NRIセキュア、カード決済を扱うEC加盟店でのセキュリティ対策実施を支援するサービス

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は24日、クレジットカード決済を扱うEC加盟店に向け、サイバーセキュリティ対策の実施を支援する「『EC加盟店におけるセキュリティ対策 導入ガイド』評価・診断サービス」を提供開始すると発表した。料金は個別見積もり。

　経済産業省から公表されている「クレジットカード・セキュリティガイドライン」では、EC加盟店に対しては、国際的なセキュリティ基準である「PCI DSS」に準拠するか、クレジットカード情報の「非保持化」（非保持同等または相当含む）に対応するかのどちらかが求められている。

　しかし近年、非保持化を実施したEC加盟店において、クレジットカード情報の窃取や不正利用が多発している状況を受け、3月4日に改訂された同ガイドライン（6.0版）、およびその附属文書「EC加盟店におけるセキュリティ対策 導入ガイド（2.0版）」（以下、導入ガイド）により、2025年4月以降はすべてのEC加盟店に対し、ウイルス対策および管理者権限の管理などの「脆弱性対策」と、不正ログイン対策やEMV 3-Dセキュアの導入などの「不正利用対策」実施が求められているとのこと。

　そこでNRIセキュアでは今回、「導入ガイド」において、すべてのEC加盟店に求められているセキュリティ対策の実施を支援する新サービスを提供する。サービスは、1）同ガイドに照らして、EC加盟店のセキュリティ対策の妥当性を評価するサービスと、2）EC加盟店のシステムおよびWebサイトのセキュリティ診断の2つから構成されている。

　1）では、「導入ガイド」に記載されたセキュリティ対策に沿って、NRIセキュアの専門家が対策の実施状況をヒアリングし、妥当性を評価する。また不十分な対策がある場合には、NRIがクレジットカード決済のセキュリティ分野で培った支援実績とノウハウを生かして、各加盟店のシステム特性やビジネス環境を考慮したうえで、最適な対策案を提案するとした。

　一方の2）は、「導入ガイド」で実施が求められている、EC加盟店のシステムおよびWebサイトの脆弱性診断やペネトレーションテストを実施する。実施にあたっては、NRIセキュアのグループ会社である株式会社ユービーセキュアのさまざまな診断サービスメニューの中から、最適な診断サービスを提供するとのことだ。