クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)では、四半期ごと（※１）の脆弱性スキャンの実施が求められています（※２）。そのうち、外部ネットワーク（インターネットに面している）のシステムの脆弱性スキャンについては、PCI SSCによって認定されたASV(Approved Scanning Vendor)による実施が義務付けられています。NRIセキュアテクノロジーズはPCI SSCからASVとして認定（認定番号：5007-01-03） を受けているため、お客様は本サービスを利用してご自身のシステムの安全性を確認することでPCI DSSに必要とされる要件（※２）を満たすことが可能となります。

また、ASVによる実施が義務付けられている外部ネットワークシステムの脆弱性スキャンだけでなく、内部ネットワークに存在するシステムに対する四半期ごと（※１）の脆弱性スキャン、四半期ごとの無線LAN調査、および年1回（※３）の外部/内部のペネトレーションテストも同時に提供が可能です。

• 脆弱性スキャン
  外部、内部ネットワークに存在しているサーバ機器やネットワーク機器、アプリケーションに対して脆弱性スキャンを実施し、PCI DSSで要求されているセキュリティレベルを満たしているかを確認、報告を行います。また、サーバ機器やネットワーク機器のセキュリティレベルだけでなく、システム上で稼働しているWebアプリケーションの、SQL Injection脆弱性やクロスサイトスクリプティング脆弱性の存在まで確認します。
  ※脆弱性スキャンには、Qualys社のQualysGuard PCIを利用しています。
• 無線LAN調査
  オフィス、データセンター、店舗などのお客様拠点内に管理されていない無断で設置された無線LANアクセスポイントが存在しないかを、無線LANアナライザを利用してチェックします。
• ペネトレーションテスト
  外部、内部ネットワークに存在しているサーバ機器やネットワーク機器、アプリケーションに対して攻撃者の視点で疑似攻撃を実施します。脆弱性スキャンよりも高いレベルでの診断により、脆弱性の検出、および攻撃の可能性を探ります。

• PCI DSS　準拠支援スキャンパッケージ
  新規にPCI DSSに準拠するために必要となるASVによる脆弱性スキャンを実施し、対策支援、再スキャンを通じ、認定のためのサポートを行います。

・ 脆弱性スキャン
・ 無線LAN調査
・ ペネトレーションテスト

• PCI DSS　維持支援スキャンパッケージ
  PCI DSS準拠維持に必要な四半期ごとのスキャンを実施します。脆弱性スキャンで問題が検出された場合には、次の脆弱性スキャンのタイミングまでに修正することがPCI DSSの要件として求められています。本パッケージには修正確認を一定期間内に行うためのスキャンも含まれています。

・ 四半期毎の脆弱性スキャン
・ 四半期毎の無線LAN調査
・ ペネトレーションテスト

PCI SSCによってASVとして認定されるためには、高い脆弱性スキャンレベルが求められており、毎年テストによってその品質がチェックされます。NRIセキュアテクノロジーズはこのテストに合格し、高品質の脆弱性スキャンを提供するベンダーとしての認定（認定番号：5007-01-01）を受けています。（国内では2社のみ　※2009年7月時点）

本サービスは、当社のセキュリティ診断サービスを担当しているセキュリティコンサルタントによって実施、サポートされます。セキュリティ診断サービスを担当できるセキュリティコンサルタントは、独自の厳しい基準をクリアすることが求められており、高いスキルや豊富な実績を有しています。本サービスでは、脆弱性スキャンの実施から検出された問題点の解説、適切な対策方法のアドバイス等のサポートまでがこれらのセキュリティコンサルタントによって提供されています。

当社はPCI DSS準拠を審査するQSA（Qualified Security Assessor：認定セキュリティ評価機関）としても認定されているため、本サービスと組み合わせることによりお客様のPCI DSS準拠に向けた取り組みをワンストップソリューションとして支援が可能です。全社を通じて10名以上のQSA資格保有者を有し、各分野のエキスパートがQSAとしてお客様の課題解決を支援します。