Lexicaのセキュリティ
概要
ECサイトは、商取引を行う必要性から、広範囲の個人情報を収集します。決済情報としてクレジットカード番号など特に機密性の高い情報を扱うことも多く、十分なセキュリティレベルを求められるアプリケーションのひとつと言えます。
一方でECサイトは、商品に興味を持つ人々のための情報発信を行うカタログサイトとしての性質を持つため、全サイトをログイン前提の高機密性サイトとして構築することが出来ません。
では、金融機関のサイトのように、一般閲覧者向けの領域とアカウント所有者向けの領域を完全に分離すれば良いでしょうか?これも答えは否です。ECサイトでは、利用者に様々な利便性を提供し、また商品の魅力を的確に伝え、サイトに対するロイヤリティを高めるために、多くのパーソナライズを必要としています。さらに、カートや「お気に入り」機能など、匿名状態でのトラッキングを前提にしたサービスも広く求められています。
ECサイトにおいては利用者は、パブリックなリソースと、匿名での追跡が行われるパーソナルなリソース、そして認証済みの個人のみが利用可能なプライベートなリソースを順不同にシームレスにアクセスします。このような特性があるため、ECサイトにおいては一般的な認証フレームワークを利用するだけでは安全と利便性のバランスがとることが難しいと言えます。
Lexicaは、認証・セッション・ページ別アクセスレベルなどを独自のEC専用フレームワークにより管理・制御します。利用者の利便性を十分に確保したサイトを構築しながらも、個々の機能のセキュリティ確保が個々の機能の設計に依存しないための仕組みとなっています。
客観的指標によるセキュリティ診断の実施
ERSでは製品の安全性に対する客観的指標として、IPAIPA(独立行政法人情報処理推進機構) https://www.ipa.go.jp推奨の脆弱性検査ツールIPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開などを利用した検査を随時実施しています。
さらに、年に一度の定期診断または特に重要なリリースにおいては信頼できる第三者機関によるセキュリティ脆弱性診断を実施し、問題の発見および修正を行っています。
EC専用の独自フレームワーク
Logicaのフレームワークは、EC専用のアプリケーション開発用APIとしてERSが独自に開発したものです。
一般的に利用されることの多いオープンソースのWebアプリケーション開発フレームワーク等とは異なり、EC以外のシステム開発に利用することを目的から除外しているため、フレームワーク機能自体にECに必要な特殊なアクセス制御やセキュリティ上の制約を組み込んでいます。これにより、個々の機能の実装による抜け漏れ・開発担当プログラマの業務的知識の不足による不適切な内部設計などに起因するセキュリティ上の問題を排除しています。
Security By Design
汎用フレームワークやスクラッチ開発で作成したアプリケーションでは、業務機能を実装した後に、業務上必要なセキュリティ対策を追加するという工程になってしまうことがしばしばあります。
Logicaでは、データベースへのアクセス等の基本APIのレベルでECとしてのセキュリティ要件を組み込んでいますので、機能を実装する前に予めセキュリティ対策を織り込むということになります。Logicaでは、検査に依存する手法ではなく、事前の設計プロセスで対処を行うセキュリティ・バイ・デザインの考え方によりセキュリティ品質をコントロールしています。
登録セキュリティスペシャリスト在籍
ERSには、コアメンバーとして複数の登録セキュリティスペシャリスト正式には情報処理安全確保支援士。サイバーセキュリティ対策を推進する人材の国家資格です。が在籍し、設計・開発および社内脆弱性診断の実施等を直接行っています。単なるデータ操作を記述できるプログラミングスキルではなく、情報セキュリティ全般に関する体系的な専門知識に基づいて製品の開発を行い、またシステム導入においても、顧客や開発パートナーに必要な場面で適切な助言を行うことができます。