Q:ECサイトのセキュリティ
質問者│男性
ショッピングサイト構築プランを立てています。
現在は企画段階で、社内会議で「個人情報」に対して懸念されています。
【1】ASPを利用して構築する。
【2】社内にある買い物カゴCGI(※)をカスタマイズし、買い物カゴ一式はSSL対応にする。
※数年前に無料配布CGIを利用規約に準じた改造を施してあるものです。
ご質問させていただくのは、
・以上2つ方法を比較した際、セキュリティレベルの違いは大きいか?
・サーバ証明書取得以外でするべきことは他にあるか?
です。
初歩的な質問かもしれませんが、何卒よろしくお願い致します。
A:無料だからセキュリティが手薄、とは言い切れませんが
無料配布ソフトの多くは、その使用において生じる不具合や、貴社が被るかもしれない被害について、多くの場合、免責との記述が利用規約に記載されてるんではないでしょうか。
そうなると、自社サイトであれば、試験的に使用ってこともあるでしょうが、クライアント向けにはどうでしょうね。
SSLによる通信の暗号化とサーバの認証だけではセキュリティーを確保したことにはなりません。
購入完了にいたるまでの一連のセッション管理だってきっちりできてないと。
このあたりは、前回もお伝えしましたが、一から作り込むよりも、やはりフレームワークを導入されるほうが、セキュリティの確保、スムーズな開発につながると思いますよ。
それが、ローカルにインストールするようなCMSであろうが、ASPであろうがです。
クレジットカードによる決済まで受けているのであれば、
ローカルCMS(サイト構築フレームワーク)→ASP(決済)
のような形態が一般的ではないでしょうか。
ご参考になれば幸いです。
