ログイン
更新: 2024年5月9日
Stripeのアカウント登録方法

「セキュリティ・チェックリストに基づく対策措置状況申告書」の書き方について

Stripeでは、2024年4月1日以降に作成された新たなStripeアカウントを対象にセキュリティチェックリストの記入が必須となりました。これ以前に作られたアカウントについても提出することができます。(現状任意の状況のようで、入力がないとアカウントが使えなくなるなどの記載は見られませんが、今後必須となる可能性もありますので、提出するのがおすすめです。)

以下に記載例をあげておきます。回答に合わせてセキュリティ対策が必要となりますので、合わせて対策方法も記載しますのでご対応ください。

以下は2024年5月時点で、Stripe社に対して、回答内容を確認した上で記載しておりますが、最終的な判断はStripe社にて行われる為、以下の回答で100%アカウント作成が可能であるかは保証いたしかねますので、ご理解ください。

Stripe社の判断の他、各クレジットカード会社の判断でも利用の可否が変わることもあります。

また、セキュリティに関するルールも日々変更となる場合があるので、都度最新情報をご確認の上ご対応ください。
また、不明な点は直接Stripe社へご確認ください。

 

記入例と対策方法について

導入する方法について詳細をお知らせください

ワードプレスのオンラインショッピング機能のWooCommerceや、メンバーシップ機能のPaid Membership Proを使ってStripe決済を行う場合は、「その他 (例えば、Stripe Checkout や Payment Element)」となります。

1. 管理者画面のアクセス制限と管理者の ID / PW 管理

こちらの3問は「はい」と回答して各種対応を行うか、代替策であるCAPTCHAを導入する必要があります。

管理者のアクセス可能な IP アドレスを制限する。について
  • IPアドレス制限を行う場合は管理者のみを対象とし、ご対応ください。基本的にはサーバー側で設定となります。(やり方は、各サーバーにお問い合わせください)
    この設定を行う場合は「はい」と回答してください。
  • IP制限を行わない場合はCAPTAの導入が必要になります。「代替策: CAPTCHA 導入」を選択し、対策方法については
    こちらからご確認ください。
取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。について
  • 二段階認証を設定したい場合は、プラグイン「TwoFactor」であれば動作確認済み(2024年5 月時点)ですので、そちらをご利用ください。
  • 二段階認証を設定しない場合は、CAPTAの導入が必要になります。「代替策: CAPTCHA 導入」を選択し、対策方法については
    こちらからご確認ください。
管理者画面のログインフォームでは、アカウントロック機能を有効にし、10 回以下のログイン失敗でアカウントをロックする。について
  • 『Wordfence』で設定可能です。「はい」と回答ください

 

2. データディレクトリの露見に伴う設定不備への対策

公開ディレクトリには、重要なファイルを配置しない。について

機密事項に関するような重要なファイル(IDやパスワード情報など)をサーバーにアップするようなことはしないでください。

Web サーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。について

ワードプレス自体に既に制限がかかっているので、特に追加で対策を行わなくても大丈夫です。「はい」と回答ください。

 

3. Web アプリケーションの脆弱性対策

すべて「はい」と回答ください

脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。について

この3点は「Wordfence」を設定いただくことで対策可能です。

SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。について

ワードプレス、テーマ、プラグインは定期的に更新するようにご確認ください。

ただし、互換性をチェックせずにアップデートすることで崩れなどが発生する場合もありますのでご注意ください。

Web アプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。について

対策済みです。

 

4. マルウェア対策としてのウイルス対策ソフトの導入、運用

「はい」と回答してください

マルウェア対策としてのウイルス対策ソフトの導入、運用ついて

こちらも「Wordfence」を設定いただくことで対策可能です。

6. 不正ログイン対策
各項目から少なくとも 1 つを実装する必要があります。
対策内容に応じて選択ください。
reCAPTCHAを設定することで、「不審なIPアドレスからのアクセス制限」は対策されます。
属性変更時

 

5. 悪質な有効性確認、クレジットマスターへの対策

マルウェア対策としてのウイルス対策ソフトの導入、運用ついて

こちらも「Wordfence」を設定いただくことで対策可能です。

 

委託先情報

こちらは、どの機能を使うかによって入力内容が変わります。
今回制作したサイトでは「Wordpress」、「WooCommerce」と「Paid membership pro」のサードパーティが対象となります。利用状況に応じて会社名の入力をしてください。
WooCommerceにて決済し、メンバーシップ機能を実装していない場合は
全て「Automattic社」を入力(「Wordpress」、「WooCommerce」については同じ開発元です。)
メンバーシップ機能を実装している場合は、
全て「Automattic社/Stranger Studios社」と入力

目次