NRIセキュア、EC加盟店向けにクレジットカード決済のセキュリティ対策を評価・診断するサービスを提供開始

NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、クレジットカード決済を扱うEC加盟店に向けに、サイバーセキュリティ対策の実施を支援する「『EC加盟店におけるセキュリティ対策 導入ガイド』評価・診断サービス（以下、本サービス）」の提供を、本日開始します。本サービスは、本年3月に改訂された「EC加盟店におけるセキュリティ対策 導入ガイド」において、すべてのEC加盟店に求められているセキュリティ対策の実施を支援するものです。

◆すべてのEC加盟店に求められるセキュリティ対策とは

クレジットカードの安全・安心な利用に向けて、クレジットカード決済に関わる事業者が実施すべきセキュリティ対策をまとめた「クレジットカード・セキュリティガイドライン」が、経済産業省から公表されています。このガイドラインは、割賦販売法におけるセキュリティ対策を義務付ける「実務上の指針」として位置づけられており、EC加盟店に対しては、国際的なセキュリティ基準である「PCI DSS」[i]に準拠するか、またはクレジットカード情報の「非保持化」（非保持同等または相当含む）に対応するかのどちらかが求められてきました。

しかし近年、非保持化を実施したEC加盟店において、クレジットカード情報の窃取や不正利用が多発している状況を受け、本年3月4日に改訂された同ガイドライン（6.0版）およびその附属文書「EC加盟店におけるセキュリティ対策 導入ガイド（2.0版）」により、2025年4月以降、すべてのEC加盟店に対し、ウイルス対策および管理者権限の管理などの「脆弱性対策」と、不正ログイン対策やEMV 3-Dセキュア[ii]の導入などの「不正利用対策」を実施することが求められています。

◆本サービスの概要と特長

本サービスは、「EC加盟店におけるセキュリティ対策 導入ガイド」に照らして、お客様のセキュリティ対策の妥当性を評価するサービスと、EC加盟店のシステムおよびWebサイトのセキュリティ診断の2つのサービスで構成されており、EC加盟店を対象に提供します。

各サービスの詳細は、次の通りです。

１．セキュリティ対策の妥当性評価（第三者評価）

「EC加盟店におけるセキュリティ対策 導入ガイド」に記載されたセキュリティ対策に沿って、NRIセキュアの専門家が対策の実施状況をヒアリングし、妥当性を評価します。不十分な対策がある場合には、クレジットカード決済のセキュリティ分野で培った豊富な支援実績とノウハウを活かして、お客様のシステム特性やビジネス環境を考慮したうえで、最適な対策案を提案します。

２．セキュリティ診断

「EC加盟店におけるセキュリティ対策 導入ガイド」で実施が求められている、EC加盟店のシステムおよびWebサイトの脆弱性診断やペネトレーションテストを実施します。実施にあたっては、NRIセキュアのグループ会社である株式会社ユービーセキュア[iii]が担当し、同社の豊富な診断サービスメニューの中から最適な診断サービスを提供します。

本サービスの詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/secure-ec

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] PCI DSS：Payment Card Industry Data Security Standardsの略称で、クレジットカード情報の漏えいを防止するために、国際ペイメントカードブランド5社によって設立されたPCI SSC（Payment Card Industry Security Standards Council）が策定するクレジットカード業界におけるセキュリティ基準のことです。

[ii] EMV 3-Dセキュア：クレジットカードの非対面取引において、デバイス情報やカード利用履歴などを用いて不正利用のリスク判断を行い、低リスクと判断された場合は追加認証なしで取引を完了できる本人認証手法です。

[iii] 株式会社ユービーセキュアについては、次のWebサイトをご参照ください。https://www.ubsecure.jp/