PCI DSSにおいて要求されている各種診断*を実施するだけでなく、発見された問題の解決をPCI DSS対応を熟知した、経験豊富なコンサルタントがご支援し、お客様のPCI DSS準拠・維持をサポートします。
*脆弱性スキャン・無線LAN調査・ペネトレーションテスト・Webアプリケーション診断
PCI DSS要件で求められる各種診断をワンストップで実施したい
クレジットカード情報を扱う上で、
システムの安全性を詳細に確認したい
PCI DSS 準拠/維持支援スキャンサービスで、お客様の課題を解決
NRIセキュアでは、高い診断品質が求められるASV(Approved Scanning Vendor)としてだけではなく、高いスキル、豊富な実績とノウハウをもとに、PCI DSS対応を熟知した、経験豊富なコンサルタントによって、PCI DSS要件の各種診断をワンストップで提供させていただきます。
また、必要となる対策への解決策の提示も通して、お客様のPCI DSS準拠・維持をサポートします。
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報を取り扱う事業者が順守すべき国際的なセキュリティ基準です。PCI DSSでは、四半期ごとの脆弱性スキャン等の実施が求められています。そのうち、外部ネットワークのシステムの脆弱性スキャンについては、PCI SSC(Payment Card Industry Security Standards Council)に認定された審査資格を持つASV(Approved Scanning Vendor)による実施が義務付けられています。
1
PCI SSCによってASVとして認定されるためには、高い脆弱性スキャンレベルが求められており、毎年のテストによってその品質がチェックされます。NRIセキュアは、高品質の脆弱性スキャンを提供するベンダーとして認定を受けています。(国内では2社のみ※2009年7月時点)
2
本サービスでは、当社独自の厳しい基準をクリアした、セキュリティ診断サービス担当のセキュリティコンサルタントが支援にあたります。
脆弱性スキャンの実施から、検出された問題点の解説、適切な対策方法のアドバイス等のサポートを、PCI DSS対応を熟知し、豊富な実績とノウハウを有するセキュリティコンサルタントが提供します。
3
NRIセキュアは、PCI DSS準拠を審査するQSA(Qualified Security Assessor)資格も有しており、本サービスとPCI DSS準拠支援コンサルティング/審査サービスを組み合わせることでお客様のPCI DSS準拠に向けた取り組み全体をワンストップソリューションとして、ご支援することが可能です。各分野のエキスパートがQSAとしてお客様の課題解決をサポートします。
ASVとして審査資格を持つNRIセキュアにご依頼いただくことで、お客様はシステムの安全性を確認するとともに、PCI DSSに必要とされる要件を満たすことが可能になります。
また、ASVによる実施が義務付けられている外部ネットワークシステムの脆弱性スキャンだけでなく、内部ネットワークに存在するシステムに対する四半期ごとの脆弱性スキャン、四半期ごとの無線LAN調査、および年1回の外部/内部のペネトレーションテストも同時に提供可能です。
外部/内部ネットワークに存在しているサーバ機器やネットワーク機器、アプリケーションに対して脆弱性スキャンを実施し、PCI DSSで要求されているセキュリティレベルを満たしているかを確認、報告を行います。また、サーバ機器やネットワーク機器のセキュリティレベルだけでなく、システム上で稼働しているWebアプリケーションの、SQL Injection脆弱性やクロスサイトスクリプティング脆弱性の存在まで確認します。
※外部ネットワークシステムへの脆弱性スキャン(ASVスキャン)には、Qualys社のQualys PCI Complianceを利用しています。
オフィス、データセンター、店舗などのお客様拠点内に管理されていない無断で設置された無線LANアクセスポイントが存在しないかを、無線LANアナライザを利用してチェックします。
外部、内部ネットワークに存在しているサーバ機器やネットワーク機器、アプリケーションに対して攻撃者の視点で疑似攻撃を実施します。脆弱性スキャン等で検出した脆弱性を突く試行を実施し、システムへの攻撃の可能性を探ります。
詳細については、こちらのページをご覧ください。
