PCI DSS 認定スキャンサービス

NRIセキュアテクノロジーズ株式会社  2017年11月07日

PCI DSSにおいて要求されている四半期ごとの脆弱性スキャン、無線LAN調査、年一回のペネトレーションテストを行い、ASVとしてお客様のPCI DSS準拠をサポートします。

製品概要

クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)では、四半期ごと(※1)の脆弱性スキャンの実施が求められています(※2)。そのうち、外部ネットワーク(インターネットに面している)のシステムの脆弱性スキャンについては、PCI SSCによって認定されたASV(Approved Scanning Vendor)による実施が義務付けられています。NRIセキュアテクノロジーズはPCI SSCからASVとして認定(認定番号:5007-01-01) を受けているため、お客様は本サービスを利用してご自身のシステムの安全性を確認することでPCI DSSに必要とされる要件(※2)を満たすことが可能となります。

また、ASVによる実施が義務付けられている外部ネットワークシステムの脆弱性スキャンだけでなく、内部ネットワークに存在するシステムに対する四半期ごと(※1)の脆弱性スキャン、四半期ごとの無線LAN調査、および年1回(※3)の外部/内部のペネトレーションテストも同時に提供が可能です。

○脆弱性スキャン
外部、内部ネットワークに存在しているサーバ機器やネットワーク機器、アプリケーションに対して脆弱性スキャンを実施し、PCI DSSで要求されているセキュリティレベルを満たしているかを確認、報告を行います。また、サーバ機器やネットワーク機器のセキュリティレベルだけでなく、システム上で稼働しているWebアプリケーションの、SQL Injection脆弱性やクロスサイトスクリプティング脆弱性の存在まで確認します。

○無線LAN調査
オフィス、データセンター、店舗などのお客様拠点内に管理されていない無断で設置された無線LANアクセスポイントが存在しないかを、無線LANアナライザを利用してチェックします。

○ペネトレーションテスト
外部、内部ネットワークに存在しているサーバ機器やネットワーク機器、アプリケーションに対して攻撃者の視点で疑似攻撃を実施します。脆弱性スキャンよりも高いレベルでの診断により、脆弱性の検出、および攻撃の可能性を探ります。

※1 四半期、およびネットワークの大幅な変更後
※2 要件11.2のASVによる外部ネットワークの脆弱性スキャン
※3 年1回、およびネットワークの大幅な変更後

特徴

○PCI SSCによって認定されたサービスレベル
PCI SSCによってASVとして認定されるためには、高い脆弱性スキャンレベルが求められており、毎年テストによってその品質がチェックされます。NRIセキュアテクノロジーズはこのテストに合格し、高品質の脆弱性スキャンを提供するベンダーとしての認定(認定番号:5007-01-01)を受けています

○高いスキル、豊富な実績・ノウハウを持つセキュリティコンサルタントによる実施、サポート体制
本サービスは、当社のセキュリティ診断サービスを担当しているセキュリティコンサルタントによって実施、サポートされます。セキュリティ診断サービスを担当できるセキュリティコンサルタントは、独自の厳しい基準をクリアすることが求められており、高いスキルや豊富な実績を有しています。本サービスでは、脆弱性スキャンの実施から検出された問題点の解説、適切な対策方法のアドバイス等のサポートまでがこれらのセキュリティコンサルタントによって提供されています。

○PCI DSS準拠支援サービスとの併用によるワンストップソリューション
当社はPCI DSS準拠を審査するQSA(Qualified Security Assessor:認定セキュリティ評価機関)としても認定されているため、本サービスと組み合わせることによりお客様のPCI DSS準拠に向けた取り組みをワンストップソリューションとして支援が可能です。多くのQSA資格保有者を有し、各分野のエキスパートがQSAとしてお客様の課題解決を支援します。