セキュリティ対策措置状況とは
経済産業省および日本クレジット協会の要請にもとづき、EC加盟店様における基本的なセキュリティ対策の強化を目的として、EC加盟店様からの新規契約申込時にセキュリティ対策措置状況を申告いただき、適切な対策を実施していることを確認させていただきます。
昨今、カード漏えいの手口の変化もあり、基本的なセキュリティ対策が実施されていないEC加盟店様において、外部からの不正アクセスやウイルスの侵入、システムの改ざんや機器の脆弱性により、カード会員データを不正に窃取される事案が急増しているため、一層のセキュリティ対策強化のために実施する取り組みです。
よくある質問
必ず申告する必要があるのでしょうか?
はい、契約完了までにご申告頂く必要がございます。
セキュリティ対策状況の回答ができない場合、契約できないのでしょうか?
回答できる範囲で入力の上、代替策に回答できない部分の経緯等を記入いただき、お申込みください。
ご入力内容に不足がある場合は、弊社営業から追ってご連絡いたします。
セキュリティ対策が満たせていない場合、契約できないのでしょうか?
対策できていない項目がある場合でも、適切な代替策を実施していれば、ご契約可能です。
ご不明点がある場合は代替策にその旨を記入いただき、お申込みください。
弊社営業から追ってご連絡いたします。
現在はセキュリティ対策が満たせていませんが、今後対策の予定があります。今は契約できないのでしょうか?
代替策にその旨を記入いただき、お申込みください。弊社営業から追ってご連絡いたします。
ご不明点等ございましたら、加盟店様向けお問い合わせフォームからお問合せ下さい。
用語解説
| ベーシック認証 |
ベーシック認証(Basic認証)とはWebサイトの特定の領域、つまりページやファイルにアクセス制限をかけることができる認証方法の1つです。 ベーシック認証をかけると、認証をかけたWebサイトにアクセスしようとしたとき、下の画像のような認証ダイアログが立ち上がって、ユーザー名(ID)とパスワードの入力が求められます。 |
| 脆弱性診断 | ネットワーク・OS・ミドルウェアやWebアプリケーションなどに悪用できる脆弱性がないかをチェックして、セキュリティの状態を確認することです。 |
| ペネトレーションテスト | 想定されるサイバー攻撃の手法に基づき、ホワイトハッカーが実践的にシステムに侵入を試みることで攻撃耐性を確認するテストのことです。 |
| SQLインジェクション |
データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させます。 |
| クロスサイト・スクリプティング | SNSや掲示板サイトなど、ユーザーが入力操作できるサイトに仕掛けられたスクリプトをユーザーが実行すると、個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりするものです。 |
| プラグイン | 簡単にいえば「拡張機能」を指します。サービスやアプリケーションなどに機能を追加し、使いやすくするためのプログラムがプラグインです。 |
| セキュアコーディング | 悪意のある攻撃者やマルウェア等による攻撃に耐え得る、堅牢なプログラムを書くことを意味します。 |
| マルウェア | マルウェアとは、コンピューターウイルスやワームといった、コンピューターに不正な動作を行わせる悪質なソフトウェアを総称した言葉です。 |
| ウイルス対策ソフトのシグネチャーの更新 |
これまでに見つかったウイルスのデータパターンのことを「シグネチャ」と呼びます。 このシグネチャを定期的に最新化することで最新のウィルスに対応することができます。 |
| ウイルス対策ソフトの定期的なフルスキャン | ウイルス対策ソフトがインストールされているデバイスが有する、全てのファイルとプログラムをスキャンにかけ、潜在的な脅威が潜んでいないかを確認するためのものです。 |
| クレジットマスター | クレジットカード番号の規則性を悪用し、他人のカード番号を割り出す犯罪行為を指す言葉です。 |
| WAF(Web Application Firewall) |
WAFは、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。 ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象となります。 WAFは、SQLインジェクションやクロスサイト・スクリプティングのような種類の攻撃に対応することができます。 |
| 不審なIP アドレスからのアクセス制限 | ファイアウォールやWAF、アプリ等によって、海外等の不審なIPアドレスからのアクセス制限を行うことを指します。 |
| 二要素認証等による本人確認 |
ID・パスワードに加え、指紋や顔による生体認証またはメール・SMS認証などの複数の段階または要素の認証を組み合わせることで、セキュリティ強度を高めることを指します。 |
| 会員登録時の個人情報 (氏名・住所・電話番号・メールアドレス等) 確認 |
会員登録時の個人情報(氏名・住所・電話番号・メールアドレス等)が不自然な表示ではないか、また不自然な組み合わせではないかを確認することを指します。 |
| ログイン試行回数の制限強化 (アカウントパスワードクラッキングの対応) |
ログイン時のパスワード誤りが一定回数続いた場合に、ユーザーアカウントをロックアウトするような設定がされていることを指します。 |
| ログイン時のメールやSMS 通知 | 不正ログインをされた場合でも、会員本人に気づきを与えられるように、ログイン時にメール通知やSMS通知等を行うことを指します。 |
| スロットリング | スロットリングとは、一定時間内に受信可能なリクエスト数を制限し、制限を上回るリクエストがなされた際には受信を拒否することです。 |
| 不正検知システム(Fraud サービス) | ネットワーク上の通信を常時監視し、第三者によるクレジットカードの利用やなりすましなど、不正な取引を事前に検知するセキュリティ技術の一つです。 |
| デバイスフィンガープリント | ユーザーが使うデバイス(端末)の動作環境の特徴を、フィンガープリント(指紋)のように手掛かりにして、ネット上の行動を追跡する技術です。 |
セキュリティ対策措置状況の設問一覧
カード会員データの漏えい対策
不正ログイン対策