【制度対応】附属文書20に基づくWelcartのセキュリティ設定確認ポイント

フォーラム その他 【制度対応】附属文書20に基づくWelcartのセキュリティ設定確認ポイント

タグ: 

  • このトピックには4件の返信、2人の参加者があり、最後にkamehouseにより1ヶ月、 1週前に更新されました。
5件の投稿を表示中 - 1 - 5件目 (全5件中)
  • 投稿者
    投稿
  • 2025年9月4日 3:17 PM #103726
    kamehouse
    参加者

    クレジットカード・セキュリティガイドライン(経済産業省附属文書20)に基づく申告対応の一環として、Welcartの運用環境におけるセキュリティ設定について確認させていただきます。
    現在、 wp-content/uploads/welcart-uptemp/ディレクトリ内にdb-backup.csvというバックアップファイルが生成・保存されていることを確認しております。
    このディレクトリはWeb公開領域に該当するため、URLを直接指定することでCSVファイルがダウンロード可能な状態となっており、機密情報の露見リスクが懸念されます。
    つきましては、以下の点についてご教示いただけますでしょうか:
    ① Welcartの仕様上、このファイルの保存先を非公開領域(例: wp-content/welcart-data/等)に変更することは可能でしょうか
    ② .htaccessによるアクセス制御(CSVファイルへの直接アクセス遮断)を推奨されているか
    ③ 本件について、ガイドライン上の「設定不備」として扱われる可能性があるかどうか
    現在は .htaccessによる遮断を検討しており、保存先の変更も含めて対応方針を整理中です。ご確認のほど、よろしくお願いいたします。
    ——————————————-
    WordPress のバージョン:6.8.2
    Welcart のバージョン:2.11.20.2507221
    PHP のバージョン:7.4.33
    Welcart専用の拡張プラグインとバージョン:WCEX Sagawa Number 2.0.2、WCEX Yamato Number 1.2.3
    ご利用の親テーマとバージョン :Welcart Basic 1.8.7
    ご利用の子テーマとバージョン :Welcart Voll 1.4.3
    利用している決済モジュール:e-SCOTT Smart ソニーペイメントサービス
    症状を確認したブラウザ:-
    サーバー【重要】:さくらのレンタルサーバ スタンダード
    ——————————————–

    2025年9月8日 1:42 PM #103735
    furuta
    キーマスター

    kamehouse 様

    こんにちは。
    クレジットカード決済のセキュリティ対策につきましては記事をご用意しております。まずはこちらをご確認いただけますでしょうか。クレジットカード決済のセキュリティ対策実施状況の申告とは |Welcartでの対処法について解説

    2025年9月8日 3:11 PM #103736
    kamehouse
    参加者

    furuta 様
    ご返信ありがとうございます。
    ご案内いただいたセキュリティ対策の記事を拝見いたしました。
    私の質問は、記事内の「② データディレクトリの露見に伴う設定不備への対策」のうち、
    「特定ディレクトリの非公開」に関する内容に該当するものと認識しております。
    現在、wp-content/uploads/welcart-uptemp/ ディレクトリ内に db-backup.csv というCSVファイルが存在しており、
    URLを直接指定することでダウンロード可能な状態であることを確認いたしました。
    このファイルがWelcartのどの機能により生成されたものか、また、運用上必要なファイルかどうかが不明なため、
    以下の点についてご教示いただけますと幸いです:
    – このCSVファイルはWelcartの標準機能によって生成されたものでしょうか?
    – 実行環境に影響なく、保存先を非公開領域へ移動することは可能でしょうか?
    – .htaccess によるアクセス遮断などの対策を講じても、Welcartの動作に支障はありませんか?
    セキュリティ申告対応の一環として、公開領域に機密性の高いファイルが存在することに懸念を抱いており、
    Welcartの仕様に即した安全な運用方法を確認させていただきたく、改めて質問させていただきました。
    お手数をおかけいたしますが、よろしくお願いいたします。

    2025年9月9日 4:58 PM #103739
    furuta
    キーマスター

    kamehouse 様

    記事をご確認いただきありがとうございます。
    ご指摘のディレクトリとファイルについて、社内で確認しましたので下記に説明させていただきます。

    wp-content/uploads/welcart-uptemp/ というディレクトリは、Welcart をバージョン 2.7以前よりお使いいただいているサイトで、Welcart 2.7 にアップデートをされた時に、商品データのバックアップファイルの保存のために作成しました。
    ▼Welcart 2.7 より前のバージョンから最新版へのアップグレードの手順
    https://www.welcart.com/archives/16772.html
    こちらの手順のとおりに更新できなかったり、ご自身でバックアップを取れなかった場合、商品データを復旧するためのデータを保存しています。もし万が一、現時点で商品データがアップデートに失敗して壊れているという場合は、保存データより復旧することが可能ですが、復旧の必要がなければディレクトリごと削除しても問題ありません。バージョン2.7以降の Welcartからは、このディレクトリ配下のデータを参照することはありません。
    このディレクトリは、Welcart 2.7以降のバージョンからご利用のサイトには存在しません。
    また、このディレクトリ配下には商品データのみ保存しており、個人情報を含む受注データ、会員データは保存していません。
    上記を踏まえて、以下に回答させていただきます。

    ① Welcartの仕様上、このファイルの保存先を非公開領域(例: wp-content/welcart-data/等)に変更することは可能でしょうか

    可能です。削除されても問題ありません。

    ② .htaccessによるアクセス制御(CSVファイルへの直接アクセス遮断)を推奨されているか

    特に推奨はしておりません。

    ③ 本件について、ガイドライン上の「設定不備」として扱われる可能性があるかどうか

    こちらにつきましてはガイドラインを確認し、不備にあたる場合は、ディレクトリを削除する機能などを検討いたします。

    – このCSVファイルはWelcartの標準機能によって生成されたものでしょうか?

    前述のとおりです。

    – 実行環境に影響なく、保存先を非公開領域へ移動することは可能でしょうか?

    可能です。削除されても問題ありません。

    – .htaccess によるアクセス遮断などの対策を講じても、Welcartの動作に支障はありませんか?

    支障はありません。

    以上です。よろしくお願いいたします。

    2025年9月9日 6:28 PM #103740
    kamehouse
    参加者

    furuta 様
    ご返信ありがとうございます。
    ご案内いただいた内容について、承知いたしました。
    以上、よろしくお願いいたします。

  • 投稿者
    投稿
5件の投稿を表示中 - 1 - 5件目 (全5件中)
  • このトピックに返信するにはログインが必要です。