カード決済を止めないための対応を、サーバーにもカートにも触らずに。対策の適用から、毎月の実施証跡レポート(PDF)まで。申告の根拠づくりを支援します。
無料健診は URL を入れるだけ・登録不要です。
WHAT'S HAPPENING
恐怖をあおる話ではなく、制度の事実です。出典はいずれも公的機関・業界団体の公表資料です。
クレジットカード・セキュリティガイドラインは 6.0版(2025年3月改訂)で、EC 加盟店に対しシステム・Web サイトの脆弱性対策の実施を求めるようになりました。現行は 6.1版(2026年3月改訂)です(脆弱性対策の要求に追加・変更はありません)。[出典1・2]
加盟店は「EC加盟店におけるセキュリティ対策 導入ガイド【附属文書20】」(旧・セキュリティチェックリストを統合した現行の手引き)に沿って対策を実施し、カード会社(アクワイアラー)・決済代行会社(PSP)による加盟店調査(契約時・定期)で実施状況を申告することが求められます。2025年4月以降は、新規だけでなく既存を含むすべての EC 加盟店が対象です。[出典2]
ガイドラインは割賦販売法で求められる「必要な措置」を具体化した実務上の指針です。対応しない場合、アクワイアラーとの加盟店契約の解除(=カード決済が使えなくなる)に至る可能性があります。
2025年のクレジットカード不正利用被害額(前年比 約8%減)。対策が効き始めた数字です。だからこそ、加盟店への申告・督促の運用は今後も続きます。[出典3]
COVERAGE MAP
ガイドラインが EC 加盟店に求める対策(指針対策)に対して、サイトドック自動修復がどこまでカバーするかを、できないことも含めて示します。◎=実施と証跡まで/○=対策を適用/△=支援の範囲/✕=対象外(加盟店様にて実施)。
| ガイドラインの指針対策(要約) | サイトドック自動修復 | 備考 |
|---|---|---|
| 脆弱性診断・ペネトレーションテストの定期実施と修正対応 | ◎月次の能動診断 + 検出項目の自動修復 + PDF レポート | 「実施」と「証跡」を同時に満たします |
| Web アプリケーションの脆弱性対策(SQLインジェクション / XSS 等) | ○エッジ WAF + 仮想パッチで攻撃経路を遮断 | アプリ本体の根本改修は対象外です(改修は専門家をご案内) |
| システム管理画面のアクセス制限と ID / パスワード管理 | ○管理画面パスへのアクセスをエッジで制限 | ID・パスワードや多要素認証の運用自体は加盟店様側です |
| データディレクトリの露見に伴う設定不備への対策 | ○該当パスへのアクセスをエッジで遮断 | 恒久対処はサーバー側設定の是正が望ましいため、あわせてご案内します |
| 悪質な有効性確認・クレジットマスターへの対策 | △不審な連続アクセスの抑制など、一部をエッジで支援 | 決済側の対策(PSP・カード会社経由)との併用が前提です |
| 不正ログイン対策 | △ログイン試行の抑制と、診断での指摘・改善支援 | 多要素認証の導入などはシステム側の対応が必要です |
| マルウェア対策(ウイルス対策ソフトの導入・運用) | ✕対象外 | 加盟店様にて実施をお願いします |
| EMV 3-D セキュアの導入 | ✕対象外 | 決済代行会社(PSP)経由で導入します |
本サービスはガイドラインおよび PCI DSS への準拠を保証するものではありません。対応状況の判断・申告は加盟店様ご自身(および契約先アクワイアラー / PSP)によります。サイトドックは、上表の範囲の対策実施とその証跡提供によって対応を支援します。
※対策系統の名称はガイドライン【6.1版】・導入ガイドの要約です。正式な項目は出典2の一次資料をご確認ください。
導入ガイドの系統は「防御」「診断・修正」「証跡」の複数にまたがります。単品のサービスでは埋まらない系統が残りやすいため、サイトドックは一体で埋める設計にしています。
MONTHLY EVIDENCE
対応で難しいのは、対策そのものだけではありません。「実施していること」を示す根拠です。サイトドックは毎月、能動診断の結果と実施した対策を PDF レポートにしてお届けします。
ONBOARDING
ドメインの向き先をサイトドックのエッジへ変えるだけ。切り替え作業の代行・支援も初期費用に含まれます。
プログラムには一切触れません。EC-CUBE などの自社構築カートも、いまの環境のまま使い続けられます。
構築ベンダーと連絡が取れない、管理情報が分からない——そんなサイトでも、外側(DNS)から対策を適用できます。
いまの環境(Azure / AWS / VPS / レンタルサーバ)は、そのままで構いません。3ステップで、前段に立てられます。
STEP 1
今の環境はそのまま
Azure / AWS / VPS など構成は変更不要。
STEP 2
DNSをエッジへ向ける
サイトドックのエッジを通り道にするだけ。
STEP 3
前段でWAFとして診て・直す
実在する脆弱性だけをエッジで自動修復。
※ 既存のクラウドWAFやCDNと併用も可能です。一般的な攻撃を止めるベースのエッジ防御は維持したまま、診断で見つかった穴をふさぎます。
PCI DSS v4.0.1
カード情報を扱うシステムの国際基準 PCI DSS v4.0.1 では、2025年3月31日以降、次の要件が必須となりました。[出典4]
公開 Web アプリケーションへの攻撃を継続的に検知・防止する、自動化された技術的ソリューション(WAF 等)の導入。
決済ページで読み込まれるスクリプトの管理(認可・整合性の確認・棚卸し)。
決済ページの変更・改ざんを検知する仕組みの導入。
※ これらの適用対象は PCI DSS への準拠が求められる事業者です。すべての EC 加盟店に PCI DSS 準拠の義務があるという意味ではありません。EC 加盟店に求められるのは前述の導入ガイドへの対応ですが、国際基準も同じ方向——WAF・スクリプト管理・改ざん検知——を必須化しています。サイトドックのエッジ防御・改ざん検知はこの領域をカバーし、WAF の運用まで含めて任せたいというご相談も受け付けています。いまお使いの WAF との併用・乗り換えも可能で、DNS を向けるだけで前段で防御が働くため、サーバーの移行は不要です。なお、正直にお伝えすると、診断前の未知の攻撃まですべて事前に防げる、とは申しません。診てから塞ぐ——それを毎月続けることが、このサービスの守り方です。
出典4: PCI SSC「PCI DSS v4.0.1」pcisecuritystandards.org/document_library/(日本語版文書あり)
URGENT
不正利用金額が「3 ヵ月連続 50 万円超」——それが不正顕在化加盟店です。
カード会社(アクワイアラー)が把握する不正利用金額が 3 ヵ月連続 50 万円超に該当した加盟店は「不正顕在化加盟店」とされ、不正利用の発生状況に応じた対策の追加導入・強化が求められます(ガイドライン【6.1版】[出典2])。
対応が遅れるほど、被害もその後の対応負担も積み上がります。早期に着手することが重要です。サイトドックは、上の対応マップ ◎○ の範囲の対策実施と、毎月の実施証跡レポートの提供によって対応を支援します。DNS の切り替えだけで着手できるため、サーバーやカートの改修を待たずに始められます。
※ 対応の実施を支援するものであり、指定の解除やアクワイアラーの審査結果をお約束するものではありません。
汎用ルールを売るのではなく「診て、治す」と言い切れるのは、長年にわたり“守る現場”そのものを運用してきたからです。
PRICING
最低契約期間はありません(月単位でご利用いただけます)。従量課金もありません。
スタンダード
19,800円/月(税別)
初期費用 ¥50,000(DNS切り替え代行・接続元IP制御の設定代行を含む)
プロ
49,800円/月(税別)
初期費用 ¥80,000
エンタープライズ
応相談
サイト数・構成にあわせて個別にご提案します
※ 金額は税別の目安です。サイト数・構成により変動します。最終の料金はお見積りにてご提示します。
FAQ