オープンソースのEC(電子商取引)サイト構築ソフト「EC-CUBE」の開発元であるロックオンは2017年2月9日、EC-CUBEで構築したECサイトの脆弱性を診断するサービス「EC-CUBEセキュリティ診断サービス」を発表、同日提供を開始した。診断期間は約3週間で、成果物として診断レポートを提出する。
サービスの価格(税別)は、初めて脆弱性診断を実施する場合の「スタンダードパック(10ページまで)」が60万円、1ページ追加につき2万4000円。過去に診断を実施済みで、微修正した箇所のみ簡易にチェックしたい場合の「リピーターパック」が30万円。
セキュリティベンダーのHASHコンサルティングが脆弱性診断を実施する。商品詳細やカゴの中など、狙われやすい箇所を重点的に検査する。各画面やパラメータの診断を、EC-CUBEの開発に精通した熟練技術者が手診断で実施することで、一般的な指摘や対策だけでなく、脆弱性の検証例やサイトの特性に合わせた対策を提案できるという。
このサービスを、EC-CUBEに付随するサービス商材として、ロックオンが窓口となって販売する。EC-CUBEのユーザーは、新規にECサイトを構築した時や、ECサイトをリニューアルした時、機能を追加した時などのタイミングで、セキュリティ診断サービスを利用できる。
EC-CUBEは、PHP言語で開発したECサイト構築ソフトである。推定で3万以上のECサイトがEC-CUBEで構築されているという。稼働環境は、WebサーバーがApacheかIIS(Internet Information Services)、データベース管理システムがPostgreSQLまたはMySQLである。
EC-CUBEのライセンスは、オープンソースのライセンスの一種であるGPL(GNU一般公衆利用許諾書)を適用した無償版ライセンスと、GPLの影響を受けない有償版ライセンスの二通りがある。ECサイトを構築して利用する用途であれば無償版で構わないが、EC-CUBEのソースコードをカスタマイズして第三者に販売するといった場合は有償版が必要になる。有償版の価格(税込み)は、1サイト当たり25万9200円。
EC-CUBEセキュリティ診断サービスの製品紹介ページでは診断レポートのサンプルをPDFで公開している。
