2025年3月、クレジット取引セキュリティ対策協議会によりクレジットカード・セキュリティガイドラインが改訂され、6.0 版が公開されました。クレジットカード・セキュリティガイドラインとは、安全・安心なクレジットカード利用環境を整備するため、関連する事業者が実施すべきクレジットカード情報の漏えい及び不正利用防止のためのセキュリティ対策の取組を取りまとめた指針です。経済産業省が所管する「割賦販売法(後払い分野)に基づく監督の基本指針」において、セキュリティ対策義務の「実務上の指針」として位置づけられています。
このブログでは、6.0版で追加されたECサイト事業者(EC加盟店)に求められる2つの対策について、まとめます。
6.0版では、EC加盟店のシステム及びWebサイトの「脆弱性対策」の実施が明記されました。具体的な対策内容として、以下の5つのすべての対策を講じることとされています。
①システム管理画面のアクセス制限と管理者のID/パスワード管理
②データディレクトリの露見に伴う設定不備への対策
③Webアプリケーションの脆弱性対策
④マルウェア対策としてのウイルス対策ソフトの導入、運用
⑤悪質な有効性確認、クレジットマスターへの対策
③Webアプリケーションの脆弱性対策では、SQLインジェクションやクロスサイトスクリプティング対策に加えて、脆弱性の確認のため、脆弱性診断又はペネトレーションテストの定期的な実施の必要性が記載されています。
6.0版では、EC 加盟店の Web サイトの利用を開始する場面から商品の受け渡しが完了する場面までの「カード決済前」「カード決済時」「カード決済後」の取引の流れを「線」として捉え、その線上の各タイミングにおいて適切な対策を講じることが必要であるとされています。
「カード決済時」の対策であるEMV 3-Dセキュアの導入に加えて、「カード決済前」の段階からの不正ログイン対策が明記されています。具体的には以下の場面において対策を実施する必要があります。
以上のように、6.0版ではECサイト事業者(EC加盟店)に求められる対応が追加されています。これは、カード情報の非保持化対応を行っている事業者についても対象となります。
F5では、これらの一連の対応に活用できるソリューションを、F5 Distributed Cloud Servicesとして提供しています。
WAAP(Web Application and API Protection)では、WAFを中心とするその豊富な機能で、Webサイトを強力に保護します。また、Web App Scanningでは、定期的な脆弱性診断テストを実現します。これに加えて、Bot Defenseでは、不正ログイン対策として効果的なBot対策を実現します。
これらのサービスを統合的なシングルプラットフォームとして提供できるのが、F5 Distributed Cloud Servicesの特徴です。F5 Distributed Cloud ServicesはPCI DSSに準拠したレベル1認定サービスプロバイダであるため、ECサイトを運営されるお客様が安心してご利用いただけるクラウドサービスです。
F5 Distributed Cloud Servicesの詳細な機能や導入方法、また自社ECサイトでの活用方法についてご関心のある方は、ぜひお気軽に当社までお問い合わせください。
-------------
(参考URL)
クレジット取引セキュリティ対策協議会
「クレジットカード・セキュリティガイドライン【6.0 版】」
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.0_published.pdf
クレジット取引セキュリティ対策協議会
「クレジットカード・セキュリティガイドライン【6.0版】改訂ポイント【2025年3月】」
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_6.0_revisionpoint.pdf
クレジット取引セキュリティ対策協議会
「EC加盟店におけるセキュリティ対策一覧 1.0版」
https://www.j-credit.or.jp/security/pdf/supporting_document_a_members.pdf
経済産業省
“「クレジットカード・セキュリティガイドライン」が改訂されました”
https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html