第4回のテーマは
ECサイトのセキュリティ漏洩対策
ECサイトにおける離脱ポイントの対策
今回はテーマを2つに分け、前半はECサイトのセキュリティについて、後半はECサイトにおける離脱ポイントについて皆で考えを深めました。
ここ最近、ECサイトの情報流出を耳にする機会が多くなりました。「問題が起きる前に!」ということで急遽EC-CUBE千葉UGでもセキュリティをテーマにピックアップし、後半には過去の参加者から「取り上げてほしい!」と声があったECサイトの離脱ポイント対策について取り上げました。
シリアスなテーマですが、まずは他己紹介ワークで参加者同士コミュニケーションをとり、和やかな雰囲気でスタート。
他己紹介はペアを組んだ人のことをインタビューし、紹介してあげるワークです。自己紹介と違って自分で自分を紹介するわけではありません。その場で知り合った人の情報を一生懸命まとめて発表します。
出会ったばかりの人に紹介されてちょっと恥ずかしいながらも、皆さんの距離がぐっと近くなりました。
前半はRefine木原より、ECサイトが直面するセキュリティの課題を説明。
パッケージ型のカート「EC-CUBE」は自由にカスタマイズができる点が売りの一つですが、反面セキュリティの脆弱性を生んでしまうことがあります。
例えば
・自前でサーバーを用意した場合、設定上、脆弱性を生んでしまうことがある
・ワードプレスを同じサーバーに入れて運用することも多いが、ワードプレスのセキュリティホールから侵入されて情報が漏洩してしまう危険性があること
などです。
実際に情報が漏洩した後、どのような対応をする必要があるのかなども、具体例を交えてお伝えしました。
事後にとる漏洩に対する対策や、信用失墜も考えるとかなりダメージは大きいそうで、サイトを畳んでしまう例も少なくないようです。
また、よく仕掛けられるサイバー攻撃としてIPA(独立行政法人情報処理推進機構)様の資料も参考にさせていただきながら
・XSS(クロスサイトスクリプティング)
・CSRF(クロスサイトリクエストフォージェリ)
・SQLインジェクション
がどのような仕組みで行われているのか、対策も含めてシェアしました。
もちろん脆弱性について神経を張り巡らせることは重要ですが、「サイバー攻撃の被害を受けてしまう可能性を0にすることはほぼ不可能」です。
莫大なコストもかかるし、一時は良しとされたコードも時間が経てば脆弱性を孕んだコードに変わってしまうこともあります。
「事が起こらないようにする対策」も大切ですが「事が起こった後の対策」も同時に大切なのです。
具体的には例えば、
・製作者や運営者など多様なステークホルダーがいる中で責任の所在を明らかにしておく
・情報漏洩した場合の対応の手順を関係者にシェアしておく
・どういう経路で情報漏洩をアナウンスすれば良いかを明らかにしておく
などです。
さらにはサイトを取り扱う者(管理者)が「気をつけるべき事」もシェアされました。
・パスワードを使いまわさない
・一つの管理アカウントを複数の人物が使わない
・使っているパッケージのアップデートを怠らない
など。
「自分には関係ない」ではなくサイトに関わる人全員がセキュリティに対して意識を向ける必要がありそうですね。
いわゆる「攻撃」で起こってしまう被害だけでなく「不注意」から起こってしまう被害も少なくないようです。
最後に過去のECCUBEのセキュリティ上の問題点と、それがどのように改善されたか、また現在EC-CUBEが動いているサーバーにはクレジットカード情報は残らない事などもシェアがありました。
後半はRefine代表の大塚より、前回のユーザー会でリクエストがあったECサイトにおける離脱ポイントについての話。
実際に今動いているサイトを皆でみて、「自分だったらどこで離脱しそうか」の意見を出し合いました。
セキュリティの話の直後でしたが、活発に意見が出て(しかもなかなか皆さんの目の付け所が鋭く)ボードには書ききれないほどの意見が出ました。
・別タブで飛ばされるのがちょっと…
・初めて訪れたサイトなのに、新規会員登録を強めに推されて嫌だった
・詳細ページにあるこの数字の意味がわからない
などなど。
逆に、ここは「すごく綺麗!真似したい!」という例もありました。
・馴染みのない商材だけど、カテゴリがアイコン化されていて視覚的に理解ができた
・サイトがおしゃれだからずっと見ていられる
など。
普段、離脱ポイントを意識しながらECサイトを閲覧している人はあまりいないと思いますが、改めてこのようなワークをすると気づく点がいっぱいありました。
いざ自分がサイトを作ろうとした時にこういった経験が活きてくるかもしれませんね。
そして最後に、株式会社イーシーキューブの岡嶋さんより、7/23(火)に開催されるEC-CUBE DAYについての告知もありました!
「新しいショッピング体験を共に考え創る」をコンセプトにした、過去最大1,000名規模のECの祭典。
もちろん、Refineも参加します!新しいショッピングのカタチを一緒に体験しましょう!
第4回EC-CUBE千葉ユーザー会参加メンバーと、いつぞやのUGからやっている「C」ポーズで、パチリ。
なんで「C」なのかは誰も由来がわかっていないようですが「EC」の「C」である可能性が高いそうです(ほんとか?!)
ご参加ありがとうございました!
EC-CUBE千葉ユーザーグループとは?
ECサイト構築パッケージである「EC-CUBE」のユーザーを中心に、ECサイトのショップオーナー、開発者、EC-CUBEやテーマに関心がある人が集まるコミュニティです。
EC-CUBEのクローズドな会ではないので、どなた様でもご参加いただけます。
「イベント会場の前をちょっと通ったから寄ってみた」的な参加も大歓迎です。
EC-CUBE千葉ユーザーグループFaceBook
https://www.facebook.com/groups/eccube.chiba/