[新製品・サービス]

2025年3月24日(月)IT Leaders編集部

リスト

　NRIセキュアテクノロジーズの「『EC加盟店におけるセキュリティ対策 導入ガイド』評価・診断サービス」は、クレジットカード決済を扱うEC加盟店に向けたセキュリティサービスである。

　一般社団法人 日本クレジット協会 クレジット取引セキュリティ対策協議会による同年3月改訂の「EC加盟店におけるセキュリティ対策 導入ガイド（2.0版）」でEC加盟店に求めているセキュリティ対策を標準2カ月程度で評価・診断する（表1）。

表1：「EC加盟店におけるセキュリティ対策 導入ガイド」評価・診断サービスの概要（出典：NRIセキュアテクノロジーズ）
拡大画像表示

　クレジットカード決済に関わる事業者が実施すべきセキュリティ対策をまとめた文書として、クレジット取引セキュリティ対策協議会が制作し、経済産業省が公開している「クレジットカード・セキュリティガイドライン」がある。NRIセキュアによると、同ガイドラインでは、EC加盟店に対して国際的なセキュリティ基準「PCI DSS」に準拠するか、またはクレジットカード情報の「非保持化」に対応するかのいずれかを求めてきたという。

　「近年はクレジットカード情報を保持しないEC加盟店においてもカード情報の窃取や不正利用が多発している」（同社）状況を受け、同ガイドラインが2025年3月4日に改訂され6.0版となり、付随する導入ガイド（2.0版）では、2025年4月以降、全EC加盟店に対してウイルス対策や管理者権限管理などの脆弱性対策と、不正ログイン対策、「EMV 3-Dセキュア」導入などの不正利用対策の実施を求めている。

　NRIセキュアは以下の2つのサービスを提供する。料金は個別見積もりとなる。

(1)セキュリティ対策の妥当性評価（第三者評価）サービス
　導入ガイドに記載のセキュリティ対策に沿って、NRIセキュアの担当者が対策の実施状況をヒアリングし、妥当性を評価する。不十分な対策がある場合は、ユーザーのシステム特性やビジネス環境を考慮したうえで、適切な対策案を提案する。

(2)セキュリティ診断（脆弱性診断、ペネトレーションテスト）サービス
　導入ガイドが求める、EC加盟店のシステムとWebサイトに対する脆弱性診断やペネトレーション（侵入）テストを実施する。NRIセキュアのグループ会社であるユービーセキュアがテストの実施を担当し、同社の診断サービスメニューの中から適切な診断サービスを提供する。