プロジェクトの概要
ECサイトでは、ガイドラインに沿った適切な不正利用対策および情報保護対策の実装が求められます。近年は、クレジットマスター攻撃や不正ログイン被害の増加に伴い、決済事業者やカードブランド側からも対策強化が強く求められています。本プロジェクトは、WordPressおよびWelcartで構築された運用中のECサイトを、経済産業省が公表する「クレジットカード・セキュリティガイドライン6.0版」に準拠させるためのセキュリティ強化対応です。
脆弱性対策
WordPress本体、テーマ、プラグインを最新化し、既知の脆弱性リスクを抑えました。あわせてファイアウォール設定を有効化し、不要な機能は制限しています。ボット対策としてCAPTCHAも導入し、自動化攻撃の発生を抑える設計にしています。
不正ログイン対策
管理画面には2要素認証を導入しました。ログイン試行回数の制限とアカウントロックにより、ブルートフォース攻撃を抑止しています。不審IPの制限、ログイン通知機能も併用し、異常検知と遮断の両面から守る構成にしています。
マルウェア対策
ファイル変更監視を有効化し、改ざんの早期検知を行える状態にしました。定期スキャンも設定し、継続的な監視の仕組みを整えています。
クレジットカード不正利用対策
決済は3Dセキュアを有効化し、本人認証を通す設計に変更しました。またSecure API接続を採用し、サイト側でカード情報を保持しない構成にしています。会員登録時はメール認証を導入し、不正登録のハードルを上げています。