「クレジットカード・セキュリティガイドライン」は日本クレジット協会がEC事業者に対し対応を求めているセキュリティ対策の内容です。
近年様々なクレジットカード情報の漏えいが多発していることが背景となっており、対策をしない場合は2025年4月以降クレジットカード決済が利用できなくなる可能性があります。
対策しないと本当にクレジット決済できなくなる?
さて、この記事を見ている人が一番知りたいであろう「対策しないと本当にクレジット決済できなくなるのか?」についてまずは触れたいと思います。
個人の見解としては「クレジット決済できなくなる可能性は低い」と見ています。
理由は2つです。
- 対策をしたかどうかはチェックリストによる自己申告であること
- チェックリストの自己申告が正しいかどうか判断するすべがない
EC事業者がクレジット決済をサイトに導入するには決済代行会社と契約を行ない代行会社の決済システムを間借りする必要があります。今回「クレジットカード・セキュリティガイドライン」に基づくチェックリストを提出する先はその決済代行会社になるのですが、そもそも決済代行会社に自己申告制のチェックリストの内容が本当に正しいのか判断することは不可能です。(決済代行会社がすべてのEC事業者の対策内容をチェックして回るのは現実的ではありません)
ただし、クレジットカード情報の漏洩が多発している昨今の情勢では「クレジットカード・セキュリティガイドライン」の対策項目は迅速に導入すべき内容です。
セキュリティガイドラインの主な対応内容
決済代行会社から提供されるチェックリストの内容をベースにまとめました。チェックリストに記載されている対応項目は主に以下の内容となっています。
EMV 3-Dセキュアの導入
2025年3月末までにEMV3-Dセキュアの導入が求められています。
注意点として、3-Dセキュアの導入に関しては経済産業省からのお達しでもあるので対応は必須です。これは必ず導入しておきましょう。
管理画面のアクセス制限
求められている対応は以下です。
- 管理画面にアクセス可能なIPアドレスを制限する
※IPアドレス制限を実施できない場合はDigest認証等を設ける - 管理画面に対し二段階認証(もしくは二要素認証)を導入する
- 管理者画面のログインフォームにアカウントロック機能を導入する
※10回以下(PCIDSS ver4.0基準)のログイン失敗でアカウントをロックする。
過去の経験から言えることなのですが、管理画面にIPアドレスによるアクセス制限をかけるだけで多くのセキュリティ問題を未然に防ぐことが可能です。漏洩問題はそもそも「管理画面や管理者情報が事前に漏れている」ケースが非常に多いです。
また、異常な回数のログイン失敗を検知する仕組みを導入することは非常に有用です。様々な事情から管理画面に対しIPアドレス制限をかけることができない場合はパスワードの総当たり攻撃対策は必須と言えます。
マルウェア対策としてのウイルスソフトの導入と運用
- マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う
かなり厄介な内容です。つまるところECサイトに対しマルウェアを検知するためのウイルス対策ソフトを導入せよと書いてあるように読めるのですが、書かれている内容がふんわりとしすぎていてどのレベルの対応が求められているのかがわかりにくいというのが正直なところです。
※ちなみにシグネチャーの更新とは、ウイルス対策ソフトやセキュリティソフトのシグネチャーデータベースを最新のものにすることを指します。新しいウイルスやマルウェアに対応するためにシグネチャーデータベースは定期的に更新する必要があります。
ただ、例えば「リンク型決済などを導入すればマルウェア対策などに力を入れなくても大丈夫なのでは?」という意見もあったりするのですがセキュリティガイドラインには以下のような記載があります。
最近の傾向では、「非通過型」により非保持化を達成したEC加盟店における漏えい事故が主流となっている。これは、脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の基本的なセキュリティ対策を実施していないEC加盟店に対して外部からの既知の脆弱性の悪用やウイルスの侵入によりシステムの改ざんが行われ、カード情報が不正に窃取される漏えい事故が頻発しているからである。これらの基本的なセキュリティ対策は、カード情報の保持又は非保持であるかにかかわらず、EC加盟店が実施すべきものである。
クレジットカード・セキュリティガイドライン【5.0 版】 一般社団法人日本クレジット協会
つまり、以前までは非保持化(カード情報を「保存」「処理」「通過」させないこと)をしていればOKという認識だったのが近年では脆弱性を突かれたり管理者情報が漏洩するなどして悪意あるプログラムを仕込まれてしまい、非保持化を徹底していてもクレジットカード情報が盗まれる事例が多発しているということです。
そのため、ある程度のマルウェア対策は必須であると言えそうです。
脆弱性診断、またはペネトレーションテストを定期的に実施する
これまた厄介な内容です。仮に業者に脆弱性診断を依頼した場合かなりの金額が飛んでいきますのでEC事業者がこれを定期的に行なうことのハードルは非常に高いと言えます。
ただでさえ昨今のECサイトは利益が出にくい状況なのでクレジットカード決済を導入するためのコスト増は死活問題と言わざる得ません。
セキュリティガイドラインに対する感想
ガイドラインを遵守すれば間違いなく業界全体のセキュリティレベルが向上しますので昨今のクレジットカード情報の漏洩の多さを考えると妥当な内容と言えます。
ただ、EC事業者が実施するためのコストやリソースの負担を考えるとかなり厳しいものだと感じました。特に中小規模の事業者にこれを全うに対応できるかというと・・・
オープンソースを用いたECサイトの構築・運用をするのはかなり厳しい時代になってきたのかもしれません。