なぜ2段階認証が必要なのか?
2025年4月1日から、経済産業省が定める「クレジットカードセキュリティガイドライン(第6.0版)」の適用が本格化します。
このガイドラインでは、ECサイトにおける不正利用対策として、管理画面のセキュリティ強化が明確に求められています。
特に、管理者アカウントへの2段階認証(2FA)導入は、カード情報を扱う可能性のあるサイト運営者にとって必須とも言える対策です。
ガイドラインに記載された具体的なポイント(抜粋)
- 管理者アカウントへのアクセス制限
- 管理画面への2段階認証の導入
- セキュリティ対策状況の記録と報告の義務化
これらを怠ると、カード会社との取引停止や審査不合格の原因になることもありえます。
| 詳細は経済産業省の公式ページを参照してください: |
WP 2FA をインストール
WordPress管理画面から、プラグインの新規追加で「WP 2FA」と検索をしてインストール、有効化します。
新規追加の検索で出てこない場合には、コチラからダウンロードし、wp-content/pluginsにインストールすることでも可能です。
有効化するとセットアップウィザードが表示されます
もし表示されない場合は、WordPressダッシュボードの左側メニューから「WP 2FA」を選択してください。
2FA方式とポリシーの設定
①2FA方式「どの2FA方式をユーザーは使用できますか?」
こちらはデフォルト設定のままでOKですので「設定を続ける」を選択します。
2FA方式とポリシーの設定
②代替の方式「どの代替の2FA方式をユーザーに使用許可しますか?」
こちらもデフォルト設定のままでOKですので「設定を続ける」を選択します。
2FA方式とポリシーの設定
③2FAポリシー「2FAを一部またはすべてのユーザーに強制したいですか?」
こちらは特に通販(EC)サイトなどで、WooCommerceの様にユーザーに顧客(Customer)などのように登録されている場合は注意が必要です。顧客には2段階認証は要らないので、この場合、すべてのユーザーにしてしまうと弊害が生じます。
そのため、「サイト管理者とネットワーク管理者」にすることが望ましいです。
※ただし写真の場合、サイトネットワークを有効化しています。サイトネットワークを有効化していないサイトであれば、「サイト管理者(Administrater)にします。
設定完了「お疲れ様です。まもなく終了です...」
最後の設定に進みますので、「今すぐ2FAを設定」を選択します。
「今すぐ2FAを設定」を選択後、ポップアップが現れ
- One-time code via 2FA app
- One-time code via email
と、アプリによる2段階認証か、メールによる2段階認証かを聞かれますので、任意のものを選択し、次のステップへ進みます。ここ以降は出てくるウィザード通りに進めればOKです。
まとめ
- 2025年4月1日以降、ECサイト運営者は「セキュリティガイドライン第6.0版」に準拠することが求められます
- 特にWordPressを使ってECサイトを構築している場合、管理画面の2段階認証は必須となります
- 「WP 2FA」プラグインを使えば、無料かつ簡単に設定が可能です。
セキュリティ対策は「やらなければいけない」だけでなく、お客様の信頼を守る手段です。後回しにするのではなく、なるべく早い段階に済ませておきましょう。