開催場所: WEB
開催日: 2022-06-22
メジャーバージョンアップされたPCI DSS v4.0が公開されました。v3.2.1は2024年3月31日までは移行期間として有効ですが、移行対応が急がれます。
最新のv4.0では、多要素認証や、パスワード、フィッシング対策など、最近の情勢を踏まえた改定がされました。また、昨年末には、Apache Log4jに深刻な脆弱性が見つかり、これを悪用する攻撃も確認されました。v4.0では脆弱性管理についても定められています。
本ウェビナーでは、PCI DSS v4.0について変更点など解説するとともに、さまざまな改定ポイントの中でも「脆弱性管理」にフォーカスして解説します。
■15:00~15:20
<セッション1>
PCI DSS v4.0解説と準拠に向けた脆弱性管理の勘所
PCI DSSとは、クレジットカード会員情報のセキュリティを強化するために制定された基準で、カード会員情報を取扱う(保存、処理、伝送)すべての事業体に適用されます。
近年、様々な業界において「DX」が浸透してきており、決済業界においても、オンプレミスからクラウド化への移行が急速に進み、各種決済サービスにかかわるシステム環境はより複雑になっています。また、COVID-19 の影響による非対面決済の機会が増加したことに伴い、フィッシング攻撃を含むクレジットカード等の決済情報を狙ったサイバー攻撃がますます増加してきています。
PCI DSS の基準もこれら昨今の情勢を踏まえた改定が行われ、2022年3月にPCI DSS ver4.0 が新バージョンとしてリリースされました。
本セッションでは、PCI DSSv4.0の特徴や旧バージョンとの差分について解説します。その後、PCI DSSv4.0に準拠するために必要な要素の一つである「脆弱性管理」にフォーカスして、実際の脆弱性による被害事例を交えながら、脆弱性管理体制の構築に際し一般的に課題となりやすい点について分析し、様々な環境における脆弱性管理や効率的な脆弱性情報収集を実施するために意識すべき点について解説します。
NRIセキュアテクノロジーズ株式会社
決済セキュリティコンサルティング部
セキュリティコンサルタント 海老名 将宏
【講演者プロフィール】
2021年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、PCI DSSをはじめとするPCI関連のセキュリティ基準を中心に審査/コンサルティング業務に従事。
また、決済系スマホアプリやブロックチェーン活用システム等、決済セキュリティ全般に関するリスク評価/アドバイザリ支援に従事している。
■15:20~15:40
<セッション2>
自動化ツールを利用した脆弱性管理体制の構築
脆弱性管理とは、管理している資産情報と公表されている脆弱性情報の収集と突合せを行い、対応すべき脆弱性について一元的に管理を行っていくプロセスのことを指します。
本プロセスにおいて、機器環境の多様化により管理すべき資産情報は増大し、かつ収集すべき脆弱性情報も年々増加していることから、手動での管理は困難になっており、情報の収集・突合せは自動化・一元化を行い、より効率よく情報を管理していくことが求められます。
また、日々危険度の高い脆弱性が発表されていることから、情報の突合せ(スキャン)を従来より高頻度で実施し、脆弱性の恒常的な検知、および計画的な対応を行える運用体制の構築が求められます。
本セッションでは、脆弱性管理というプロセス、および脆弱性管理を行う上で発生し得る課題などを解説後、当該課題を解決可能なソリューションの紹介を交えて、情報の収集から突合せ・対応までを一元的に行う脆弱性管理体制の構築について解説します。また、弊社が提供している脆弱性管理体制の構築支援サービスについても紹介します。
NRIセキュアテクノロジーズ株式会社
DXセキュリティ事業部 テクニカルアセスメントグループ
セキュリティコンサルタント 豊原 宗一郎
【講演者プロフィール】
2019年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、セキュリティ診断や研修講師、顧客内セキュア開発支援業務に従事。
セキュリティ診断では、WebアプリケーションやAPI、スマートフォンアプリ、PCI DSS準拠維持支援に関するセキュリティ診断を担当。