ECサイトを運営する企業にとって、クレジットカード決済の安全性確保は最優先事項の一つです。不正利用や情報漏洩は、顧客の信頼を損なうだけでなく、企業の評判やビジネスに深刻な影響を与えます。2025年3月に「クレジット取引セキュリティ対策協議会第12回本会議」が開催され、「クレジットカード・セキュリティガイドライン【6.0版】」が公表されました。
「クレジットカード・セキュリティガイドライン【6.0版】」により2025年4月以降すべてのEC加盟店は、ウイルス対策および管理者権限の管理などの「脆弱性対策」と、EMV 3-Dセキュアの導入、不正ログイン対策などの「不正利用対策」を実施することが義務付けられました。ECサイト運営者の皆様におかれましては早急に対策を実施する必要があります。そこで本記事では最新のガイドラインに基づき、ECサイト運営者が実施すべきセキュリティ対策について解説します。
クレジットカード・セキュリティガイドラインとは
クレジットカード・セキュリティガイドラインは、安全・安心なクレジットカード利用環境を整備するために策定された指針で、クレジットカード会社、加盟店、PSP(Payment Service Provider)等のクレジットカード決済に関係する事業者が実施すべきセキュリティ対策の取組をまとめたものです。
このガイドラインは割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられており、ガイドラインに掲げられている措置またはそれと同等以上の措置を適切に講じている場合、割賦販売法で定めるセキュリティ対策の基準を満たしていると認められます。
最新版は、2025年3月4日に改訂された「クレジットカード・セキュリティガイドライン【6.0版】」です。
クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン
【6.0 版】」
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.0_published.pdf
最新ガイドライン【6.0版】の主な改訂ポイント
2025年3月に発表された「クレジットカード・セキュリティガイドライン【6.0版】」では、クレジットカード情報の窃取及び不正利用を防止するための新たな対策が盛り込まれました。これは、EC加盟店のWebサイトの脆弱性をついた不正アクセスや、フィッシング等により窃取されたクレジットカード情報の悪用などが続いていることを背景としています。
もともとEC加盟店に対しては、国際的なセキュリティ基準である「PCI DSS」に準拠するか、またはクレジットカード情報の「非保持化」に対応するかのどちらかが求められてきましたが、近年「非保持化」を実施したEC加盟店においてもクレジットカード情報の不正利用が多発している状況を受け【6.0版】としてガイドラインが改訂されました。
主な改訂ポイントは以下の通りです。
1.EC加盟店におけるカード情報保護対策の指針の追加
EC加盟店のシステムやWebサイトのウィルス対策、管理者の権限の管理、デバイス管理等の「脆弱性対策」の不備を原因としたカード情報漏えいを防止するため、「EC加盟店のシステム、およびWebサイトの『脆弱性対策』の実施」がEC加盟店におけるカード情報保護対策の指針対策に追加されました。
2.EC加盟店における不正利用対策の指針の追加
「EMV 3-Dセキュアの導入」と「適切な不正ログイン対策の実施」がEC加盟店における不正利用対策の指針対策に追加されました。 特にEMV 3-Dセキュアは、カード会社(イシュアー)による本人確認が適切に行われるための措置として重要視されています。
EC加盟店のシステム及びWebサイトの「脆弱性対策」の実施について
ECサイトが実施すべき具体的なセキュリティ対策
ガイドラインでは「1.EC加盟店におけるカード情報保護対策の指針の追加」として、EC加盟店のシステム及びWebサイトについて以下5つのセキュリティ対策を講じることとしています。
- システム管理画面のアクセス制限と管理者のID/パスワード管理
- データディレクトリの露見に伴う設定不備への対策
- Webアプリケーションの脆弱性対策
- マルウェア対策としてのウイルス対策ソフトの導入、運用
- 悪質な有効性確認、クレジットマスターへの対策
それぞれの対策について、詳しく解説します。
システム管理画面のアクセス制限と管理者のID/パスワード管理
管理画面へのアクセスを制限し、管理者アカウントの適切な管理を行うことが重要です。
具体的には以下のような対策があげられます。
- 管理画面へのアクセスを特定のIPアドレスからのみ許可する
- 管理画面のURL、およびパスワードが推測可能なものでないことを確認する
- 多要素認証の導入(2要素認証)
- ログイン試行回数の制限(10回)
データディレクトリの露見に伴う設定不備への対策
Webサーバーの設定不備によってデータディレクトリが外部から閲覧可能になることを防ぐための対策です。
具体的には以下のような対策があげられます。
- 顧客データや決済データなど重要なファイルは公開ディレクトリに設置しない
- WebサーバやWebアプリケーションにより、アップロード可能な拡張子やファイルを制限する
Webアプリケーションの脆弱性対策
EC加盟店はECサイト自体の脆弱性対策やウイルス対策などの基本的なセキュリティ対策を欠かすことはできません。 主な脆弱性対策には以下があります。
- 定期的な脆弱性診断と、必要な修正対応の実施
- SQLインジェクション、クロスサイトスクリプティング(XSS)対策として最新プラグインやソフトウェアのバージョンアップを実施する
- Web アプリケーションを開発又はカスタマイズされている場合には、セキュアなコーディングであるか確認する
マルウェア対策としてのウイルス対策ソフトの導入、運用
マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行いましょう。
悪質な有効性確認、クレジットマスターへの対策
クレジットマスターは、クレジットカード番号の規則性から番号を機械的に生成し、ECサイトなどで有効性を確認して番号を推測する攻撃手法です。ガイドラインでは、有効性確認の動きは通常の利用者の操作と明らかに異なることから、検知して遮断する対策が必要としています。
具体的には以下のような対策があげられます。
- 不審なIPアドレスからのアクセス制限、海外からのアクセスが不要な場合には遮断する
- 同一アカウントからの入力制限など有効なカード会員データの漏えい対策
- SMS通知など本人認証できる対策を行う
「不正利用対策」への指針対策について
EMV 3-Dセキュアの導入
EMV 3-Dセキュアは、オンライン決済時にカード会社による追加認証を行うことで、なりすましによる不正利用を防止する仕組みです。通常のクレジットカード決済に比べて、よりセキュアな取引が可能になります。
2025年3月末までに全ての加盟店対象がEMV 3-Dセキュアの導入が必須となり、原則として決済の都度、EMV 3-Dセキュアによる認証の実施を行うこととされました。
適切な不正ログイン対策の実施
最近は「会員登録型」のEC加盟店が主流となってきていることから、アカウント情報(ID・パスワード)を悪用された不正利用が増加しています。窃取した属性情報などを利用して不正アカウントの登録を行う「不正アカウント作成」と、窃取したアカウント情報を使用した「アカウント乗っ取り」という大きく2つの手口がありますが、不正利用発生のリスクに応じて、決済前の「会員登録時」「会員ログイン時」「属性変更時」といった場面ごとの対策が必要です。
会員登録時においては、不審なIPアドレスからのアクセス制限や、デバイスフィンガープリントなどが対策となります。ここでは割愛しますが、その他の対策については「セキュリティ対策導入ガイド【附属文書 20】」の第 2 部「3.不正ログイン対策(決済前の対策)」に記載されていますのでそちらを参考にしてください。
クレジット取引セキュリティ対策協議会「EC 加盟店におけるセキュリティ対策導入ガイド2.0版」
https://www.j-credit.or.jp/security/pdf/security_measures_for_EC_member_stores_installation_guide.pdf
具体的な対策はどのように進めればよいのか
EC加盟店が実際に取り組むべきセキュリティ対策を一覧化し、チェックリスト形式で分かりやすく整理した資料として、「EC加盟店におけるセキュリティ対策一覧 1.0版」があります。
クレジット取引セキュリティ対策協議会 「EC加盟店におけるセキュリティ対策一覧 1.0版」
https://www.j-credit.or.jp/security/pdf/supporting_document_a.pdf
「EC加盟店におけるセキュリティ対策一覧 1.0版」では、ログイン管理、カード情報の非保持化、ネットワークセキュリティ、ログ管理、脆弱性管理など、多岐にわたる項目について「最低限必要な対策」と「推奨対策」に分けて記載されており、ガイドラインの内容を実践に落とし込むための行動指針として活用することができますのでこちらを参考に進めるのが良いでしょう。
対策を支援する Proactive Defense のサービス
Proactive Defenseでは、ECサイト運営者の皆さまが「クレジットカード・ガイドライン【6.0版】」に対応できるよう、以下のようなセキュリティサービスを提供しています。無料相談も実施中ですのでお気軽にご相談ください。
\ 無料相談受付中! /
脆弱性診断
Webアプリケーションやネットワークに存在する脆弱性を診断員が診断し、改善策を提示します。
開発会社だからこそわかる、現場目線の診断と対策提案
貴社のWebアプリケーションやネットワークに潜むリスクを、実際の攻撃者視点で診断員が手動で確認しご報告します。よくある「ツールで洗い出すだけ」の診断とは異なり、開発の実情を理解した上で、現実的かつ実装しやすい改善策をご提示します。
- 2008年頃から診断サービスを提供、ECサイトの診断実績多数
- 脆弱性の”発見”で終わらせず、修正作業のQA対応など開発現場に寄り添った解決までサポート
セキュア開発トレーニング
開発者向けにセキュアコーディングの基礎から最新の対策までを学べるトレーニングを実施しています。
明日からの開発で”使える”、実践重視のトレーニング
開発者自身がセキュリティの原理と対策を理解し、設計・実装段階で脆弱性を「作らない」ことが最大の防御です。現場のレベル感に応じてカスタマイズ可能なトレーニングをご提供します。当社でも実施しているセキュア開発トレーニングを受けて、他の開発会社より一歩進んだ開発体制にしましょう。
- 開発現場で頻出する攻撃例(XSS、SQLi、CSRFなど)に絞った、効率の良いカリキュラム設計
- 開発チームの標準化・セキュリティ文化醸成にも貢献
セキュリティコンサルティング
セキュリティポリシーの策定など、総合的なコンサルティングで安心のセキュリティ体制構築を支援します。
開発から運用・事故対応まで、ワンストップでご支援可能
セキュリティポリシーの整備、リスク分析など対策の初期から運用段階のフィットギャップまで、企業の実情に即した現実的なセキュリティ体制の設計と運用をご支援します。
- 「守るべき資産」の洗い出しからゼロベースで支援
- 経営層への報告用資料の整備や教育支援も対応可能
Proactive Defense に依頼するメリット
開発実務を深く理解しているセキュリティのプロだから、机上の空論ではなく「現場で本当に使える知識」が身につきます。セキュア開発トレーニングに加え、開発規約や社内ポリシー策定支援までご支援可能。開発文化にセキュリティを根づかせます。
\ 無料相談受付中! /
まとめ
クレジットカード不正利用被害は年々増加しており、日本クレジット協会によると、2024年のクレジットカード不正利用被害額は、残念ながら過去最高の555億円となりました。ECサイト運営者は、最新のクレジットカード・セキュリティガイドラインに基づいたセキュリティ対策を実施し、顧客の安全と自社の信頼を守ることが重要です。
特に、基本的な脆弱性対策とEMV 3-Dセキュアの導入は、2025年4月以降、全てのEC加盟店に求められる必須の対策となりました。したがって、2025年4月以降は、基本的な脆弱性対策とEMV 3-Dセキュアの導入が実施されていないECサイトは、ガイドライン非遵守となり、カード会社・決済事業者から是正を求められるリスクがあります。
早期に対応を進め、安全・安心なEC環境の構築に努めましょう。
\ 無料相談受付中! /
