「セキュリティガイドライン6.0」で求められる「脆弱性対策」を支援する「DGBTセキュリティ診断サービス」、DGビジネステクノロジー

デジタルガレージグループのDGビジネステクノロジーは、「脆弱性対策」の実施を支援する「DGBTセキュリティ診断サービス」の提供を始めた。

2025年3月改訂の「クレジットカード・セキュリティガイドライン6.0版」では、EC加盟店に求めるセキュリティ対策として「脆弱性対策」を追加。「DGBTセキュリティ診断サービス」は、ECサイトの体制やニーズに応じて柔軟に選べる形式で提供する。

対応範囲、緊急度、組織体制、予算に応じて、最適な診断プランを提案する。サービスは大きく3つのメニューで構成する。

• ガイドライン準拠チェック フルパック……ライト・スタンダード・プレミアムの3プランを用意。「ガイドライン6.0」でEC加盟店に対して求められる脆弱性対策5種の対応状況を包括的に診断する。診断対象のリクエスト数に応じてプランを選択できるため、サイト規模に適した対応が可能という。
• ガイドライン準拠チェック セレクト……限られた予算でも重点項目から対応できるオプションメニューだ。義務化された脆弱性対策5種のうち、必要な対策のみを選択して対応状況をチェックできる。これにより、段階的な対策の実施が可能となる。
• Webアプリケーション脆弱性診断……ECサイトの規模や予算に合わせ、ライトからフルオーダーまで6種類のプランを用意。従来では対応が困難だった柔軟な診断が実現できる。

「クレジットカード・セキュリティガイドライン6.0版」で求められるセキュリティ対策

クレジットカード不正利用の被害額が過去最悪（2024年は555億円）を更新する環境下、EC事業者にとってセキュリティ対策は事業継続に欠かせない基盤になっている。

ガイドライン6.0では、EC加盟店に求めるセキュリティ対策として「脆弱性対策」の実施を追加。不正利用対策として「EMV3-D」の導入義務化、適切な不正ログイン対策の実施を新たに求めた。

ガイドライン6.0で求めている5項目のセキュリティ対策は、カード情報保護対策として「カード情報非保持化」「脆弱性対策」、不正利用対策として「不正ログイン対策」「EMV3-D」「その他」（加盟店契約上の善良なる管理者の注意義務の履行、オーソリゼーション処理の体制整備）。

なお、「脆弱性対策」では、5項目にわたる技術的対策の実施が求められている。

• システム管理画面のアクセス制限とID/パスワード管理
• データディレクトリの露見に伴う設定不備の対策
• Webアプリケーションの脆弱性対策（例：SQLインジェクションなど）
• ウイルス対策ソフトの導入・運用
• クレジットマスター対策などの悪用防止対策（有効性確認対策） 

DGビジネステクノロジーによると、これらの対策のなかでも、Webサイトやシステムに対する脆弱性の発見と対応が、費用や手間、対応範囲の判断といった観点で実務上の負担が大きい領域となっているという。

特に中小規模のEC事業者にとって、セキュリティ専門人材の確保や対策費用の捻出は深刻な課題としている。