EN

  • 検索フィールドが空なので、候補はありません。

メールマガジン登録
お役立ち資料
TOP
SERVICE & SOLUTION
CASE STUDY
SEMINAR
BLOG
NEWS
COMPANY
RECRUIT
セキュリティ用語解説
お問い合わせ
SERVICE & SOLUTION
セキュリティ用語解説
COMPANY
consulting-hero-bg

PCI DSS 準拠支援コンサルティング/審査

QSA

PCI DSS準拠のための対策実施から訪問審査までを
ワンストップで支援

お問い合わせ

QSA

こんな課題ありませんか?

icon_01

PCI DSSの準拠審査を
日本語で受けたい

icon_02

PCI DSSへの準拠支援から
審査までを一括で受けたい

icon_03

PCI DSS の準拠維持審査のみ
受けたい

security_management-image

PCI DSS準拠のための対策実施から訪問審査までをワンストップで支援

PCI DSSは、クレジットカード会員データのセキュリティを強化するために制定された基準で、カード会員データを取扱う(保存、処理、伝送)すべての事業体に適用されます。

PCI DSSに準拠するためには、安全なネットワーク構築、カード会員データの保護、脆弱性管理、アクセス制御、ネットワークの監視とテスト、情報セキュリティポリシーに関する12の要件を完全に満たすことが要求され、準拠状況はQSA(認定セキュリティ評価機関)による訪問審査によって判定されます。

NRIセキュアは、情報セキュリティに関わる多くの実績・ノウハウや、認定審査機関としての立場を活かし、PCI DSSが求める12要件を満たすための効果的な対策の実施から訪問審査までワンストップで支援します。
reason

お客様に選ばれる理由

1

PCI SSCによるQSA認定企業

PCI SSCによる認定を受けたプロフェッショナルが、対策の実施から訪問審査までのサービスを実施します。

2

決済セキュリティ対策支援の豊富な実績とノウハウ

弊社はこれまでに規模・業種を問わず、業界のトップグループに対してPCI DSSの豊富な支援実績を有しています。また、PCI DSS以外にも決済セキュリティに関する国内トップクラスの豊富な知見と実績があり、企業の決済セキュリティ対策を総合的に支援いたします。

3

NRIグループとしての総合力

あらゆる分野のプロフェッショナルによるバックアップが可能で、お客様の課題に合わせて最も効果的な体制で支援します。

対策計画・支援~審査まですべて実施する場合の流れ

  1. STEP

    1

    現状評価・ギャップ分析

    PCI DSSの要件と現状の対策状況とのギャップを明らかにします。

  2. STEP

    2

    改善計画の策定

    現状評価・ギャップ分析結果に基づき、具体的な対応策およびスケジュールを決定します。

  3. STEP

    3

    改善の実施

    改善計画に基づいてシステムの導入や各種基準、手順類の整備・作成等を行います。

  4. STEP

    4

    審査・認定

    QSAによるオンサイトレビューを受け認定を取得します。
    ※オプションで予備審査も可能

提供メニュー

PCI DSS準拠支援コンサルティング

PCI DSSが要求する12の要件に対する効果的な対策方法(ルール・手順の整備、ネットワークの適正化、脆弱性スキャンなど)を支援いたします。
支援にあたっては、PCI DSSが要求する事項の本質に着目し、お客様の業務内容やシステム規模を踏まえ、最適な対策方法の提案を行います。

QSA訪問審査

QSA資格を保有する専門審査員による訪問審査を行い、12要件の準拠状況を確認します。

PCI DSS 準拠維持支援

PCI DSS 認証は取得がゴールではありません。継続維持のためには年1回の審査を受けることが必要です。準拠状況が保たれているか、すでにPCI DSS認定を取得している企業に対して、取得時と同様の支援を行います。

料金

個別見積もりとなります。
その他、ご要望に応じて個別メニューも承りますので、詳細はお問い合わせください。

よくある質問

Q. 支援期間はどのくらいですか?
A.

サービスの規模や支援内容にもよりますが、審査のみのご支援であれば標準で2-3か月程度となります。ご支援内容とお客様の希望に応じて、適切な支援期間をご提案します。
Q. どのような企業を対象としたサービスですか?
A.

クレジットカードを取り扱う事業者様が対象となります。
Q. PCI DSS要件準拠のために、NRIセキュアではどのようなソリューションの提供が可能ですか?
A. PCI DSS要件に合わせて、コンサルティングや診断、ソリューション提供・運用等さまざまなサービスを提供しています。詳しくはこちらをご覧ください。

(参考)PCI DSS要件準拠のポイントと対応製品・サービス

PCI DSS要件

 要件準拠のポイント
 NRIセキュアが提供するサービス・製品
要件準拠のための対応例 区分 対応サービス・製品

1

 ネットワークセキュリティコントロールの導入と維持 CDE(カード会員データ環境)を機密性の高い環境とみなし、それ以外の環境(インターネットや、企業間の専用接続、無線ネットワーク等)との厳格な通信制御による保護と、その維持管理が求められます。

カード会員データを取り扱うシステムを守るために、専門家のアドバイス受けながら、安全なNW設計や、セキュリティ対策の導入、運用体制の整備をしたい。

 サービス

Secure PROtecht
(構築/運用支援)
複雑化・肥大化した既存のNWを整理し、適切なセグメンテーションと通信制御を行いながら、PCI DSSの準拠範囲を極小化したい。 製品

マイクロセグメンテーションソリューション illumio
(マイクロセグメンテーション)
2 すべてのシステムコンポーネントに安全な設定を適用する CDE(カード会員データ環境)のシステムコンポーネント(NW機器やサーバ、端末、クラウドサービス上のリソース等)には、安全な設定を施し、堅牢化することが求められます。 クラウドサービス上におけるリソースの設定状況を業界標準のフレームワークを用いて評価し、問題点への対応を迅速に行いたい。 サービス

クラウド設定評価サービス
(CSPM)

統合クラウドセキュリティマネージドサービス powered by Prisma Cloud from Palo Alto Networks
(CSPM)
3 保存されたアカウントデータの保護

保存されたカード会員データの保護(暗号化、鍵管理)が求められます。

 クラウドやAPI等、あらゆるシステムで用いるデータの暗号化鍵を安全に一元管理したい。 製品

HashiCorp Vault
(鍵管理)
データ暗号化に使用する鍵について、安全なライフサイクルに則ったシステムを専門家のアドバイス受けながら設計・構築・運用したい。 サービス

暗号鍵の設計・運用に関する評価支援サービス
(鍵管理)
4 オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

インターネット経由でのカード会員データの伝送を行う際の暗号化が求められます。

 取引先と、安全にカード会員データを授受するための環境を整備したい。 製品

クリプト便
(ファイル送信)

m-FILTER MailAdviser
(ファイル送信)
5 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する

CDE(カード会員データ環境)のシステムコンポーネントには、マルウェア対策が求められます。また組織が利用するメールの受信環境には、フィッシング対策の導入が求められます。

 継続的な振る舞い分析が可能なマルウェア対策を導入したい。 サービス

CrowdStrike(マネージドEDRサービス)
(EPP, EDR)

マネージドXDRサービス powered by Cortex XDR from Palo Alto Networks
(EPP, EDR)
フィッシングメールの流入を抑え、すり抜けたメールには迅速に対処したい。 製品

Cofense
(メールセキュリティ)

proofpoint
(メールセキュリティ)
6 安全なシステムおよびソフトウェアの開発と維持

アプリケーションの開発現場には、脆弱性の作り込みを抑止するための開発手順の整備や、開発担当者へのトレーニング、潜在的な脆弱性や新たな脆弱性を特定・修正するためのプロセスの整備が求められます。
また、一般公開されているWebアプリケーションには、攻撃の継続的な検出と防御を自動的に行うためのソリューションの導入が求められます。

 自組織や委託先向けに、設計・開発における基準を整備し、リリースするアプリケーションのセキュリティ水準を一定に保ちたい。 製品

セキュア設計・開発ガイドライン
(安全な開発プロセス)
設計やコードのレビューを専門家に依頼したい。 サービス

セキュアアプリケーション設計レビュー
(安全な開発プロセス)

ソースコード診断
(SAST)
自組織に内製したアジャイル開発の現場に、セキュリティの専門家の知見を取り入れながら、安全な開発プロセスを整備したい。 サービス

SEC Team Services
(安全な開発プロセス)

DevSecOps実行支援サービス
(安全な開発プロセス)
新たなアーキテクチャを採用することにより、巨大化し複雑化する開発現場におけるリスクを把握し、アプリケーションの安全なライフサイクルを確立するために必要な対応を整理したい。 サービス

ソフトウェアサプライチェーンセキュリティ(SSCS)評価サービス
(安全な開発プロセス)
開発者担当者向けのトレーニングを開催したい。 サービス

セキュアEggs
(セキュリティ教育)
一般公開しているアプリケーションに、WAFを導入し、運用体制を整備したい。 サービス

WAF管理サービス
(WAF)

クラウド型WAF管理サービス for Cloudflare WAF
(WAF)
7 システムコンポーネントおよびカード会員データへのアクセスを、知る必要のある業務によって制限する

CDE(カード会員データ環境)にアクセスできるアカウントは、承認手続きの下、職務分類と機能に基づき、最小限の権限を付与することが求められます。

 多岐にわたるシステムコンポーネントに対し、一元的にアカウント管理や認証/認可を管理できる基盤を整備したい。 製品

SecureCube Access Check
(SaaS版:Cloud Auditor by Access Check
(IDaaS)

Okta
(IDaaS)
8 ユーザの識別とシステムコンポーネント
へのアクセスの認証

CDE(カード会員データ環境)へアクセスするユーザ及び管理者を一意で識別できるようにすることや、CDEへのアクセスを保護するために強力な認証(MFA等)を確立し、管理することが求められます。
9 カード会員データへの物理アクセスを制限する

カード会員データを取り扱う施設に対するセキュリティ対策をはじめ、カード会員データを含むメディアの安全な保管や、決済端末の保護等が求められます。

 (物理レイヤでの対応)
10 システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること

カード会員データのセキュリティに影響を与えるシステムコンポーネントのアクセスログや操作ログの保管をはじめ、ログの分析環境の整備や、セキュリティイベントの日次レビュー等が求められます。

 各種ログの監視態勢を整備したい。 サービス

セキュリティログ監視サービス
(SOC)

SIEM監視サービス
(SOC)
各種ログの監視態勢を具備したい。
(監視態勢を自社で持ちたい)		 サービス

組織内CSIRT総合支援
(CSIRT構築)
11 システムおよびネットワークのセキュリティを定期的にテストする

内部/外部脆弱性診断やペネトレーションテスト、セグメンテーション評価、無線LANの管理、の実施が求められます。また、DMZと内部ネットワーク間における侵入防御や、重要なファイルへの不正な変更を検出するためのメカニズムの導入が求められます。

 PCI DSS要件で求められる定期的なセキュリティテストを経験豊富なコンサルタントにまとめて依頼したい。 サービス

PCI DSS準拠支援サービス
(内部スキャン, 外部(ASV), スキャン, ペネトレーションテスト, セグメンテーション診断, 無線LAN診断)
外部公開したシステムにIPS/IDSを導入し、運用体制を整備したい。 サービス

Palo Alto PAシリーズ管理サービス
(侵入防御(IPS/IDS))
12 組織の方針とプログラムによって情報セキュリティをサポートする

組織として情報セキュリティ方針を定め、情報資産を保護するために必要な管理を組織内のすべての関係者に認識させ、徹底することが求められます。
また、カード会員データを取り扱うシステムや業務への侵害に備え、インシデント対応計画の整備をはじめ、セキュリティインシデント対応態勢の整備、定期的な訓練の実施等が求められます。

 委託先の管理プロセスを整備したい。 サービス

サードパーティ・サイバーセキュリティ・デューデリジェンスサービス
(委託先管理)
本格的なインシデント対応訓練を実施したい。 サービス

サイバー攻撃対応机上演習サービス
(インシデント対応)
現状の体制や業務プロセスを見直し、組織のインシデント対応力と回復力を向上させたい。 サービス

サイバーレジリエンス能力向上サービス
(インシデント対応)