現在、経済産業省がキャッシュレス決済の拡充に向けて政策を進めています。

経済産業省のキャッシュレス政策について

まず、基本としてなんで日本はキャッシュレスを推進しているのかを説明しましょう。
シンプルに政府のコスト削減です。

実は、考えてみると明らかなのですが、現金を基本に使うと費用対効果がかなり悪い運用となります。まず、紙幣や貨幣を作るコストがかかります。そして、それを販売店側では管理するための機械や盗まれないようにするために保存用の金庫などが必要となります。
それに対して、キャッシュレス決済を利用するとその費用などが大幅に軽減できるはずなのです。

そのため、2023年10月現在経済産業省は「25年6月までにキャッシュレス決済の普及率を現在の32%から40%に高める目標」を定めて進めています。

参考記事は「クレカ決済、本人認証機能の導入義務化 24年度末までに(日本経済新聞 2023年1月20日)」です。

キャッシュレスの拡大に向け、安心してカードを使える環境

そのために、政府および経済産業省はカード発行会社や電子商取引(EC)サイト事業者に、環境整備を整えるように現在審議が進み、実際のサイトの状況確認をするように動いております。
将来的には基準に満たないサイトではキャッシュレス決済をできなくする方針です。

それでは、電子商取引(EC)サイト事業者はどのような対策をしないといけないのかの指針が出ておりますので、それを検証していきたいと思います。

カード会員データの漏えい対策(管理者サイド)

少し専門的な話になりますが、ネットショップからカード会員情報が漏洩しないためには2つの方向性で対策をしないといけません。

それは、「サーバーサイド」「プログラムサイド」の方向性です。

厳密に言うとサーバーのOSもプログラムなのですが、OS側で管理するものはここでは「サーバーサイド」として考えていただきます。ここでいう「プログラム」とはネットショップを実際に動かすために直接フロントエンド側に処理をするプログラムと定義させていただきます。

ここからは政府が「重点対策項目」としている項目に合わせて説明と対策を確認したいと思います。

管理者画面のアクセス制限と管理者の ID/PW 管理

ここでは、具体的に以下の3つのことを確認するようになっています。

  • 管理者のアクセス可能なIPアドレスを制限する。IPアドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。
  • 取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
  • 管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下(PCIDSS ver4.0基準)のログイン失敗でアカウントをロックする。

この三項目に関しては、先に説明した2つの方向性に関してのどちらからもアプローチできる部分があります。ですが、基本的に「プログラムサイド」で対応ができますので、WooCommerce においてはプラグインを導入することによって対応する形を推奨するようになるかと思います。
ちなみに WooCommerce の基本機能には上記の3つは一つも対応できていません。

WooCommerce でのプラグインの導入などに関しては別途記事にて掲載予定です。

データディレクトリの露見に伴う設定不備への対策

ここでは、具体的に以下の2つのことを確認するようになっています。

  • 公開ディレクトリには、重要なファイルを配置しない。
  • WebサーバやWebアプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。

こちらは1つ目は「サーバーサイド」の対応であり、2つ目は「プログラムサイド」の対応となります。

1つ目に関しては WooCommerce の場合は基本が WordPress となりますので、ここではサーバーの公開ディレクトリ内に wp-config.php ファイルを置かないようにすると言うのが重要な部分になるかと思います。

2つ目に関しては WordPress ではデフォルトでアップロード可能なファイルは制限されていますので、すでにクリアしています。
ただ、カスタマイズやプラグインでどれでもアップロードできるようにすることもできますので、もしそのような対応をしている場合は制限をするようにしてください。

Webアプリケーションの脆弱性対策

ここでは、具体的に以下の3つのことを確認するようになっています。

  • 脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
  • SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策として、最新のプラグインの使用(当該脆弱性が無いものが望ましい)やソフトウェアのバージョンアップを行う。
  • Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。

この3つは完全に「プログラムサイド」の内容となります。

まず、基本として WooCommerce 本体および WordPress 本体に関してはアップデートを行えていれば、全て対策ができていると考えて大丈夫です。

問題なのは「テーマとプラグイン」および「カスタマイズ」です。

テーマとプラグインに関しては、公式サイトで多く使われているプラグインであれば、コミュニティ全体でセキュアコーディング済みであるかどうかを調べる仕組みができているので、アップデートを行えていれば対応できていると考えられますが、公式サイトにないプラグインや利用数の少ないプラグインの場合は独自にチェックをしないといけません。

と言うことなので、WordPressのセキュリティ対策の基本である以下をしっかり守っていけば、基本的には大丈夫なのです。

WordPress のコアとプラグインおよびテーマは
信頼できるものを選び
アップデートを常に迅速に行う

カスタマイズに関しては、開発会社に依存します。そのため、開発会社がセキュアコーディングが出来ていない場合、かなり危険になりますので、ネットショップオーナー様は開発契約書に開発時にはセキュアコーディングができているかどうかのチェックをする項目を設けておいた方が、自己防衛となります。
また、カスタマイズを依頼した会社にセキュアコーディングを旨とした運営保守をお願いした方が安全です。

ちなみに、弊社はどちらも対応可能ですので、良かったら弊社のサービスをご利用ください(営業活動)。

マルウェア対策としてのウイルス対策ソフトの導入、運用

こちらは「サーバーサイド」の対策が効果的です。

「サーバーサイド」で「マルウェア診断サービス」などを導入するなどの必要があります。

共有サーバーなどで、もし「サーバーサイド」で対応してもらえない場合はサードパーティのサービスもあるので、それを活用するのが良いでしょう。

この部分に関しては別途記事にて掲載予定です。

悪質な有効性確認、クレジットマスターへの対策

ここでは、「悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を1つ以上実施している。」と記載があるtのですが、基本的に WooCommerce の公式決済プラグインや私(田中)の開発している決済プラグインであれば、その対応が終わっています。

なので、信頼できる決済プラグインを利用すれば問題はありません。

不正ログイン対策(会員サイド)

不正ログイン対策においては、「会員登録時」と「ログイン認証時」と「属性変更時」の3つのフローにおいて個別のチェックを求められています。そして、以下の七項目を基本とされています。もちろん、フローにおいて使えない項目もあるので、それは対象外となっています。

  • 不審なIP アドレスからのアクセス制限
  • 二要素認証等による本人確認
  • 会員登録時の個人情報(氏名・住所・電話番号・メールアドレス等) 確認
  • ログイン試行回数の制限強化(アカウントパスワードクラッキングの対応)
  • ログイン時のメールやSMS 通知、スロットリング等
  • 不正検知システム(Fraud サービス)
  • デバイスフィンガープリント等

ここの部分が結構ヘビーです。と言うのも、ユーザー側にアクションが必要となりますので、離脱率が高くなる可能性のある対策が多いのです。2023年10月現在ではそれぞれのフローにおいて7つの項目のうちどれかの対策が出来ていれば許容されるようなので、どれかに絞ってしっかりと対策が出来ればいいかと思います。

ネットショップの最大の課題である、離脱率を上げ無いようにできる対策を考えて検討すべきかと思います。もちろん、費用対効果も見ながらですが。

この部分に関しては別途記事にて掲載予定です。

基本としては定期的にアップデートすること

この記事を読んでいただければわかるかと思いますが、まず第一に大事なのは、WordPress のセキュリティ対策の基本である、アップデートをしっかりすることというのが軸になると思います。

ネットショップを運営されている個人であれ、法人であれコアとプラグイン、テーマのアップデートは必ずしましょう。カスタマイズに関しても、アップデートを想定した開発を行いましょう。

今からはネットショップオーナーはサイトの運営保守にしっかりと対応をしないといけなくなります。正直なところ、今までも対応しないといけないのですけど。

もし、オーナー側で運営保守が出来ないなら開発会社にアウトソーシングするか、ASPを利用することをお勧めします。

ちなみに、弊社は対応可能ですので、良かったら弊社のサービスをご利用ください(営業活動)。

決済導入におけるシステムの厳格化について” に対して1件のコメントがあります。

コメントは受け付けていません。