ECサイトのセキュリティ対策については、脆弱性対策や本人認証(EMV 3-Dセキュア)の導入など、事業者に求められる対応が明確化されています。一方で、「自社の対策は十分なのか」「どのような対応が必要なのか」といった疑問を持つ担当者の方も少なくありません。
特にクレジットカード決済を取り扱うECサイトでは、関連法令や各種ガイドラインへの対応が重要となっており、適切なセキュリティ対策の実施が求められています。
しかし、実際には「どの対策を優先すべきか」「どこまで対応すればよいのか」を判断するのは容易ではありません。
本記事では、以下のポイントについて整理して解説します。
- 「義務化」とされる内容の正確な位置づけ
- ECサイトに求められる主なセキュリティ対策
- 対策を進める際の考え方と実施手順
関連する制度や実務上のポイントを分かりやすくご紹介します。自社のセキュリティ対策を見直す際の参考としてご活用ください。
ECサイトのセキュリティ対策が「義務化」と言われる背景
経済産業省「ECサイト構築・運用セキュリティガイドライン」とは
ECサイトを狙ったサイバー攻撃と、それに伴うクレジットカード情報の漏洩が後を絶ちません。こうした被害を減らすため、IPA(情報処理推進機構)と経済産業省は2023年3月に「ECサイト構築・運用セキュリティガイドライン」を公開し、EC事業者が取り組むべきセキュリティ対策の考え方を示しました。
このガイドラインは、次の2部構成になっています。
- 第1部 経営者編:セキュリティを「事業継続のための投資」と捉え、経営層が責任を持って取り組むための指針
- 第2部 実践編:Webアプリケーションの脆弱性対策、ソフトウェアの最新化、管理画面へのアクセス制限、不正ログイン対策、二要素認証など、現場での具体的な対策の手引き
つまり、対策を「現場任せ」にせず、経営層と実務担当者の双方が役割を持って取り組むことが前提とされています。
出典:IPA「ECサイト構築・運用セキュリティガイドライン」
何が求められているのか(脆弱性対策とEMV 3-Dセキュア)
ECサイト、とくにクレジットカード決済を扱うサイトに求められる対策は、大きく2つの柱に整理できます。
脆弱性への対策
SQLインジェクションやクロスサイトスクリプティング(XSS)など、攻撃者に悪用される可能性のある脆弱性への対策が必要です。経済産業省のガイドラインやクレジットカード・セキュリティガイドラインでは、EC加盟店に対して適切な脆弱性管理を実施することが求められています。
そのためには、まず自社サイトにどのような脆弱性が存在するかを把握し、継続的に対策を講じることが重要です。脆弱性診断は、そのための有効な手段の一つとして活用されています。
不正利用への対策(本人認証)
なりすましによる不正利用を防止するため、クレジットカード決済を扱うECサイトでは、本人認証の仕組みであるEMV 3-Dセキュアへの対応が原則として求められています。
EMV 3-Dセキュアは、決済時にカード利用者本人であることを確認する仕組みであり、不正利用対策の重要な要素の一つです。2025年3月末までの導入推進を経て、現在では対応が前提となっています。
出典:日本クレジット協会 クレジットカード・セキュリティガイドライン 関連資料
「義務化」の正確な位置づけ(対象・根拠・措置)
「これは罰則を伴う“義務”なのか?」という点は、正確に理解しておくことが重要です。ECサイトのセキュリティ対策が「義務化」と言われる背景には、法令とガイドラインという性質の異なる根拠があります。
経産省「ECサイト構築・運用セキュリティガイドライン」
脆弱性対策などを示した指針で、それ自体に直接の罰則はありません。
改正割賦販売法+クレジットカード・セキュリティガイドライン
クレジットカード情報を扱う事業者には、カード番号の適切な管理と不正利用防止のためのセキュリティ対策が法律上義務づけられています。
対応が不十分な場合、カード会社(アクワイアラー)による調査を通じて、業務改善命令などの行政上の措置や、加盟店契約の停止・解除といった事業継続上のリスクにつながります。
つまり、カード決済を扱う場合、対策は実質的に必須と言えます。
なぜECサイトは狙われるのか|攻撃と被害事例
「うちのような規模のサイトが狙われるのか?」と感じる方は少なくありません。しかし実際には、規模の大小を問わずECサイトは攻撃の対象になっています。むしろ、人手やコストの制約で対策が手薄になりがちな中小規模のサイトほど、狙われやすいのが実情です。
データで見る、ECサイトの被害の実態
被害の深刻さは、数字にもはっきり表れています。
日本クレジット協会によると、2025年のクレジットカード不正利用被害額は約510.5億円。前年(約554.9億円)からはやや減少したものの、依然として500億円を超える高い水準が続いています。そのうち約93%(約475.4億円)を占めるのが「番号盗用」で、ECサイトなどから盗まれたカード情報が悪用されるケースが、被害の大半を占めている状況に変わりはありません。
さらに注目すべきは、被害の「大型化」です。東京商工リサーチの調査によると、2025年の上場企業における個人情報の漏えい・紛失事故は180件。件数自体は高止まりですが、漏えいした個人情報は約3,063万人分にのぼり、前年(約1,586万人分)の約2倍に急増しました。100万人を超える大型事故が相次いだことが背景にあり、「一度の事故で失う情報量」が格段に大きくなっています。
その主な原因が「ウイルス感染・不正アクセス」です。この種の事故は2年連続で100件を超え、過去最多の水準に達しました。件数や金額が横ばいでも、被害は決して落ち着いていません。むしろ「一度狙われたときの被害規模」と「不正アクセスの巧妙化」が進んでいるのが実態です。ECサイトを運営する以上、これは「いつ自社に起きてもおかしくない」リスクだといえます。
出典:一般社団法人 日本クレジット協会「クレジットカード不正利用被害の集計結果について」
出典:東京商工リサーチ「上場企業の『個人情報漏えい・紛失』事故」調査
ECサイトを狙う、代表的な攻撃の手口
クレジットカード情報の漏洩・Webスキミング
近年とくに増えているのが、決済画面に不正なプログラムを埋め込み、入力されたクレジットカード情報をそのまま盗み取る「Webスキミング(フォームジャッキング)」と呼ばれる手口です。利用者にも管理者にも気づかれないまま、長期間にわたって情報が抜き取られ続けてしまうケースもあります。
カード情報が漏洩すると、影響は金銭面だけにとどまりません。利用者への補償やカードの再発行、原因調査の費用に加えて、何よりお客様からの信頼を損なってしまうことが、事業にとって大きな痛手になります。
サイトの改ざん・不正アクセス
利用しているCMSやプラグインの脆弱性、推測されやすいパスワード、放置された管理画面などを突かれ、サイトを改ざんされたり、不正にアクセスされたりする被害も後を絶ちません。改ざんされたサイトが、訪れた利用者をフィッシングサイトへ誘導する踏み台にされてしまうこともあります。
多くの被害は「既知の弱点の放置」から
こうした攻撃の多くは、すでに知られている脆弱性が修正されないまま放置されていることが入り口になっています。裏を返せば、弱点を事前に見つけてふさいでおけば、防げる被害は少なくないということです。「どこに弱点があるか分からない」状態こそが、最大のリスクといえます。
ECサイトに必要なセキュリティ対策一覧
では、ECサイトを守るために、具体的に何をすればよいのでしょうか。代表的な対策を、「見つける・防ぐ・備える」の3つの観点で整理しました。
| 区分 | 対策 | 目的 |
|---|---|---|
| 見つける | 脆弱性診断 | サイトに潜む弱点を洗い出す |
| 見つける | ペネトレーションテスト | 攻撃者の視点で実際に侵入できるか検証する |
| 防ぐ | WAF(Webアプリケーションファイアウォール) | 攻撃の通信を継続的にブロックする |
| 防ぐ | EMV 3-Dセキュア(本人認証) | なりすましによる不正利用を防ぐ |
| 防ぐ | ソフトウェアの更新・パッチ適用 | 既知の脆弱性をふさぐ |
| 防ぐ | カード情報の非保持化/PCI DSS準拠 | 漏洩しても被害を最小化する |
| 備える | アクセス権限・パスワード管理、二要素認証 | 不正アクセスの入り口を減らす |
| 備える | ログの監視・バックアップ、インシデント対応体制 | 万一の際に早期に検知・復旧する |
「見つける」対策
攻撃を防ぐには、まず自社サイトのどこに弱点があるかを知ることが出発点になります。脆弱性診断やペネトレーションテストが、ここにあたります。
「防ぐ」対策
見つかった弱点をふさぐとともに、攻撃そのものを受け止める仕組みを用意します。WAFによる通信のブロック、本人認証(EMV 3-Dセキュア)、ソフトウェアの最新化、カード情報を自社で持たない設計などが代表例です。
「備える」対策
万が一を想定し、被害を最小限に抑える準備も欠かせません。権限・パスワードの管理、ログの監視、バックアップ、そして問題が起きたときの対応体制づくりです。
すべてを一度に、ではなく「現状把握」から
これらをすべて一度に完璧にこなす必要はありません。大切なのは、「いま自社がどこまでできていて、何が足りないのか」を正しく把握すること。そのうえで、リスクの高いところから着実に進めていくことです。その最初の一歩になるのが、次に紹介する「脆弱性診断」です。
弱点を「見つける」脆弱性診断
攻撃からECサイトを守る第一歩は、自社サイトのどこに弱点があるのかを正確に知ることです。弱点の場所が分からないまま対策を進めても、肝心の穴が残ってしまいます。この「見つける」役割を担うのが脆弱性診断です。
義務化の要件を満たすための脆弱性診断
クレジットカード決済を扱うECサイトには、脆弱性への対策が求められています。とはいえ、「脆弱性対策をする」と言っても、まず何が弱点なのかを把握しなければ始まりません。
脆弱性診断は、専門のエンジニアやツールを用いて、ECサイトに潜む弱点を体系的に洗い出すサービスです。診断結果のレポートは、改修の優先順位を決める材料になるだけでなく、「自社が必要な対策に取り組んでいる」ことを社内外に示す根拠にもなり、ガイドラインへの対応やコンプライアンスの観点でも役立ちます。
脆弱性診断でわかること
ECサイトの脆弱性診断では、たとえば次のような弱点を検出できます。
- SQLインジェクション:データベースを不正に操作され、顧客情報やカード情報が抜き取られる弱点
- クロスサイトスクリプティング(XSS):不正なスクリプトを埋め込まれ、サイトを訪れた利用者が被害を受ける弱点
- 認証・セッション管理の不備:ログイン機能やセッションの扱いの甘さを突かれる弱点
- 設定の不備:不要な機能の公開や、誤った権限設定など
いずれも実際の被害に直結しやすい弱点です。診断によって「どこに・どの程度のリスクがあるのか」が明確になり、限られた予算と工数を、優先すべき対策に振り向けられるようになります。
ペネトレーションテストとの違い
脆弱性診断と混同されやすいものに「ペネトレーションテスト」があります。両者は目的が異なります。
- 脆弱性診断:サイト全体を網羅的にスキャンし、弱点を「広く」洗い出す
- ペネトレーションテスト:攻撃者の視点で、実際に侵入できるかどうかを「深く」検証する
まずは脆弱性診断で全体の弱点を把握し、さらに踏み込んだ安全性を確認したい場合にペネトレーションテストを検討する——という進め方が現実的です。
バルテスの脆弱性診断
バルテスでは、ECサイトの中心となるWebアプリケーションの脆弱性診断をはじめ、プラットフォーム/ネットワーク、社内インフラまで幅広く対応しています。NISTのガイドラインに準拠した診断手法と、CISSPなどの資格を持つエンジニアによる分析で、「どこを・なぜ・どう直すべきか」まで分かりやすくお伝えします。ソフトウェアの品質保証で培ってきた知見を活かし、検出して終わりではなく、改修までを見据えたご提案を大切にしています。
攻撃を「防ぐ」WAF
脆弱性診断で弱点が見つかっても、そのすべてをすぐに修正できるとは限りません。改修には時間も費用もかかりますし、運用を続けるなかで新たな脆弱性が見つかることもあります。「見つけてから直すまでの間」や「直しきれない弱点」をどう守るか——ここで力を発揮するのがWAFです。
WAFがサイトを守る仕組み
WAF(Webアプリケーションファイアウォール)は、サイトへの通信を監視し、攻撃と思われる不正な通信を検知して遮断する仕組みです。Webスキミングのような攻撃や、脆弱性を突こうとする通信を継続的にブロックすることで、弱点が残っている間もサイトを守る“盾”の役割を果たします。
「見つける」と「防ぐ」は組み合わせてこそ
- 見つける(脆弱性診断) … 弱点を把握し、根本からふさぐ
- 防ぐ(WAF) … 攻撃を受け止め、被害を未然に止める
この2つは、どちらか一方だけでは十分ではありません。弱点を把握しながら、同時に攻撃を防ぎ続ける——両輪で取り組むことで、ECサイトのセキュリティは大きく向上します。
クラウド型WAF「PrimeWAF」
バルテスのクラウド型WAF「PrimeWAF」は、導入のしやすさと運用負担の軽さを重視したサービスです。専門の担当者を置きにくい中小規模のECサイトでも始めやすく、脆弱性診断とあわせてご利用いただくことで、ECサイトを「見つけて・防ぐ」両面から守ることができます。
まとめ|ECサイトのセキュリティ、まず何から始めるか
ECサイトのセキュリティ対策は、「義務化されるから仕方なく」ではなく、お客様の大切な情報と、自社の事業そのものを守るための取り組みです。とはいえ、やるべきことが多く、何から手をつければよいか迷ってしまうのも当然のことです。
進め方に迷ったら、まずは次の3ステップで考えてみてください。
- 現状を知る … 脆弱性診断で、自社サイトにどんな弱点があるかを把握する
- 弱点をふさぐ … 見つかった弱点を、リスクの高いものから順に対処する
- 継続的に守る … WAFなどで、攻撃を受け続けるリスクに備える
大切なのは、すべてを一度に完璧にしようとせず、「現状把握」という最初の一歩を踏み出すことです。そこさえ押さえれば、次に何をすべきかは自然と見えてきます。
「自社の場合、どこから始めればいいのか」「診断とWAF、どちらを優先すべきか」——そんな疑問があれば、まずはお気軽にご相談ください。バルテスは、脆弱性診断・ペネトレーションテストからWAFまでをワンストップで支援しており、お客様の状況やご予算に合わせた進め方を、一緒に考えます。