本ページプロモーションが含まれています
先日、Stripeから「セキュリティ・チェックリストへご対応ください」という件名のメールが届きました。
「専門用語ばかりで何を聞かれているのか分からない…」
「間違った回答をしたら、決済が止まってしまうかも…」
そんな不安を感じてしまいますよね。
でも、ご安心ください!私もです!(笑)
チェックリストを提出する際に調べたので、皆様にもシェアしますね!
※これはあくまで私が調べた情報に基づき、公開していますが、内容をよく読んでご自身が責任をもって回答をしてください。
目次
はじめに
このチェックリストは、あなたと大切なお客様を不正利用から守るための、とても重要な手続きです。
そして、
あなたが使っているサービスの種類(Shopifyなのか、WordPressなのかなど)によって、
回答の仕方はある程度決まっています。
この記事では、セキュリティの専門家でなくても、各項目が何を意味していて、どう答えればいいのかを一つひとつ分かりやすく解説します。
この記事を読み終える頃には、自信を持ってチェックリストに回答できるようになりますよ。
回答の大きな方針
このチェックリストは、Stripeのシステムについて聞いているのではありません。
あなたが運営しているウェブサイトやオンラインストアのセキュリティ対策について尋ねています。
回答の大きな分かれ道は、あなたが利用しているサービスです。
-
Shopify, BASE, WixなどのSaaS型ECプラットフォームを利用している方
→ 多くのセキュリティ対策はプラットフォーム側が実施してくれています。
そのため、ほとんどの項目で「はい」と回答できる可能性が高いです。
-
WordPress (WooCommerce), EC-CUBEなどを自分でサーバーにインストールして利用している方
→ あなた自身(またはサイト制作者)がセキュリティを管理する必要があります。
設定内容を一つずつ確認しながら回答しましょう。
-
開発会社にウェブサイトの構築・運用を委託している方
→ 最も確実なのは、開発会社にこの記事を見せて、一緒に確認してもらうことです。
それでは、各項目を順番に見ていきましょう!
導入方法の詳細をお知らせください
ここでは、あなたがStripeをどのように使っているかを聞かれています。
どのように決済を行いますか?
これは、お客様がどうやって支払いをするかの形式です。
-
Stripe Payment Links または Stripe Invoicing のみ
→ ウェブサイトにカート機能がなく、あなたが作った決済用URLや請求書をお客様に送るだけで決済が完結する場合に選びます。
(例: SNSでの販売、コンサル料の請求など) -
その他 (例えば、Stripe Checkout や Payment Element)
→ あなたのウェブサイトに「購入ボタン」があり、そこから決済画面に進む場合に選びます。ほとんどのオンラインストアはこちらに該当します。 -
よくわからない
→ 最終手段ですが、まずは上の2つのどちらに当てはまるか確認しましょう。
商品やサービスをオンラインで販売していますか?
オンラインで決済を受け付けているなら、ここは「はい」でOKです。
1. 管理者画面のアクセス制限と管理者のID/PW管理
これは、あなたのサイトの管理画面(WordPressのダッシュボードなど)のセキュリティに関する質問です。
-
管理者のアクセス可能なIPアドレスを制限する…
-
何を言っているの?
→ 「決まった場所(例: 会社のオフィス)からしか管理画面にログインできないようにしていますか?」という意味です。 -
どう答える?
→ この設定をしている方は少ないので、多くの場合「いいえ」で大丈夫です。
もし設定していれば「はい」を選びましょう。
-
-
取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
-
何を言っているの?
→ 管理画面にログインする時、パスワードに加えて、スマホアプリの認証コードなどを要求する設定(2段階認証)にしていますか? -
どう答える?
→ Shopifyなどは標準で有効化を推奨しています。WordPressでもプラグインで導入できます。設定していれば「はい」、していなければ「いいえ」です。
-
-
管理者画面のログインフォームでは、アカウントロック機能を有効に…
-
何を言っているの?
→ ログインパスワードを何回か間違えると、一時的にログインできなくなる機能はありますか? -
どう答える?
→ これは多くのサービスやWordPressのセキュリティプラグインに標準で備わっています。おそらく「はい」で問題ないでしょう。
-
2. データディレクトリ露出による設定不備対策
「見られてはいけないファイルが、誰でもアクセスできる状態になっていませんか?」という確認です。
-
公開ディレクトリには、重要なファイルを配置しない。
-
WebサーバーやWebアプリケーションによりアップロード可能な拡張子やファイルを制限する…
通常、Shopifyのようなプラットフォームや、正しく構築されたWordPressサイトでは、これらの対策は行われています。
専門的な設定をいじっていなければ、両方とも「はい」と回答して大丈夫です。
3. Webアプリケーションの脆弱性対策
あなたのサイトにセキュリティ上の弱点がないか、という確認です。
-
脆弱性診断またはペネトレーションテストを定期的に実施し…
-
何を言っているの?
→ 専門業者にお金を払って、サイトのセキュリティ診断をしていますか? -
どう答える?
→ 実施していなければ正直に「いいえ」で問題ありません。
-
-
SQLインジェクション…クロスサイト・スクリプティングの脆弱性対策を行う。
-
Webアプリケーションを開発またはカスタマイズされている場合には…セキュアコーディング済みであるか…確認する。
難しく聞こえますが、要するに「サイトを最新の状態に保ち、安全な状態を維持していますか?」ということです。
Shopifyなどのプラットフォーム利用者や、WordPress本体、プラグイン、テーマを常に最新版にアップデートしている方は、対策を行っていると見なせますので、両方とも「はい」と回答しましょう。
4. マルウェア対策としてのウイルス対策ソフトの導入、運用
サイトが動いているサーバーのウイルス対策についてです。
-
マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して…
-
どう答える? → Shopifyなどのプラットフォームや、主要なレンタルサーバー(Xserver、さくらインターネットなど)では、サーバー側のウイルス対策が提供されています。そのため、ここは「はい」で大丈夫です。
-
5. 悪質な有効性確認、クレジットマスターへの対策
他人のカード番号を不正に試す「クレジットマスター攻撃」への対策です。
-
悪質な有効性確認…対策を1つ以上実施している。
-
どう答える?
→ これはStripe自身が対策してくれています。 チェックリストの注釈にもその旨が書かれています。
Stripeを利用している時点で要件を満たしているので、ここは自信を持って「はい」を選びましょう。
-
6. 不正ログイン対策
これは、お客様があなたのサイトに会員登録してログインする機能に関する質問です。
【最重要ポイント】
もしあなたのサイトに会員機能(ログイン機能)がなければ、「会員登録時」「ログイン認証時」「属性変更時」の3つの項目すべてで「該当なし: 会員のログイン機能はありません」にチェックを入れれば完了です!
会員機能がある場合は、各項目で実施している対策を1つ以上選びます。
-
会員登録時 / ログイン認証時 / 属性変更時
-
二要素認証: ログイン時にSMS認証などを要求していればチェック。
-
ログイン試行回数の制限強化: パスワードを何回か間違えたらロックする機能があればチェック。(多くのサイトで実装済みです)
-
これらが実装されていれば、該当するものにチェックを入れましょう。
-
委託先情報
最後に、これらのセキュリティ対策を誰が担当しているかを選択します。
-
従業員 → あなたやあなたの会社のスタッフがサイトを管理している場合。
-
委託先企業 → サイトの制作や保守を外部の会社に依頼している場合。
まとめ
お疲れ様でした!一つひとつ見ていくと、それほど難しい内容ではなかったのではないでしょうか。
-
ShopifyなどのSaaS型サービスなら、ほとんどが「はい」でOK。
-
WordPressでも、常にアップデートを心がけ、基本的なセキュリティプラグインを入れていれば大丈夫。
-
一番の安心材料は、クレジットマスター対策はStripeがやってくれていること。
-
会員機能がなければ、セクション6は「該当なし」でOK。
このチェックリストは、あなたとお客様を守るための大切な手続きです。
この記事を参考に、落ち着いて一つずつ回答を進めてみてください。どうしても分からない項目があれば、サイトを制作してくれた会社に相談するのが一番の近道です。
これで、安心してStripeを使い続けられますね!
お知らせをいち早く受け取りたい方へ
LINE公式ではセミナーや講座の開催情報など、随時お知らせしていますので、ぜひ登録してお友だちになってくださいね!
LINE公式のご登録は、下記のバナーをクリック!
