経済産業省と日本クレジット協会は、クレジット決済の新規契約時に「セキュリティ・チェックリスト」に基づくセキュリティ対策の実施状況を申告するよう求めており、2022年10月より実施されることになりました。決済会社、決済代行会社によって開始日は異なりますが、全ての新規契約で実施され条件を満たしていない場合は契約ができなくなります。
では、セキュリティ・チェックリストに基づく対策措置状況申告書とはどのようなものか、またその対処はどのようにしたら良いのでしょうか。ここでは Welcart を使用したECサイトでの対処法についてご案内します。
目次
セキュリティ・チェックリストに基づく対策措置状況申告書とは
ECサイトの決済手段としてクレジットカード決済を導入する場合は、決済会社との契約が必要となります。この申込時の必要書類の一つに「セキュリティ・チェックリストに基づく対策措置状況申告書」というものがあります。このセキュリティ・チェックリストには、ネットショップで取り扱う顧客の情報が漏洩しないように、あるいはネットショップにアクセスする閲覧者が被害に遭わないようにするための対策項目が挙げられています。この対策全てを措置することができない場合、新規での契約はできないことになります。
チェックリストにはどのような項目がありどう対処するのかを以下に記しました。自分で対応できるものなのか、業者に委託しなくてはいけないのかの判断の材料にしていただけたらと思います。
チェックリスト① 【管理者画面のアクセス制限不備と管理者のID/PW管理不足】
WordPressの管理画面にログインを試みるブルートフォース攻撃は、全てのサイトが毎日のように受けている代表的な攻撃です。10秒に1回といった頻度で24時間、パスワードが見つかるまでログインを繰り返します。もしアカウントが乗っ取られることがあれば、設定変更、情報の閲覧、ファイルの改ざんなど何でも行えてしまいます。
管理者のアクセス可能なIPアドレスを制限する。IPアドレスを制限できない場合は、管理画面にベーシック認証等のアクセス制限を設ける。
対処法
基本的にBasic認証をかけておき、固定IPがある場合はBasic認証をスキップするといった設定が良いでしょう。これらの設定はサーバーに対して行いますので専門的な知識が必要となります。まずはサーバー会社に問い合わせてみてください。この処置を行うことで、ほとんどのブルートフォース攻撃はシャットアウトできます。
取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
対処法
二要素認証とは、ユーザーとスマホなどの端末を紐づけることによって本人認証を行うものです。この認証はプラグインで実装が可能です。Wordfence Security(作者: WPForms)をお勧めします。この処置を行うことで、たとえパスワードが盗まれてしまったとしても第三者がログインすることはできなくなります。
管理者画面のログインフォームでは、アカウントロック機能を有効にし、6回以上のログイン失敗の際はアカウントをロックする。
対処法
アカウントロック機能もWordfence Securityプラグインで実装可能です。どれだけの期間で何回失敗すると何分間ブロックするといった設定が自由に行えます。これは念のための処置と言えます。PCI DSS(※)では、6回以上というルールが定められています。
※クレジットカード情報の安全な取り扱いを目的に策定されたクレジットカード業界における国際セキュリティ基準
チェックリスト② 【データディレクトリの露見に伴う設定の不備】
公開ディレクトリには、重要なファイルを配置しない。(特定のディレクトリを非公開にする。公開ディレクトリ以外に重要なファイルを配置する。)
対処法
サーバーの設定が必要となります。 nginxを使用したサーバーでの設定の一例として、Welcartのログを隠す設定は以下の通りです。[code]location ~* /plugins/usc-e-shop/logs/.*$ { deny all; }[/code]
FTPを使ってサーバーのファイルを保存するといった運用をされている場合は、パスワードや個人情報が入ったファイルをサーバーに保存しないよう注意が必要です。どうしても保存が必要な場合は、必ず公開ディレクトリ以外のフォルダに保存しましょう。
WebサーバやWebアプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。
対処法
プラグインで実装可能です。WP Upload Restriction(作者: Sajjad Hossain)などがあります。チェックリスト③ 【脆弱性診断またはペネトレーションテストの定期実施】 【Webアプリケーションの脆弱性_SQLインジェクション】 【Webアプリケーションの脆弱性_クロスサイトスクリプティング】
脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
対処法
ペネトレーションテストはいわゆる侵入テストで、実際の手口で侵入ができるかどうかを検証するものです。非常にコストが高いので、これを定期的に行うのは小規模サイトでは厳しいでしょう。「脆弱性診断またはペネトレーションテストを」とありますので、脆弱性診断を選択して実施することで良いかと思います。 ただこれをユーザーが行うのは難しいと思いますので、脆弱性診断サービスを行っている業者に依頼することになるかと思います。機械的に診断ができますのでペネトレーションテストと比べてかなり安価になるはずです。サーバーエンジニアであれば、サーバーにVulsなどの診断ツールをインストールして自分で診断するといったことも可能です。
SQLインジェクションの脆弱性やクロスサイトスクリプティングの脆弱性対策として、当該脆弱性の無いプラグインの使用やソフトウェアのバージョンアップを行う。
対処法
悪意ある者は、公開されている脆弱性情報をもとに狙い撃ちしてきます。WordPressやプラグイン、テーマは常にアップデートを行い最新版を使用するようにしましょう。 また、メンテナンスされていないプラグインは更新通知を出さないので見逃してしまいがちです。一度使用しているプラグインの詳細を確認して、1年以上更新されていないようであれば別のプラグインに入れ替えた方が良いでしょう。こちらは運用・保守の処置となります。
Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みではあるか、ソースコードレビューを行い確認する。その際には、入力フォームの入力値のチェックも行う。
対処法
「セキュアコーディング済みではあるか、ソースコードレビューを行い確認する」とありますが、これはスキルのあるエンジニアによるチェックが必要となります。残念ながらこれも業者に依頼しなくてはいけないものになるかと思います。しかし、ソースコードレビューを行ってくれる業者というのはあまり聞いたことがありません。自分でカスタマイズする場合は、脆弱性についての知識が必要となるので十分に注意が必要です。カスタマイズを業者に依頼する場合も脆弱性対応をしてもらうよう念を押しましょう。
チェックリスト④ 【マルウェア対策としてのウイルス対策ソフトの導入、運用】
マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。
対処法
マルウェアによるウィルスに感染していないかを検知するソフトウェアをサーバーに導入する必要があります。一部のホスティングサービスでは、こうしたウィルス対策ソフトを導入しているところもありますので、サーバー会社に問い合わせてみましょう。また、自分のPCから感染したファイルをアップロードしてしまわないよう、PCにもアンチウィルスソフトを導入しておくことを強くお勧めします。
まとめ
このようにチェックリストの対処には、運用やプラグインでカバーできるものとサーバーの設定など専門のスキルが必要なものがあります。サーバー会社や制作会社に相談して委託ができるかを探ってみる必要があります。アカウントが乗っ取られたりサイト改ざんにより個人情報漏洩が発生すると、保証などの金銭的な損害だけでなく企業の信用の失墜となり計り知れない影響が出ます。お客様の情報を守るために、サイト運営者にはしっかりとセキュリティ対策を取って欲しいと思います。
弊社ではこういった作業の個別委託はお受けしていないのですが、Welcartでネットショップを安全に運用していただけるよう Welcartクラウド(ECパッケージ)サービスをご提供しています。こちらをご利用いただけますと、今回のチェックリストの対策が全て施されていますので、全てにチェックを入れてクレジット会社への申し込みができます。一度ご検討いただけたらと思います。
この記事は役に立ちましたか?
7
PAGE TOP