PCI DSS はベースライン： EコマースにおけるWebアプリとAPI保護の必要性

新しいものではありませんが、最新の PCI 標準ではガイダンスの範囲が大幅に拡大されています。 長年にわたる誤解は、「私は大丈夫です。ファイアウォールは設定済みです。確認済みです。」というものに要約できます。 この誤解は今や神話とみなすことができます。

アプリケーションの近代化、オムニチャネルのデジタルタッチポイントの増加、攻撃者の巧妙さの絶え間ない進化により、PCI DSSのコンプライアンスを満たすには、支払いスクリプトのセキュリティ、APIの保護、侵害された資格情報の迅速な検知と対応、定期的な脆弱性スキャンなど、多くのセキュリティ管理を追加する必要があります。

2025 Gartner Market Guide for Cloud Web Application and API Protectionによると、最新のPCI基準で全ての決済スクリプトにセキュリティ管理が義務付けられ、クライアント側の保護がますます重要になっています。

アーキテクチャの分散とハイブリッドやマルチクラウド環境にまたがるソフトウェア コンポーネントの散在により、Webアプリケーションはますます複雑化しています。 アプリケーション インフラストラクチャの分離とソフトウェア サプライチェーンの拡大によって、産業化された攻撃ライフサイクルの一環として、ビジネス ロジックやクライアントのブラウザを狙う脅威が増えています。

クライアント側の攻撃、たとえばインフォスティーラーは、ユーザーの認証情報を収集し、大規模な自動攻撃に悪用されることがあります。これを放置すると、アカウントの乗っ取りや詐欺につながる可能性があります。

フォームジャッキングは、悪意のあるJavaScriptをオンラインフォームに挿入し、ブラウザ上でユーザーの入力を直接盗み取ります。 多くはサードパーティのスクリプトの脆弱性を突いて実行され、従来の集中型セキュリティ対策では見つけにくい手口です。

Magecartは、ウェブスキミングを専門にするサイバー犯罪グループの総称であり、チェックアウト時に決済データを盗むJavaScriptコードをeコマースサイトに注入して狙います。

Webアプリケーションファイアウォール（WAF）は依然として戦略的なセキュリティ管理の要です。新基準では、すべての脆弱性が攻撃者に狙われる可能性を持つため、定期的に対応しなければなりません。 多くのWAFがAPIを保護できますが、現代のアプリケーション開発の迅速さに対応するには、ビジネスロジックの深部やサードパーティのエコシステム内で呼び出されるエンドポイントを、コードやテスト環境で動的かつ自動的に検出し保護する高度な機能が求められます。

ソフトウェアのライフサイクルプロセスと安全なコーディング技術を指針としつつも、リスク評価は常に行い、対策にはクライアントブラウザ、フロントエンドのWebアプリケーション、バックエンドAPIを含む本番環境での強固なランタイムセキュリティを求めます。これにより、高度に連携したデジタル体験に対する多様な脅威ベクトルを効果的に防ぎます。 

脆弱性とは、攻撃者に悪用される可能性があるソフトウェアの欠陥や弱点です。 アプリケーションが本質的にAPIベースのシステムになったことで、バックエンドのビジネスロジックは悪用されやすいリスクがあります。

F5 Labsの調査では、電子商取引セクターが高度な攻撃の割合で最も上位に入り、モバイルのクレデンシャル スタッフィングの44.82%が高度な攻撃であることを明らかにしています。 攻撃者は検出を逃れるために、有効なトークンの生成、テレメトリ信号の偽装、キーボードやマウス操作の模倣など、多様なツールを用いてブラウザ、モバイル端末、ユーザーの動作を巧みにシミュレートします。 攻撃者は防御を突破するために常に戦術を変え、Webアプリからモバイルアプリに切り替えたり、手法や手順のエスカレーションを図っています。

電子商取引分野への攻撃では、再販業者ボットがカートに追加する機能を悪用し、実際の顧客の取引を妨げるケースもあります。 分析された2000億を超えるWebおよびAPIリクエストのうち、5件に1件以上のカート追加取引が自動化されていました。

さらに、ボットは生成AIを使ってリアルな偽レビューを作成し、ユーザーレビューを操作しています。

F5 Labsの脅威調査で電子商取引の中でも、ファッション業界がスクレーパーの被害を最も多く受けており、ターゲットから大量のデータとコンテンツを抽出し、全Webトラフィックの53.23%を占めていることがわかりました。 スクレイピングは価格競争力を損ない、あなたの知的財産を危険にさらします。

最新のPCI DSSには、従来の企業全体のリスク評価に代わり、対象を絞ったリスク分析を採用するためのいくつかの推奨事項が含まれています。

特に、更新された標準は2025年3月31日に施行される2つのクライアント側要件により、増加するクライアント側攻撃の脅威に対処していますが、それらを満たす具体的な方法については規定していません。

これらの新しい規制は、悪意のあるクライアントサイドスクリプトがペイメントカード業界の脅威範囲を拡大していることを示しています。  不正なコード注入を防ぐコンテンツセキュリティポリシー（CSP）や、第三者アプリが改ざんされていないことを確認するサブリソース整合性（SRI）といった確立された対策は、特にAI時代の今、顧客の関心を惹きつけるためにデジタル体験を絶えず刷新する中で、実装と維持が非常に難しくなっています。

顧客はスムーズな取引を求めており、遅延や不具合、特にセキュリティ事故を絶対に許しません。 一般的に利用されているセキュリティ管理、例えばWebアプリケーションファイアウォールは、クライアントブラウザやバックエンドAPIの保護を十分に拡張できない場合があります。 CAPTCHAを使ったボット管理ソリューションは、高度なサイバー犯罪者による悪用を抑止するには効果が薄い一方で、利用者を大きく煩わせています。 多要素認証ですら突破される可能性があるのです。

攻撃者は、プラットフォームや業界、悪用できるビジネスロジックに応じてさまざまな手法を用います。電子商取引においては、購入希望者が商品をショッピングカートに追加できないことが重大な脅威となります。 取引やそこから得られる収益、そして顧客ロイヤルティすべてが危機に瀕しています。