対応ソリューション
PCI DSS 準拠をするに当たって必要とされるもののうち、弊社が提供することの出来る、診断関係のソリューション・プロダクトをラインナップいたしました。
外部診断(ASV)
グローバル IP をもつサーバやネットワーク機器の脆弱性を診断するサービスです。クラウド環境から Web サイトやルータなどのネットワーク機器をスキャンし、セキュリティホールを突き止め、対策のための情報を提供します。検査項目は 56,000 以上あり、診断レポートも充実しております。ハードウェアやソフトウェアの導入の必要のない、完全自動のクラウド型診断です。
対応ソリューション : SCT SECURE ASVスキャン
内部診断
内部ネットワークのための脆弱性診断ツールです。内部に設置したサーバ、PC、プリンタなど、IP を持つ機器を診断します。全てのアクティブな IP の脆弱性を検査し、ネットワークセキュリティのベースラインを提示します。ネットワーク内の変化、攻撃の予兆を見逃しません。 PCIDSS v4.0で要求されている「認証スキャン」に対応した診断も実施可能です。
対応ソリューション : SCT SECURE インターナルスキャン
無線LANポイント調査
管理対象のエリアに無線 LAN センサーを設置し、インターネットに接続した後にクラウドサービスの利用を開始、無線 LAN のセキュリティの監視を行います。個人所有や未許可アクセスポイントの不正接続、セキュリティ設定が不十分なアクセスポイント、クライアント、アドホック接続など、無線の LAN セキュリティ対策とセキュリティレポートをご提供いたします。
対応ソリューション : SCT SECURE 無線LANスキャン
ペネトレーションテスト(ネットワーク・Web アプリケーション)
外部および内部診断にて検出した脆弱性をついてセキュリティ専門家によるペネトレーションテストを行います。漏れのない自動診断と、マニュアルによる操作手法を適宜利用します。Webアプリ診断では、WebのAPIの診断も対応可能です。
対応ソリューション : SCT SECURE ペネトレーション診断
境界ネットワーク診断
IDS, IPS を含めた境界ネットワークの診断を行います。各セキュリティ機器の稼動確認など、 PCI DSS 準拠に必要な要件を確認します。
対応ソリューション : SCT SECURE セグメント診断
| 要件 |
要件概要 |
頻度 |
SCT該当サービス名 |
- 11.2.2
- 四半期に一度の外部の脆弱性スキャンは、PCI(Payment Card Industry)セキュリティ基準審議会(PCI SSC)によって資格を与えられた認定スキャニングベンダ(ASV)によって実行される必要がある。スキャンに合格するまで、必要に応じて再スキャンする。
|
ASV(認定ベンダー)からのインターネット経由の脆弱性診断 |
四半期ごと |
SCT SECURE
ASVスキャン |
- 11.2.1
- すべての「高リスク」脆弱性(要件6.1 で識別)が解決されるまで、必要に応じて四半期ごとの内部脆弱性スキャンを繰り返す。スキャンは有資格者が実施する必要がある。
|
内部ネットワークからの脆弱性診断 |
四半期ごと |
SCT SECURE
インターナルスキャン |
- 11.3.1
- 外部のペネトレーションテストを少なくとも年に一度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更(オペレーティングシステムのアップグレード、環境へのサブネットワークの追加、環境への Web サーバの追加など)後に実行する。
|
インターネット経由ペネトレーション診断 |
年1回 |
SCT SECURE
ペネトレーション診断 |
- 11.3.2
- 内部ペネトレーションテストを少なくとも年に一度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更(オペレーティングシステムのアップグレード、環境へのサブネットワークの追加、環境への Web サーバの追加など)後に実行する。
|
内部ネットワークからのペネトレーション診断 |
年1回 |
SCT SECURE
ペネトレーション診断 |
|
- 11.3.4
- セグメンテーションを用いて CDE を他のネットワークから分離した場合、少なくとも年に一度とセグメンテーションの制御/方法が変更された後にペネトレーションテストを行って、セグメンテーション方法が運用可能で効果的であり、適用範囲内のシステムから適用範囲外のシステムをすべて分離することを確認する。
|
境界面調査 |
年2回 |
SCT SECURE
セグメント診断 |
- 6.6
- 一般公開されている Web アプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法 によって、既知の攻撃から保護されていることを確認する。
|
外部サイトのWeb アプリケーションの継続保護 |
随時 |
SCT SECURE
ペネトレーション診断 |
- 11.1
- 四半期ごとにワイヤレスアクセスポイントの存在をテストし (802.11)、すべての承認されているワイヤレスアクセスポイントと承認されていないワイヤレスアクセスポイントを検出し識別するプロセスを実施する。
|
無線LAN調査 |
四半期ごと |
SCT SECURE
無線LANスキャン |
- 要件
- 11.2.2四半期に一度の外部の脆弱性スキャンは、PCI(Payment Card Industry)セキュリティ基準審議会(PCI SSC)によって資格を与えられた認定スキャニングベンダ(ASV)によって実行される必要がある。スキャンに合格するまで、必要に応じて再スキャンする。
- 要件概要
- ASV(認定ベンダー)からのインターネット経由の脆弱性診断
- 頻度
- 四半期ごと
- SCT該当サービス名
- SCT SECURE PCI DSSスキャン
- 要件
- 11.2.1すべての「高リスク」脆弱性(要件6.1 で識別)が解決されるまで、必要に応じて四半期ごとの内部脆弱性スキャンを繰り返す。スキャンは有資格者が実施する必要がある。
- 要件概要
- 内部ネットワークからの脆弱性診断
- 頻度
- 四半期ごと
- SCT該当サービス名
- SCT SECUREインターナルスキャン
- 要件
- 11.3.1外部のペネトレーションテストを少なくとも年に一度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更(オペレーティングシステムのアップグレード、環境へのサブネットワークの追加、環境への Web サーバの追加など)後に実行する。
- 要件概要
- インターネット経由ペネトレーション診断
- 頻度
- 年1回
- SCT該当サービス名
- SCT SECUREペネトレーション診断
- 要件
- 11.3.2内部ペネトレーションテストを少なくとも年に一度および大幅なインフラストラクチャまたはアプリケーションのアップグレードや変更(オペレーティングシステムのアップグレード、環境へのサブネットワークの追加、環境への Web サーバの追加など)後に実行する。
- 要件概要
- 内部ネットワークからのペネトレーション診断
- 頻度
- 年1回
- SCT該当サービス名
- SCT SECUREペネトレーション診断
- 要件
- 11.3.4セグメンテーションを用いて CDE を他のネットワークから分離した場合、少なくとも年に一度とセグメンテーションの制御/方法が変更された後にペネトレーションテストを行って、セグメンテーション方法が運用可能で効果的であり、適用範囲内のシステムから適用範囲外のシステムをすべて分離することを確認する。
- 要件概要
- 境界面調査
- 頻度
- 年2回
- SCT該当サービス名
- SCT SECUREセグメント診断
- 要件
- 6.6一般公開されている Web アプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法 によって、既知の攻撃から保護されていることを確認する。
- 要件概要
- 外部サイトのWeb アプリケーションの継続保護
- 頻度
- 随時
- SCT該当サービス名
- SCT SECUREペネトレーション診断
- 要件
- 11.1 四半期ごとにワイヤレスアクセスポイントの存在をテストし (802.11)、すべての承認されているワイヤレスアクセスポイントと承認されていないワイヤレスアクセスポイントを検出し識別するプロセスを実施する。
- 要件概要
- 無線LAN調査
- 頻度
- 四半期ごと
- SCT該当サービス名
- SCT SECURE無線LANスキャン
