作業環境のセキュリティ
コマースクリエイターをご利用の方
WEBサーバ利用時のセキュリティ対策
FTPS対応ソフトの利用を強く推奨(FTPは盗聴リスクあり)
futureshopでは安全に配慮したサーバーをご提供しています。
FTP接続により、サーバーにファイルを設置してWebブラウザで閲覧できる状態にできますが、接続ID・パスワードを盗まれると、攻撃者がファイルの設置・改ざん・削除をすることが可能になります。
FTP接続の場合は、ID・パスワードも暗号化無しでサーバに送られてしまいますので、盗聴により盗まれる可能性が高くなります。接続の際はFTPSをご利用ください。
FTPSは「FTP over SSL」の略で、FTP時の通信に使用するデータを暗号化することができます。暗号化すれば、盗聴されたとしても解読が難しくなり、漏えいするリスクが非常に低くなります。
悪用を防ぐため、FTPSの使用に切り替えていただけますようお願いします。また、FTPクライアントソフトはFTPSに対応したバージョンをお使いください。
主なFTPS対応ソフトご紹介
| 主な製品名 | 会社名または開発元 | URL |
|---|---|---|
| NextFTP | トックス情報システム | https://www.toxsoft.com/index.html |
| WinSCP | オープンソース | https://winscp.net/eng/docs/lang:jp |
| FFFTP | オープンソース | https://forest.watch.impress.co.jp/library/software/ffftp/ |
| Cyberduck(Mac用) | オープンソース | https://cyberduck.io/ |
| Adobe Dreamweaver | アドビシステムズ株式会社 | http://www.adobe.com/jp/products/dreamweaver.html |
- 使用方法や最新バージョンの情報については、開発元をご参照ください。
- バージョンが古い場合、正しく動作しない場合がございます。
- 特定のソフトウェアの性能を保証するものではありません。
各ソフトのfutureshopサーバーへの接続方法はfutureshop虎の巻にてご案内いたしております。
https://qa.future-shop.jp/category/show/353?site_domain=default
サーバー領域(FTP領域)には個人情報や非公開の資料を保存できません
ディレクトリ(非公開領域)に保存してください
futureshopでご提供しているサーバー(FTP領域)は、いわゆるWebサーバーになります。Webサーバーは公開領域と非公開領域を持ちます。公開領域とは、インターネットで公開するファイルやデータを設置するところになります。
futureshopでご提供しているサーバーの公開領域は、「public_html」になります。
「public_html」または「public_html」内に作成したディレクトリに保存したファイルは、たとえリンクを設置しなくとも、インターネットで公開されていますので、不特定多数の方に見られる可能性があると考えてください。
回収したアンケートデータや、アクセス解析機能のあるプログラムでお客様(消費者)のアクセスデータを取得する場合のファイルなどは、第三者に閲覧されないように、「public_html」ではないディレクトリ(非公開領域)に保存してください。
重要情報は一時保存のみ、長期保存は厳禁
非公開領域は、業務用の書類や、アンケートなどで取得した個人情報を保存するためのサーバーではありません。
非公開領域は、公開する必要のないプログラムファイルや、アンケート回答などのWebフォームで集めるデータを一時的に置いておくといった目的でご利用ください。
futureshopでは安全に配慮したサーバーをご提供していますが、使用される店舗様には、公開しないファイルやデータをサーバーに置かない、というルールでお使いいただけますようお願いいたします。
サーバー領域(FTP領域)は不明なファイルを定期的に確認
サイトが何らかの攻撃や不正アクセスを受けてしまった場合、FTP領域に不明なファイルが設置される場合がありますので、不審なファイルが設置されていないか、定期的に確認をお願いします。
以下のような不明ファイルが存在する可能性があります
- 設置した覚えのないPHPファイル
- 設置した覚えのない.htaccessファイル
- 設置した覚えのない画像ファイルに偽装したPHPファイル
- ファイル自体は設置した覚えがあるが、内容が書き換わっているファイル(更新日付をご確認ください)
不審なファイルが発見された場合は、速やかに削除した上で、パスワード等の再設定をおこなってください。
バージョンの古いCMSプログラム(MovableTypeやWordpressなど)を利用し続けることで、不正なプログラムを配置されるリスクがあります。常に最新版にバージョンアップするようお願いします。
FTPサーバーのパスワードを変更する
サーバーへ接続するために必要なFTPパスワードは変更できます。必要なタイミングで、FTPパスワードを変更し適切に管理して下さい。
例えば、ECサイト構築時などに制作会社やEC支援事業者へ共有していたFTPパスワードは、構築完了して接続する必要がなくなった場合に、変更してください。
不審なファイルが発見された場合は、速やかに削除した上で、パスワード等の再設定をおこなってください。
FTPパスワードの漏洩が疑われる場合は、速やかにパスワードを変更してください。
なお、パスワードの変更方法は、FTPサーバーごとに異なります。パスワードの変更方法は別途お知らせしておりますが、お分かりにならない場合は、futureshopまでお問い合わせください。
作業用PC(パソコン)のセキュリティ対策
ご使用のPCにはウイルス・マルウェア対策ソフトを必ずインストール
店舗様が作業用でご使用されるPCについて、ウイルス対策ソフトをインストールし、常に最新版にしてください。
ウイルスの中には、PC内部に保管したファイルを、外部に送信してしまうものがあります。管理画面からダウンロードしたお客様の個人情報が含まれるファイル(受注情報・会員情報他)が、漏えいし、不正に利用される可能性があります。
主なウイルス対策ソフトご紹介
| 主な製品名 | 会社名 | URL |
|---|---|---|
| ノートン 360 | 株式会社シマンテック | http://jp.norton.com/ |
| ウイルスバスター | トレンドマイクロ株式会社 | https://www.trendmicro.com/ja_jp/forHome.html |
| McAfeeシリーズ | マカフィー株式会社 | http://www.mcafee.com/japan/home/ |
| カスペルスキーシリーズ | 株式会社カスペルスキー | http://www.kaspersky.co.jp/ |
- 特定のソフトウェアの性能を保証するものではありません。
不審なメールは開かずに削除し、万が一開いてしまった場合はリンクのクリックや添付ファイルのダウンロードをしないようご注意ください。
マルウェア「Emotet」は、メールを経由した攻撃により不正プログラムを展開することで感染し、端末の個人情報を窃取されます。添付ファイルやメール本文のURLを開く際には、十分ご注意ください。OSやセキュリティソフトを最新にする、WordやExcelのマクロを自動で実行させないようにする、などの対策をご検討ください。
社内でセキュリティ対策ガイドラインを設けて徹底する
以下のセキュリティ対策の徹底をお願いいたします。
- 社内のセキュリティガイドラインを策定し、全ての管理者への徹底をお願いします。
- テレワークを実施している場合は、テレワークでのセキュリティガイドラインを策定し、全ての管理者への徹底をお願いします。
- 作業用PCにてウイルス対策ソフトが稼働していること、常に最新のパターンファイルの更新を徹底してください。
- 作業用PCにてOSやソフトウェアを常に最新の状態とすることを徹底してください。
- パスワードは強固なものとし、作業者が個別に責任をもって管理してください。
- 外部サービスやブラウザの拡張機能・プラグインなどは、安全なものであるか必ず確認を行ってください。(越境ECなどのためにプロキシサーバを利用する場合など)
- 外部支援事業者に管理者アカウントを発行する場合も、上記の徹底を要請してください。
特に、昨今のテレワーク環境への移行によるセキュリティレベルの低下が懸念されます。
テレワークであっても、ウイルス対策・セキュリティ対策は必須です。
いま一度、ご利用店舗様におかれましては、セキュリティ対策についてチェックをお願いいたします。
常にセキュリティ情報を入手し、自社の対策に活用
お客様の個人情報・決済情報をお預かりする事業者として、適切なセキュリティ対策をとるとともに、セキュリティ関連の事件・事故についての情報入手をおすすめします。
『情報セキュリティ対策ガイドライン第3版(情報処理推進機構)』では、各種セキュリティ対策について説明されています。
内容ご参照の上、店舗のセキュリティを守る一助としてください。
中小企業の情報セキュリティ対策ガイドライン(IPA 情報処理推進機構)
主なセキュリティ情報サイト
| サイト名 | 会社名 | URL |
|---|---|---|
| セキュリティ、個⼈情報の最新ニュース:Security NEXT | 株式会社ニュースガイヤ | http://www.security-next.com/ |
| Japan Vulnerability Notes | JPCERT/CC and IPA | https://jvn.jp/ |
| JPCERTコーディネーションセンター | JPCERTコーディネーションセンター | http://www.jpcert.or.jp/ |
| 情報処理推進機構︓情報セキュリティ | 独⽴⾏政法⼈情報処理推進機構 | https://www.ipa.go.jp/security/ |