PCI DSS脆弱性診断サービス ~PCI DSSv4.0対応~
PCI DSS脆弱性診断サービスとは
PCI DSS脆弱性診断サービスではASV保有のTISがPCI DSS準拠に伴う脆弱性診断をオールインワンでご提供します。
また、新バージョン「PCI DSSv4.0」にも対応が可能です。
PCI DSS脆弱性診断サービスはこのような課題を解決します。
- セキュリティ面で不安があるが、どんな診断を行えばいいかわからない
- PCI DSSに準拠したいが対応が進んでいない
- 脆弱性診断にかかる費用をできるだけ抑えたい
PCI DSS脆弱性診断サービスの特長
ASV資格保有
TISは2010年からASV(Approved Scanning Vendor)の資格を自社にて保有しており、確かな技術がPCI SSCより保証されています。日本でASV資格を保有しているベンダーは数社しかありません。PCI DSSを熟知したコンサルタントによる診断を実施するため、高い品質のアウトプットをご提供します。
豊富な診断実績
脆弱性診断実績 延べ1000社の経験により、効率的に網羅的に潜在リスクの検出を実施します。
高度なセキュリティレベルを要求する金融/証券業向けの脆弱性診断は、幅広いプラットフォームやセキュリティリスクに関する知識、かつ高いセキュリティレベルをカバーする手法が要求されます。TISは、金融/証券/カード業界で多数の実績を誇り、高度な診断サービスをご提供することで、網羅的、効率的にリスクの検出を行います。
PCI DSS要件11・PCI DSSv4.0に関する各種診断に対応
PCI DSSで求められる診断プロセスのドキュメント提供を完全サポートします。PCI DSSの要求するセキュリティ診断すべてをオールインワンで対応しているため、事務手続きの簡素化、ボリュームディスカウントなど多くのメリットを享受できます。また、2022年4月に公開した新バージョン「PCI DSSv4.0」についても対応が可能です。
1999年から情報セキュリティ関連ビジネスを手掛けており、構築から運用・保守までのPCI DSS関連のトータルソリューションのご提供も可能です。
サービスメニュー(PCI DSSv4.0対応)
PCI DSS要件では、以下の一覧に示す8つのセキュリティ診断が求められています。TISではこれらすべての診断をオールインワンで対応しています。
要件 | 項目 | 対象 | 概要 | 実施者 | 実施周期 |
---|---|---|---|---|---|
11.2 | ワイヤレスチェック | 拠点すべて | 拠点に無線LANが無断設置されていないかを調査 | 任意 | 四半期に一度 |
11.3.1 |
内部脆弱性スキャン (認証スキャン) |
ネットワーク | 内部から脆弱性の存在状況を検査 | 任意 | 四半期に一度 |
11.3.2 |
ASVスキャン (外部脆弱性スキャン) |
ネットワーク | インターネットからグローバルIPに対して、脆弱性の存在状況を検査 | ASV | 四半期に一度 |
11.4.2 | 内部ペネトレーションテスト | ネットワーク | ネットワーク内部から侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
11.4.3 | 外部ペネトレーションテスト | ネットワーク | インターネットから、侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
11.4.2 | 内部ペネトレーションテスト | アプリケーション | 内部から、アプリケーションに侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
11.4.3 | 外部ペネトレーションテスト | アプリケーション | インターネットから、アプリケーションに侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
11.4.5 | セグメンテーションの有効性テスト | ネットワーク | カード環境外との通信が想定環境通りであることを検査 | 任意 | 一年に一度 (サービスプロバイダー二度) |
ワイヤレスチェック
システムに不正なワイヤレスアクセスポイントを設置・利用され、内部や外部の人物から対象システムに侵入されることがないよう、アクセスポイントを検出します。PCI DSS準拠範囲を含むシステムの設置場所、及び接続できる拠点において、アクセスポイントを検出するソフトウェアを導入したPCを携行し、歩行調査を実施します。また、周辺機器に不正なアクセスポイントが設置されていないか目視チェックも合わせて実施します。
以下のイメージのように、不正にアクセスポイントが設置され、ネットワーク内に侵入される可能性があります。
内部脆弱性スキャン
内部セグメントから、各サーバ(ネットワーク機器)の脆弱性スキャンを実施します。この診断により、各機器における不要なサービスの調査、ソフトウェアのバージョン確認、脆弱性の評価を行い、インターネット経由の診断では検出できない各サーバ(ネットワーク機器)の脆弱性を詳細に診断します。
内部脆弱性スキャンの実施時には特権アクセスを検査に組み込むことで、これまでの非認証スキャンでは見つからない脆弱性をチェック・検出します。
詳細は 認証スキャンサービス(PCI DSSv4.0内部スキャン対応)をご確認ください。
外部脆弱性スキャン(ASVスキャン)
インターネットから、お客様が公開している各サーバ(ネットワーク機器)の脆弱性スキャンを実施します。ファイアウォールを通して、インターネットに公開されているサービスの検出、そのサービスの脆弱性の有無を診断します。
以下が外部脆弱性スキャンの実施イメージになります。
詳細は PCI DSS対応 TIS ASVスキャンサービス をご確認ください。
ネットワークペネトレーションテスト
TISではNIST SP800-115等の業界標準に基づくペネトレーションテストを実施します。お客様ごとに侵入シナリオを作成し、リモートアクセスポートやログインページ等へのログイン試行の実施、システムへの侵入に有用な情報の有無等を確認します。
Webアプリケーションペネトレーションテスト
実際にWebアプリケーションを操作し、Webアプリケーションに対するペネトレーションテストを実施します。SQLインジェクションやクロスサイト・スクリプティング等に代表される、OWASP(Webアプリケーションセキュリティのグローバルスタンダード)TOP 10 ならびに IPA(独立行政法人情報処理推進機構)で喚起されている項目を含んだ診断を実施します。
セグメントの有効性テスト
PCI DSS準拠範囲とその他の範囲が適切に分離(セグメンテーション)されているかを調査します。PCI DSSでは、準拠範囲外のシステムが侵害された場合に、準拠範囲のセキュリティに影響しないように、適切に分離することが要求されています。準拠範囲外のシステムから準拠範囲のシステムに対して、接続できないことを確認します。
サービスフロー
PCI DSS脆弱性診断サービスの大きな流れは以下の通りになります。
お客様へのヒアリング~診断、報告会や再診断までワンストップでご提供いたします。
PCI DSS脆弱性診断 年間サポート
PCI DSSでは四半期に一度、診断を実施することが求められています。実施計画を作成し、TIS主導の元、定期的な診断実施をサポートします。
年間実施のイメージは以下の通りになります。