⚠ サイトの改ざん・マルウェア被害にお困りの方はこちら
EC加盟店のセキュリティ・チェックリスト対応

そのチェックリスト、
DNS の切り替えだけで前に進めます

カード決済を止めないための対応を、サーバーにもカートにも触らずに。対策の適用から、毎月の実施証跡レポート(PDF)まで。申告の根拠づくりを支援します。

実施する。そして、実施したことを毎月の書類にする。求められているのは「対策」と「申告」の両方です。

無料健診は URL を入れるだけ・登録不要です。

WHAT'S HAPPENING

いま、すべての EC 加盟店に求められていること

恐怖をあおる話ではなく、制度の事実です。出典はいずれも公的機関・業界団体の公表資料です。

  1. ガイドラインに「脆弱性対策」が加わりました

    クレジットカード・セキュリティガイドラインは 6.0版(2025年3月改訂)で、EC 加盟店に対しシステム・Web サイトの脆弱性対策の実施を求めるようになりました。現行は 6.1版(2026年3月改訂)です(脆弱性対策の要求に追加・変更はありません)。[出典1・2]

  2. 対象は「すべての」EC 加盟店です

    加盟店は「EC加盟店におけるセキュリティ対策 導入ガイド【附属文書20】」(旧・セキュリティチェックリストを統合した現行の手引き)に沿って対策を実施し、カード会社(アクワイアラー)・決済代行会社(PSP)による加盟店調査(契約時・定期)で実施状況を申告することが求められます。2025年4月以降は、新規だけでなく既存を含むすべての EC 加盟店が対象です。[出典2]

  3. 対応しない場合のリスク

    ガイドラインは割賦販売法で求められる「必要な措置」を具体化した実務上の指針です。対応しない場合、アクワイアラーとの加盟店契約の解除(=カード決済が使えなくなる)に至る可能性があります。

510.5億円

2025年のクレジットカード不正利用被害額(前年比 約8%減)。対策が効き始めた数字です。だからこそ、加盟店への申告・督促の運用は今後も続きます。[出典3]

出典1: 経済産業省 プレスリリース(2025年3月・ガイドライン6.0版への改訂)meti.go.jp/press/2024/03/20250305002// 出典2: クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【6.1版】」(2026年3月)および「EC加盟店におけるセキュリティ対策 導入ガイド【附属文書20】」(2.1版・2026年3月)j-credit.or.jp/security/document// 出典3: 日本クレジット協会「クレジットカード不正利用被害の発生状況」(2026年3月公表・2025年1-12月実績)j-credit.or.jp/information/statistics/

COVERAGE MAP

チェックリスト × サイトドック 対応マップ

ガイドラインが EC 加盟店に求める対策(指針対策)に対して、サイトドック自動修復がどこまでカバーするかを、できないことも含めて示します。◎=実施と証跡まで/○=対策を適用/△=支援の範囲/✕=対象外(加盟店様にて実施)。

ガイドラインの指針対策(要約)サイトドック自動修復備考
脆弱性診断・ペネトレーションテストの定期実施と修正対応月次の能動診断 + 検出項目の自動修復 + PDF レポート「実施」と「証跡」を同時に満たします
Web アプリケーションの脆弱性対策(SQLインジェクション / XSS 等)エッジ WAF + 仮想パッチで攻撃経路を遮断アプリ本体の根本改修は対象外です(改修は専門家をご案内)
システム管理画面のアクセス制限と ID / パスワード管理管理画面パスへのアクセスをエッジで制限ID・パスワードや多要素認証の運用自体は加盟店様側です
データディレクトリの露見に伴う設定不備への対策該当パスへのアクセスをエッジで遮断恒久対処はサーバー側設定の是正が望ましいため、あわせてご案内します
悪質な有効性確認・クレジットマスターへの対策不審な連続アクセスの抑制など、一部をエッジで支援決済側の対策(PSP・カード会社経由)との併用が前提です
不正ログイン対策ログイン試行の抑制と、診断での指摘・改善支援多要素認証の導入などはシステム側の対応が必要です
マルウェア対策(ウイルス対策ソフトの導入・運用)対象外加盟店様にて実施をお願いします
EMV 3-D セキュアの導入対象外決済代行会社(PSP)経由で導入します

本サービスはガイドラインおよび PCI DSS への準拠を保証するものではありません。対応状況の判断・申告は加盟店様ご自身(および契約先アクワイアラー / PSP)によります。サイトドックは、上表の範囲の対策実施とその証跡提供によって対応を支援します。
※対策系統の名称はガイドライン【6.1版】・導入ガイドの要約です。正式な項目は出典2の一次資料をご確認ください。

WAF サービスのみの場合
  • 防御はできる
  • 診断の定期実施が残る
  • 実施を示す書類が残る
脆弱性診断のみの場合
  • 診断はできる
  • 修正対応が残る
  • 日々の防御が残る
サイトドック自動修復
  • 防御(エッジ WAF・仮想パッチ)
  • 診断と修正対応(月次)
  • 証跡(毎月の書類)

導入ガイドの系統は「防御」「診断・修正」「証跡」の複数にまたがります。単品のサービスでは埋まらない系統が残りやすいため、サイトドックは一体で埋める設計にしています。

MONTHLY EVIDENCE

「やっています」を、毎月の書類にします。

対応で難しいのは、対策そのものだけではありません。「実施していること」を示す根拠です。サイトドックは毎月、能動診断の結果と実施した対策を PDF レポートにしてお届けします。

  • 月次の能動診断の結果と、実施した対策を1冊のPDFに
  • 専門用語をかみくだいた表現=社内共有にそのまま使える
  • アクワイアラー・PSP への申告内容の根拠資料としてご活用いただけます
  • 「健診済み・修復継続中」バッジとあわせて、取引先・審査向けの対策実施の証跡
サイトドックのレポートPDFのサンプル。スコアと、緊急・要改善・情報に分類された指摘が優先順位つきで並ぶ。

ONBOARDING

導入は、DNS の切り替えだけ。

DNS 切り替えのみ

ドメインの向き先をサイトドックのエッジへ変えるだけ。切り替え作業の代行・支援も初期費用に含まれます。

サーバー・カートは無改修

プログラムには一切触れません。EC-CUBE などの自社構築カートも、いまの環境のまま使い続けられます。

塩漬け状態でも導入可能

構築ベンダーと連絡が取れない、管理情報が分からない——そんなサイトでも、外側(DNS)から対策を適用できます。

サーバ移行は不要。DNSを向けるだけで始められます

いまの環境(Azure / AWS / VPS / レンタルサーバ)は、そのままで構いません。3ステップで、前段に立てられます。

STEP 1

今の環境はそのまま

Azure / AWS / VPS など構成は変更不要。

STEP 2

DNSをエッジへ向ける

サイトドックのエッジを通り道にするだけ。

STEP 3

前段でWAFとして診て・直す

実在する脆弱性だけをエッジで自動修復。

※ 既存のクラウドWAFやCDNと併用も可能です。一般的な攻撃を止めるベースのエッジ防御は維持したまま、診断で見つかった穴をふさぎます。

PCI DSS v4.0.1

WAF・改ざん検知は、国際基準でも必須になりました

カード情報を扱うシステムの国際基準 PCI DSS v4.0.1 では、2025年3月31日以降、次の要件が必須となりました。[出典4]

要件 6.4.2

公開 Web アプリケーションへの攻撃を継続的に検知・防止する、自動化された技術的ソリューション(WAF 等)の導入。

要件 6.4.3

決済ページで読み込まれるスクリプトの管理(認可・整合性の確認・棚卸し)。

要件 11.6.1

決済ページの変更・改ざんを検知する仕組みの導入。

※ これらの適用対象は PCI DSS への準拠が求められる事業者です。すべての EC 加盟店に PCI DSS 準拠の義務があるという意味ではありません。EC 加盟店に求められるのは前述の導入ガイドへの対応ですが、国際基準も同じ方向——WAF・スクリプト管理・改ざん検知——を必須化しています。サイトドックのエッジ防御・改ざん検知はこの領域をカバーし、WAF の運用まで含めて任せたいというご相談も受け付けています。いまお使いの WAF との併用・乗り換えも可能で、DNS を向けるだけで前段で防御が働くため、サーバーの移行は不要です。なお、正直にお伝えすると、診断前の未知の攻撃まですべて事前に防げる、とは申しません。診てから塞ぐ——それを毎月続けることが、このサービスの守り方です。

出典4: PCI SSC「PCI DSS v4.0.1」pcisecuritystandards.org/document_library/(日本語版文書あり)

URGENT

「不正顕在化加盟店」として連絡を受けた方へ

不正利用金額が「3 ヵ月連続 50 万円超」——それが不正顕在化加盟店です。

カード会社(アクワイアラー)が把握する不正利用金額が 3 ヵ月連続 50 万円超に該当した加盟店は「不正顕在化加盟店」とされ、不正利用の発生状況に応じた対策の追加導入・強化が求められます(ガイドライン【6.1版】[出典2])。

対応が遅れるほど、被害もその後の対応負担も積み上がります。早期に着手することが重要です。サイトドックは、上の対応マップ ◎○ の範囲の対策実施と、毎月の実施証跡レポートの提供によって対応を支援します。DNS の切り替えだけで着手できるため、サーバーやカートの改修を待たずに始められます。

※ 対応の実施を支援するものであり、指定の解除やアクワイアラーの審査結果をお約束するものではありません。

個別相談フォームへ 078-570-0191 受付 平日 9:00–18:00

なぜ、私たちがそれを言えるのか

汎用ルールを売るのではなく「診て、治す」と言い切れるのは、長年にわたり“守る現場”そのものを運用してきたからです。

  • Suricata 等の NIDS(ネットワーク型 不正侵入検知)で、不正な通信を見つけて対処してきた実運用の知見。
  • 止めてはいけない公共サービスを守る前提=「過剰に止めない」運用を現場で積み上げてきました。
  • 診断・防御のロジックは JIISセキュリティラボ監修。日本情報基盤サービス株式会社が運営します。

PRICING

料金

最低契約期間はありません(月単位でご利用いただけます)。従量課金もありません。

EC加盟店におすすめ

スタンダード

19,800円/月(税別)

初期費用 ¥50,000(DNS切り替え代行・接続元IP制御の設定代行を含む)

  • 1サイト
  • エッジ防御(WAF・仮想パッチ)
  • 改ざん検知・通知
  • 月次能動診断+証跡レポート(PDF)
  • 「修復継続中」バッジ

プロ

49,800円/月(税別)

初期費用 ¥80,000

  • スタンダードの全機能
  • 複数サイトのご相談
  • 優先サポート

エンタープライズ

応相談

サイト数・構成にあわせて個別にご提案します

  • 多店舗・多サイトの一括対応
  • 組織のご事情にあわせた運用

※ 金額は税別の目安です。サイト数・構成により変動します。最終の料金はお見積りにてご提示します。

FAQ

よくあるご質問

ガイドラインへの準拠を保証してくれますか?
いいえ。準拠・合格を保証するものではありません。対応状況の判断・申告は加盟店様ご自身(および契約先のアクワイアラー・PSP)によります。サイトドックは、対応マップ◎○の範囲の対策実施と、毎月の実施証跡レポートの提供によって対応を支援します。
申告書(チェックリスト)は書いてもらえますか?
申告そのものは加盟店様に行っていただきます。サイトドックは、記載の根拠としてご活用いただける月次レポート(実施した対策と診断結果のPDF)をお届けします。
カートが古くて、怖くて触れません。それでも導入できますか?
触りません。DNSの切り替えだけで、サーバーにもカートのプログラムにも変更を加えずに導入できます。構築ベンダーと連絡が取れない・管理情報が分からないサイトでもご相談いただけます。
PSPから連絡が来て、初めてこの話を知りました。何から始めればいいですか?
まず無料健診でサイトの現状を確認するか、ページ下部のフォームからご相談ください。状況を伺いながら、着手の優先順位からご案内します。
いま使っているWAFやセキュリティサービスとの併用はできますか?
併用・乗り換えのどちらもご相談いただけます。DNSをサイトドックのエッジへ向けるだけで前段で防御が働くため、サーバーの移行は不要です。WAFの運用まで含めて任せたい場合もご相談ください。
契約期間の縛りはありますか?
最低契約期間はありません。月単位でご利用いただけます。初期費用と月額の目安は本ページの料金をご覧ください。

CONTACT

チェックリスト対応のご相談

「申告を求められて、何から手をつければいいか分からない」——その段階からで構いません。状況を伺いながら、進め方をご案内します。お見積もりの提示まで無料です。

まずサイトの現状から見たい方は 無料健診 へ(URL を入れるだけ・登録不要)。
不正顕在化加盟店として連絡を受けた方は、お電話(受付時間はこちら)でも受け付けています。

送信いただいた内容は、ご相談への対応のためにのみ利用します(プライバシーポリシー)。担当より1営業日以内にご連絡します。