※2025/10/1現在の情報です
1.GMOセキュリティ対策状況チェックフォームについて
GMO社と契約して当社のLMSを利用している場合に、GMO社から求められることがあります。
入力フォームのURLはGMO社からのメール内容をご確認ください。
2.回答者情報の記述について
回答者情報の記述について以下に記載いたします。
| 回答欄 | 回答内容 | 補足 |
| ショップID | ※自身のショップID | LMS>ASP基本設定>決済関連>GMO基本設定 からご覧いただけます |
| ご担当者メールアドレス | ※自身のメールアドレス | |
| システム開発環境 | その他(自由記載) | ※APIを使ってオリジナルサイトを作っている場合「自社開発」 |
| システム開発環境-その他 | E-learningASPというSaaSを利用 | ※APIを使ってオリジナルサイトを作っている場合貴社のシステム名 |
3.セキュリティ項目の記述について
①ECサイトのシステム管理者画面のアクセス制限不備と管理者のID/PW管理不足
1.管理者のアクセス可能なIPアドレスを制限する。IPアドレスを制限できない場合は、管理画面にベーシック認証等のアクセス制限を設ける。
※IPアドレスの制限方法の設定確認
E-learning ASP TOP > セクション設定 > セクション詳細
管理サイトの「アクセス制限」の制限するにチェックをしてください。
「追加」で許可したいIPを複数設定し、最後に「設定」ボタンを押すことで許可IPを制限できます。
※間違ったIPを設定すると、LMS管理画面にログインできないので注意してください。
2.取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
※2025年中に顔認証による2要素認証機能を利用可能にします。リリース後に別途設定方法をご案内するのでお待ちください。
3.管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下(PCIDSS ver4.0基準)のログイン失敗でアカウントをロックする。
実施済
を選択ください。
②データディレクトリの露見に伴う設定の不備/PW管理不足
1.公開ディレクトリには、重要なファイルを配置しない。(特定のディレクトリを非公開にする。公開ディレクトリ以外に重要なファイルを配置する。)
当社システムのみ利用している場合、「実施済」を選択してください。
当社システムから出力、取り込みするファイルをデータサーバなどで管理している場合、データサーバ上のセキュリティについても上記を満たす必要があります。
2.WebサーバやWebアプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。
「実施済」を選択してください。
③脆弱性診断またはペネトレーションテストの定期実施
1.脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
「実施済」を選択してください。
2.SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策として、最新のプラグインの使用(当該脆弱性が無いものが望ましい)やソフトウェアのバージョンアップを行う。
「実施済」を選択してください。
3.Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みではあるか、ソースコードレビューを行い確認する。その際には、入力フォームの入力値のチェックも行う。
「実施済」を選択してください。
④マルウェア対策としてのウイルス対策ソフトの導入、運用
ウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。
「実施済」を選択してください。
⑤悪質な有効性確認、クレジットマスターへの対策
*悪質な有効性確認、クレジットマスターに対して、以下に記載の対策を1つ以上実施している。
「実施済」を選択してください。
⑥不正ログイン対策
A.会員登録時に下記の不正ログイン対策を実施している
「不審なIPアドレスからのアクセス制限」を選択してください。
B.ログイン認証時に下記の不正ログイン対策を実施している
「不審なIPアドレスからのアクセス制限」を選択してください。
C.属性変更時に下記の不正ログイン対策を実施している
「不審なIPアドレスからのアクセス制限」を選択してください。
⑦EMV 3-Dセキュア
EMV 3-Dセキュアを導入している。
※すでに3Dセキュアを導入済みの場合「実施済み」、導入していない場合、弊社のシステムサポートまでご相談ください。