PCI DSS脆弱性診断サービス

特長

ASV資格保有

TISは2010年からASV（Approved Scanning Vendor）の資格を自社にて保有しており、確かな技術がPCI SSCより保証されています。日本でASV資格を保有しているベンダーは数社しかありません。PCI DSSを熟知したコンサルタントによる診断を実施するため、高い品質のアウトプットをご提供します。

豊富な実績

脆弱性診断実績 延べ850社の経験により、効率的に網羅的に潜在リスクの検出を実施します。
高度なセキュリティレベルを要求する金融／証券業向けの脆弱性診断は、幅広いプラットフォームやセキュリティリスクに関する知識、かつ高いセキュリティレベルをカバーする手法が要求されます。TISは、金融／証券／カード業界で多数の実績を誇り、高度な診断サービスをご提供することで、網羅的、効率的にリスクの検出を行います。

PCI DSS要件11に伴う各種診断に対応

PCI DSSで求められる診断プロセスのドキュメント提供を完全サポートします。PCI DSSの要求するセキュリティ診断すべてをオールインワンで対応しているため、事務手続きの簡素化、ボリュームディスカウントなど多くのメリットを享受できます。
1999年から情報セキュリティ関連ビジネスを手掛けており、構築から運用・保守までのPCI DSS関連のトータルソリューションのご提供も可能です。

サービスメニュー

PCI DSS要件では、以下の一覧に示す8つのセキュリティ診断が求められています。TISではこれらすべての診断をオールインワンで対応しています。

ワイヤレスチェック

システムに不正なワイヤレスアクセスポイントを設置・利用され、内部や外部の人物から対象システムに侵入されることがないよう、アクセスポイントを検出します。PCI DSS準拠範囲を含むシステムの設置場所、及び接続できる拠点において、アクセスポイントを検出するソフトウェアを導入したPCを携行し、歩行調査を実施します。また、周辺機器に不正なアクセスポイントが設置されていないか目視チェックも合わせて実施します。
以下のイメージのように、不正にアクセスポイントが設置され、ネットワーク内に侵入される可能性があります。

内部脆弱性スキャン

内部セグメントから、各サーバ（ネットワーク機器）の脆弱性スキャンを実施します。この診断により、各機器における不要なサービスの調査、ソフトウェアのバージョン確認、脆弱性の評価を行い、インターネット経由の診断では検出できない各サーバ（ネットワーク機器）の脆弱性を詳細に診断します。
以下が内部脆弱性スキャンの実施イメージになります。

外部脆弱性スキャン（ASVスキャン）

インターネットから、お客様が公開している各サーバ（ネットワーク機器）の脆弱性スキャンを実施します。ファイアウォールを通して、インターネットに公開されているサービスの検出、そのサービスの脆弱性の有無を診断します。
以下が外部脆弱性スキャンの実施イメージになります。
詳細は PCI DSS対応　TIS ASVスキャンサービス をご確認ください。

ネットワークペネトレーションテスト

TISではNIST SP800-115等の業界標準に基づくペネトレーションテストを実施します。お客様ごとに侵入シナリオを作成し、リモートアクセスポートやログインページ等へのログイン試行の実施、システムへの侵入に有用な情報の有無等を確認します。

Webアプリケーションペネトレーションテスト

実際にWebアプリケーションを操作し、Webアプリケーションに対するペネトレーションテストを実施します。SQLインジェクションやクロスサイト・スクリプティング等に代表される、OWASP（Webアプリケーションセキュリティのグローバルスタンダード）TOP 10 ならびに IPA（独立行政法人情報処理推進機構）で喚起されている項目を含んだ診断を実施します。

セグメントの有効性テスト

PCI DSS準拠範囲とその他の範囲が適切に分離（セグメンテーション）されているかを調査します。PCI DSSでは、準拠範囲外のシステムが侵害された場合に、準拠範囲のセキュリティに影響しないように、適切に分離することが要求されています。準拠範囲外のシステムから準拠範囲のシステムに対して、接続できないことを確認します。

サービスフロー

PCI DSS脆弱性診断サービスの大きな流れは以下の通りになります。

PCI DSS脆弱性診断 年間サポート

PCI DSSでは四半期に一度、診断を実施することが求められています。実施計画を作成し、TIS主導の元、定期的な診断実施をサポートします。
年間実施のイメージは以下の通りになります。