【Stripe】セキュリティチェックリストに基づく対策措置状況申告書（2025年）回答の手引き

概要と対象

本ドキュメントは、2025年12月22日提出期限となっている、Stripe社からの「セキュリティ・チェックリストに基づく対策措置状況申告書」（以降、便宜上セキュリティ申告書と呼びます）についての、Luxlinerをご利用の方向けの「回答の手引き」となっています。

Stripeでは１つのログインアカウントで、複数の決済アカウントを作成できます。Luxlinerのご利用にあたっては、会員サイト専用の決済アカウントの用意をお願いしておりますが、本ドキュメントの回答方針はLuxlinerを利用した会員サイトの決済アカウントについての回答方針となります。
他の決済アカウントについては、そのアカウントの決済についてのセキュリティ対策状況を踏まえた回答をしてください。（※ セキュリティ申告書は、決済アカウントごとに提出する必要があります）

セキュリティ申告書の提出は、Stripeダッシュボードから行います。未提出の場合は、ダッシュボードのホーム画面を表示すると、画面上部に提出をするように警告が表示されるはずです。

LL拡張認証のセキュリティ設定

セキュリティ申告書が求めるセキュリティレベルに最大限近づけるため、LL拡張認証で最低限以下のように設定をしているものとして回答の手引きを作成しています。

LL拡張認証の設定方法についてはこちらのヘルプをご覧ください。

ログイン試行回数制限

全て有効化してください。

• 機能を有効化
• 管理者アカウントにロック機能を適用：チェックを入れる
• 一般ユーザーにロック機能を適用：チェックを入れる
• ロックまでの失敗回数：10回以下を指定
• ロック時間：30分以上
• ロック発生時に管理者に通知：チェックを入れる

IPアドレス制限

オフォスで固定IPアドレスなどのサービスを契約していてアクセス元IPアドレスを限定でき、運用上も管理者アカウントへのログインをオフィスに限定できる場合は有効化を推奨します。

• 有効化はご自身のネットワーク環境により判断してください。
• 許可IPアドレス/レンジを設定する場合は、固定IPアドレスサービスの契約内容等をご確認ください。
• 制限対象ロールは「Administrator」のみで構いませんが、Editor、Author、Contributor、Subscriberを通常使用していないのであれば、悪用されないようにこれらにもチェックしておくことをお勧めします。

Passkey認証

有効化必須です。

• 機能を有効化
• 管理者専用ログインURL：推測されにくいスラッグを指定
• パスワード認証を無効化：チェックを入れる（Passkeyでしかログインできなくなるため、Passkeyの登録を忘れないようにしてください）
• 管理者ログインのリダイレクト：チェックしないことを推奨（管理者専用ログインURLはブラウザのブックマーク等に登録）
• Passkey登録：必須

追加セキュリティ

全て有効化してください。

• 投稿者アーカイブページを無効化：チェックを入れる
• 登録内容変更画面の追加認証を有効化：チェックを入れる

登録内容変更画面の追加認証の有効化は必須ですが、これを有効化すると顧客（会員）が個人情報や登録クレジットカードを変更する際などに、追加認証手続きが求められるため、手順としては煩雑になります。詳細はLL拡張認証の追加セキュリティのヘルプをご覧ください。

回答の手引き

導入方法の詳細をお知らせください

どのように決済を行いますか？

選択：その他 (例えば、Stripe Checkout や Payment Element)

Luxlinerのカード決済機能は、StripeのPayment Elementを利用しています。

商品やサービスをオンラインで販売していますか？

選択：はい

1. 管理者画面のアクセス制限と管理者の ID / PW 管理

管理者のアクセス可能な IP アドレスを制限する。IP アドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。

選択：はい

IPアドレス制限機能を有効にしている場合は、明確に「はい」を選択します。
IPアドレス制限機能を有効にできない環境の場合、Passkey認証を有効にし、かつ管理者のパスワード認証を無効にすることで、Passkey認証によるログインのみに限定することにより安全な認証を実現しているものとみなし「はい」を選択します。

ベーシック認証はあまり安全とは言えないため、LL拡張認証で実装する予定はありません。ベーシック認証はむしろ安全意識が低いとみなされることもあります。（ないよりはマシですが、IPアドレス制限をかけられないのであれば、Passkey認証のほうが安全です）

取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。

選択：はい

LL拡張認証のPasskey認証を有効にし、かつ管理者のパスワード認証を無効にすることで、Passkey認証によるログインのみに限定します。Passkey認証は、二段階認証または二要素認証よりも安全性が高いとされています。

管理者画面のログインフォームでは、アカウントロック機能を有効にし、10 回以下のログイン失敗でアカウントをロックする。

選択：はい

LL拡張認証のログイン試行回数制限を有効にすることで対応します。

2. データディレクトリ露出による設定不備対策

公開ディレクトリには、重要なファイルを配置しない。

選択：はい

普通にLuxlinerを利用したWordPressの会員サイトを運用している場合は「はい」を選択します。
WordPressと並行して独自にランディングページページ等を設置していて、申込みフォームデータ等を保存している場合は、ディレクトリやファイルのパーミッションを確認してください。

Web サーバーや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。

選択：はい

普通にLuxlinerを利用したWordPressの会員サイトを運用している場合は「はい」を選択します。

3. Web アプリケーションの脆弱性対策

脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。

選択：いいえ

「いいえ」としていますが、外部に委託して脆弱性診断またはペネトレーションテストを定期的に実施している場合は「はい」を選択してください。
しかし、これらのテストを専門業者に委託すると数十万円から数百万円ほどの費用がかかるため、一般的に大手の企業やSaaSサービス運営元でないと現実的とは言えません。ほとんどの中小企業は「いいえ」を選択することになると思われます。
Luxlinerを使った会員サイトでは、PHPやWordPress本体、Luxlinerの定期的なバージョンアップによってセキュリティ強度の維持を図っています。

SQL インジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。

選択：はい

Luxlinerは、XSS（クロスサイトスクリプティング）やSQLインジェクション、CSRF対策に注意して実装しています。これら３つはWebアプリケーション開発では基本かつ重要なセキュリティ対策とされています。Luxlinerを導入すると、自動的にセッションフィクセーション対策が施され、WordPressサイトのセキュリティが高まります。また、WordPress本体が用意しているnonce（CSRF対策）では対策しずらいケースでは、独自に実装したCSRFクラスで対策をしています。

Web アプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。

選択：該当なし：アプリケーション開発がありません

Luxlinerのプラグラムをカスタマイズしていなければ、上記の回答にしてください。

4. マルウェア対策としてのウイルス対策ソフトの導入・運用

マルウェア検知 / 除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。

選択：（ご自身のウィルス対策の状況に基づいて回答）

5. 悪質な有効性確認、クレジットマスターへの対策

悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施している。

選択：はい

Luxlinerは、EMV 3-Dセキュアに対応しているため「はい」を選択します。

6. 不正ログイン対策

会員登録時

選択：会員登録時の個人情報確認

Luxlinerを利用した会員サイトでは、会員の新規登録時に必ず本人のメールアドレスであることを確認しています。

ログイン認証時

選択：ログイン試行回数の制限強化 (アカウントパスワードクラッキングの対応)

LL拡張認証のログイン試行回数制限を有効にすることで対策します。

属性変更時

選択：二要素認証

LL拡張認証の追加セキュリティにおいて、登録内容変更画面の追加認証を有効化することで、登録メールアドレスに認証コード（ワンタイムパスワード）を送信して本人確認を必須にします。

委託先情報

貴社に代わってどなたがセキュリティ対策を実行しますか？

選択：委託先企業

委託先企業名：Peaks（個人事業主）

ASP カート事業者名：Peaks（WordPress用会員制サイト構築プラグイン開発元）

PCI DSS 準拠の審査を行った QSA：適用外

提出後のステータス

セキュリティ申告書を提出すると、現在のステータスがStripeダッシュボード上で確認できます。

情報送信済み　→　審査中　→　完了

今回が初めての「セキュリティチェックリストに基づく対策措置状況申告書」の回収となるため、上記の回答がどのように判断されるのか未知数ですが、弊社が提出した申告書については、完了ステータスに移行しております。（さらに後日Stripeから問い合わせが来る可能性はあります）