開催場所: WEB
開催日: 2023-09-05
PCI DSSに準拠する場合、2024年4月以降(※)はv4.0による準拠が必要となります。
今回のバージョンアップでは、新たな攻撃手法や最新技術、様々な環境変化に対応することを目的とした新規要件も多数追加されています。対応のためにシステム改修や運用変更が必要となる場合もあり、影響が大きいことからお悩みの担当者の方も多いことかと思います。
本ウェビナーでは、PCI DSS v4.0の変更要件・新規要件にフォーカスし、その対応について解説します。また、特にご質問の多い認証スキャン(クレデンシャルスキャン)やアクセス管理・ログ管理の要件についても具体的な対策方法を紹介します。
※対応負荷が大きいと想定される一部の新規要件については、2025年3月末まで対応の猶予が設けられています。
■13:00~13:25 <セッション1>
PCI DSS v4.0新規要件への対応事例の解説
2022年3月にPCI DSSの最新バージョンであるv4.0 がリリースされました。今回のバージョンアップでは、各種決済サービスにかかわるシステム環境の変化を汲み上げるとともに、そのセキュリティをより強固なものとするための変更がなされています。v3.2.1と比較して大幅な変更が加えられた要件や、v4.0から新たに設けられた要件も数多く、対応にあたる事業者様の中には悩まれている方も多いかもしれません。
本セッションでは、PCI DSS v4.0の概要についてお話しつつ、いくつかの変更要件や新規要件にフォーカスし、その対応事例について具体的に解説します。
特に新規要件については、対応にあたってシステム面・業務面での影響が大きくなることも多く、要件で求められている手順通りの対応が難しいというケースも考えられます。そうした場合の代替策も含め、参考となる対応事例を紹介します。
NRIセキュアテクノロジーズ株式会社
決済セキュリティコンサルティング部
シニアアソシエイト 田中 茉理絵
■13:25~13:40 <セッション2>
PCI DSS v4.0 新規要件 認証スキャン(クレデンシャルスキャン)に対するアプローチ
8年ぶりのメジャーバージョンアップとなったPCI DSS v4.0では、昨今の脅威動向や技術の発展による環境変化をふまえたアップデートが盛り込まれており、セキュリティの定期的なテストのうち、要件11の内部脆弱性スキャンにおいて、「認証スキャン(Authenticated Scanning)」が求められるようになるといった、大きな変更が取り込まれています。
「認証スキャン」実施にあたり、特権アカウントの認証情報を用いてスキャンを行う必要があり、これまでのスキャン方法に比べてより多くの脆弱性を検出可能となり、よりシステムを安全に保つことができる一方、「認証スキャン」を行う為の方式の検討、検出された脆弱性への対応等、考慮・検討すべき事項は多岐にわたります。
本セッションでは、PCI DSS v4.0における「認証スキャン」の要求の詳細と特徴を解説した後、弊社における「認証スキャン」の具体的なアプローチについて紹介します。
NRIセキュアテクノロジーズ株式会社
DXセキュリティ事業一部
シニアアソシエイト 千葉 祐司
■13:40~13:50 <セッション3>
PCI DSS v4.0におけるアクセス管理・ログ管理要件の最適解
クラウドの利活用やデジタル化・自動化の拡大など、システム運用の在り方が変化し、多様化する中、日々の業務をこなしながらPCI DSSへの準拠を維持し続けることは容易ではありません。さらに、新バージョンへの対応となると頭を抱える方も多いのではないでしょうか。
本セッションでは、PCI DSS準拠要件の中でも運用負荷が大きくなりがちなアクセス制御・ログ管理(要件7、8、10)に着目し、効率化を図りながらセキュリティレベルを維持するためのポイントと対策ソリューションを事例を交えて紹介します。
NRIセキュアテクノロジーズ株式会社
統制ソリューション事業部
シニアアソシエイト 齋藤 真理子
■13:50~14:00 <アンケート/質疑応答>
