ショッピングサイト構築について(物品販売です) - ホームページ・Web制作 - 専門家プロファイル

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

ショッピングサイト構築について(物品販売です)

法人・ビジネス ホームページ・Web制作 2009/06/11 17:17

ショッピングサイト構築プランを立てています。現在は企画段階で、社内会議で「個人情報」に対して懸念されています。
【1】ASPを利用して構築する。
【2】社内にある買い物カゴCGI(※)をカスタマイズし、買い物カゴ一式はSSL対応にする。
※数年前に無料配布CGIを利用規約に準じた改造を施してあるものです。

ご質問させていただくのは、
・以上2つ方法を比較した際、セキュリティレベルの違いは大きいか?
・サーバ証明書取得以外でするべきことは他にあるか?
です。
初歩的な質問かもしれませんが、何卒よろしくお願い致します。

黒王さん ( 大阪府 / 男性 / 29歳 )

回答:4件

小坂 淳 専門家

小坂 淳
ウェブ解析士マスター

- good

管理体制の違いによります。

2009/06/11 17:59 詳細リンク

環の小坂です。

【2】の場合、どのようなサーバー管理(ファイヤーオールやアクセス制限など)を行うかや
サーバー管理方針などにもよりますので、
一概には言えませんが、
信頼できるASPであれば【1】の方が確実だと思います。

<サーバー証明書以外に必要なこと>
サーバー証明書は確かに個人情報保護の一つの方法ですが、
その中で重要な方法ではありません。

実際過去に個人情報を流出させた企業の大半がサーバー証明書を取得しているという話もあります。

というのはサーバー証明書はユーザが入力する際などの保護に過ぎないためです。
・データベースへのアクセス権をどうするか
・情報の保管ルールをどうするか
・それらの情報にアクセスできる人は誰か
・その人たちの教育・チェック体制はどうするのか
・ファイヤーオールなどの仕組はどうするのか
というところの方が重要で、いくらサーバー証明書があっても
DBにアクセスされてしまえば意味がないですし、
関わる人が多くチェック体制が弱いと洩れる要因となります。

そういった点で、信頼できるASPであれば、
管理はしっかりしていると思います。

ただ、以前楽天市場で個人情報が楽天の社員によって流出したように絶対ではありません。

<必要な個人情報を抑える>
カード決済情報などのようなシリアスな個人情報は
信頼できるカード決済代行会社などに任せるなど
自社では最低限の個人情報しか保有しないことも大切だと思います。

回答専門家

小坂 淳
小坂 淳
(東京都 / ウェブ解析士マスター)
株式会社環 
03-6892-3080
※お電話の際は「"プロファイル"を見た」とお伝え下さい。

お客様と一緒にウェブサイトの効果を高めていきます。

創業以来、「使いやすいウェブサイト」「PDCAサイクルを回し、常に向上するウェブサイト」を提案しています。アクセス解析、効果測定で問題点や改善点を発見し、ウェブサイトの集客・売上アップを支援するウェブ解析士(webアナリスト)として活動します!

質問やお悩みは解決しましたか?解決していなければ...

※あなたの疑問に専門家が回答します。質問の投稿と閲覧は全て無料です。
谷口 浩一

谷口 浩一
Webプロデューサー

- good

無料だからセキュリティが手薄、とは言い切れませんが

2009/06/11 17:54 詳細リンク

あれ、黒王さんでしたか(笑)。
先日の一連の情報がお役に立ててればいいですが。


無料配布ソフトの多くは、その使用において生じる不具合や、貴社が被るかもしれない被害について、多くの場合、免責との記述が利用規約に記載されてるんではないでしょうか。
そうなると、自社サイトであれば、試験的に使用ってこともあるでしょうが、クライアント向けにはどうでしょうね。

SSLによる通信の暗号化とサーバの認証だけではセキュリティーを確保したことにはなりません。
購入完了にいたるまでの一連のセッション管理だってきっちりできてないと。
このあたりは、前回もお伝えしましたが、一から作り込むよりも、やはりフレームワークを導入されるほうが、セキュリティの確保、スムーズな開発につながると思いますよ。
それが、ローカルにインストールするようなCMSであろうが、ASPであろうがです。
クレジットカードによる決済まで受けているのであれば、

ローカルCMS(サイト構築フレームワーク)→ASP(決済)

のような形態が一般的ではないでしょうか。


ご参考になれば幸いです。


成功するWeb戦略とホームページ制作のチームデルタ
谷口浩一


プログラムとネットワークの両方で

2009/06/11 18:44 詳細リンク

マジック・プロジェクト 海岸です。

まず、基本的なお話しとしまして、セキュリティは、プログラムとネットワークの両方で確保するものです。

プログラムにセキュリティの穴がなくても、サーバやネットワークに穴があれば意味がありません。

レンタルサーバ上でECサイトを運営する場合、個人情報を保存しているデータベースもインターネット上に公開されているサーバに存在しているケースがほとんどです。
サーバやネットワークにセキュリティホールがあった場合、どんなに優れたプログラムでも個人情報流出の可能性は高くなります。

こうした理由から、データベースサーバをインターネット上に直接公開していないサーバにすることによりリスクを軽減する手法が多くとられています。

プログラムだけではなく、運用環境にも注意をしてください。

>以上2つ方法を比較した際、セキュリティレベルの違いは大きいか?<

数年前に無料配布CGIと言う点でセキュリティホールが心配((メンテナンスされていないと言う意味で))です。
無料配布CGIの機能がわからないので何とも言えませんが、クレジットカード決済などの利用を考えていくとASPのほうが、便利で安心かと思います。
どこのASPが良いかと聞かれると困りますが……。

無料という意味では、オープンソース「EC-CUBE」という選択肢もございます。

>サーバ証明書取得以外でするべきことは他にあるか?<
運用するサーバ、規約類の作成、運用体制、商品情報、在庫管理、商品出荷(梱包資材)、決済方法、物流コスト計算などなど細かいところを考えれば色々あります。
実際にやるとなると、思った以上に決めなければいけないことが多いです。

以上、参考になれば幸いです。
──────────────────────────────
ホームページ制作・システム開発のマジック・プロジェクト
海岸秀憲


間違いなくASPを利用するべきだと思います

2009/06/12 08:07 詳細リンク

おはようございます。NBS峰崎です。

結論から申し上げると、ASPの利用をお勧めします。お調べいただければわかるかと思いますが、ECサイト専門のASPは色々とありますが、こちらはECに特化しているASPになりますので、特に個人情報においては大変神経質に対応をしています。

たとえば、フューチャーショップ2ですと、顧客情報については別途サーバーを設置することでサイトへの侵入を防御する手段を講じていますし、常にプログラムのバージョンアップを図っていますので、絶対とは言えないしにしても(こちらはすべてのことに適応しますが)、それなりの対応を講じています。

一方で社内で作成したCGIですと、やはりバグの問題、ソフトウェアのバージョンアップといったことに人的なコストがかかりますし、最終的な責任は自社で取らざるを得ず、運営上非常に厳しい状況になる可能性もございます。

技術的なことに関しては、上記のお二人が申し上げているとおりですので、責任の所在及び人的なコストを考えますとASPがいいのかなと私は思います。

NBS峰崎

質問者

黒王さん

ご回答ありがとうございます。

2009/06/12 11:02 固定リンク

サーバー証明書の件、了解しました。
これさえあれば、という感覚にならないように致します。ありがとうございます。
信頼できるASPとありますが、おすすめはございますでしょうか?

黒王さん (大阪府/29歳/男性)

質問者

黒王さん

ご回答ありがとうございます。

2009/06/12 11:05 固定リンク

無料配布CGIに関しては、お話お聞きして難しいかなと思いました…。ありがとうございます。
EC-CUBEについてですが、利用するサーバは現時点では決められていて、そこでは動作しないのです。
oscommerce、zen-cartなどでは信頼度はいかがでしょうか?
よろしくお願い致します。

黒王さん (大阪府/29歳/男性)

質問者

黒王さん

ASPを検討致します。

2009/06/12 15:59 固定リンク

人件費もそうですが、「責任の所在」は大事ですね。
その辺の認識も甘かったように思いますし、もっと色んな面からリスクを考える力が必要だと実感しました。
大変参考になりました。ありがとうございました。

黒王さん (大阪府/29歳/男性)

(現在のポイント:-pt このQ&Aは、役に立った!

このQ&Aに類似したQ&A

Web制作を請負う際に使用するフリープログラム kimidoriさん  2009-12-14 23:50 回答5件
SNS作成 wimpsさん  2007-11-11 21:40 回答7件
PHP&MySQLによる会員制サイトの構築について こつこつがんばさん  2014-05-01 18:22 回答1件
SEOにおける重複コンテンツ対策について hanatsubakiさん  2012-05-24 11:34 回答1件
OpenID対応のサイトについて 新米Webプロデューサーさん  2008-02-02 15:56 回答4件
専門家に質問する

タイトル必須

(全角30文字)

質問内容必須

(全角1000文字)

カテゴリ必須

ご注意ください

[1]この内容はサイト上に公開されます。

  • ご質問の内容は、回答がついた時点でサイト上に公開されます。
  • 個人や企業を特定できる情報や、他人の権利を侵害するような情報は記載しないでください。

[2]質問には回答がつかないことがあります。

  • 質問の内容や専門家の状況により、回答に時間がかかる場合があります。
気になるキーワードを入力して、必要な情報を検索してください。

表示中のコンテンツに関連する専門家サービスランキング

メール相談

ホームページSEO診断

ホームペーイjの内部SEOに特化したサービス

小菅 太郎

アイナパル

小菅 太郎

(ITコンサルタント)

その他サービス

格安ホームページ制作

貴社のサイトを格安でお作りします。

中沢 伸之

ストークデザイン

中沢 伸之

(Webプロデューサー)

メール相談

アメブロデザインテンプレートカスタマイズ承ります。

アメブロを個性豊かなデザインにしませんか?

小菅 太郎

アイナパル

小菅 太郎

(ITコンサルタント)