしょうか?

残念な事に、主張が正しいどうかよりも頭の弱い側が責任を負わされる可能性が高いのが現実です。
上記加味してそのような状況になった場合を考えて、質問者自身はどのような立場になる(される)と思いますか?

情婦漏洩等の問題が起きたの場合に責任を問われるのは誰なのでしょうか?

前述の通りです。なぜなら頭の良い人は自分の身を守りながら仕事をするからです。
全ての立場の人が等しく頭の良さと条件で折れずに済むだけの力(つまり金)がある場合には本来責任を負うべき立場の人が責任を負う事になります。

他に良い方法はご存知でしょうか?

  1. 潔くお金を支払ってそういった対応に慣れている人に依頼する
  2. 質問者が不足していると感じる箇所を補ってくれる人(法律の面に不安があるなら提示の案件に強い弁護士)を雇うなどをする
  3. 意地でも金を払いたくないなら質問者自身の時間を割いてせめて**「責任を問われるのは誰なのでしょうか?」**という無知な部分(質問者が不足している範囲の知識)だけでも補強する

投稿2020/09/30 16:48

hentaiman

総合スコア6426

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

welcartはアップデートをすれば、セキュリティ的には問題ないのでしょうか?

情婦漏洩等の問題が起きたの場合に責任を問われるのは開発者、事業者のどちらでしょうか?

事業者です。

base等のASPの場合は、セキュリティ的には問題ないのでしょうか?

情婦漏洩等の問題が起きたの場合に責任を問われるのは誰なのでしょうか?

事業者です。

セキュリティ面に関しまして、EC-CUBEとwelcartですとどちらが良いのでしょうか?

ご自身で判断なさっては?外からではどちらのセキュリティが良いかはわからないことが多いです。
大多数が採用している方が安全で、少数が採用しているものが危険だった事例もあれば、
少数が採用している方が安全で、大多数が採用しているものが危険だった事例もあります。

他に良い方法はご存知でしょうか?

金もらっているならそれくらい調べた方がいいのでは?

責任の所在は事業者と書きましたが、事業者から開発者に責任を問われる可能性は十二分にあります。

投稿2020/10/01 01:14

編集2020/10/01 01:15
kyoya0819

総合スコア10429

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問