PCI DSS セキュリティ診断

PCI DSSで定期診断の必要性

近年世界各国でサイバー攻撃が頻発しており日本でもサイバー攻撃による被害が、ここ数年で大幅に増加しています。サイバー攻撃は、Webサイトやシステムなどの脆弱性を発見し攻撃してきます。PCI DSSではカード会員データ環境(CDE)に対し、このような攻撃に対処するために定期的な診断を求められます。

PCI DSS診断要件

PCI DSS要件では、以下の一覧に示す多数のセキュリティ診断が求められています。

要件 項目 対象 概要 実施者 実施周期
11.1 ワイヤレス(無線LAN)チェック 拠点すべて 未承認アクセスポイントの存在を確認 任意 四半期に一度
11.2.2 内部脆弱性スキャン ネットワーク 内部から脆弱性の存在状況を検査 任意 四半期に一度
11.2.2 ASVスキャン(外部脆弱性スキャン) ネットワーク インターネットからグローバルIPに対して脆弱性の存在状況を検査 ASV 四半期に一度
11.3.1 内部ペネトレーションテスト ネットワーク ネットワーク内部から侵入できる脆弱性がないかを検査 任意 一年に一度
11.3.1 外部ペネトレーションテスト ネットワーク インターネットから侵入できる脆弱性がないかを検査 任意 一年に一度
11.3.2 内部ペネトレーションテスト アプリケーション 内部からアプリケーションに侵入できる脆弱性がないかを検査 任意 一年に一度
11.3.2 外部ペネトレーションテスト アプリケーション インターネットからアプリケーションに侵入できる脆弱性がないかを検査 任意 一年に一度
11.3.4 セグメンテーションの有効性テスト ネットワーク カード環境外との通信が想定環境通りであることを検査 任意 一年に一度 *

* サービスプロバイダーの場合は一年に二度

PCI DSS 診断サービスフロー

【 ヒアリングシートの記入依頼 】

ヒアリングシートご記入後に返送願います。


【 診断事前準備 】

ヒアリングシートをもとに、作業実施計画書を作成し、主に以下のような点を確認します。

  • 診断スケジュールについての確認
  • 診断実施環境についての確認
  • 診断の影響・リスクについての認識があっているかどうかの確認
  • 禁止事項についての確認
  • その他、診断実施にあたっての不明瞭な点の確認

診断作業は、脆弱性の特性に応じて、ツール実行と手動診断を並行して実施いたします。

【 診断ツールによる自動診断 】

診断ツールを実行して、自動診断を実施します。大量の提携の攻撃パターンに対する耐性を確認します。

【 手動診断 】

人が実施しないと見つけにくい脆弱性について、追加で確認を実施します。


※ 診断の実行環境については、可能な限り、テスト環境をご準備ください。あわせて、DBのバックアップ取得をお願いします。


診断結果をもとに、報告書を作成します。

  • 概要: 診断作業の概要(診断日時・診断方法等)
  • 総括: 全体的なまとめ
  • 脆弱性一覧(エグゼクティブ・サマリー): 発見された脆弱性一覧とそれぞれの脆弱度判定
  • 詳細報告: 発見された脆弱性のそれぞれに関する詳細情報(内容・影響等)
【 総括(エグゼクティブ・サマリー)の内容 】

以下の内容を含むまとめレポートを提出いたします。

  • 全体的に見て脆弱度は高いか、低いか
  • 脆弱性が多く見つかっている場合、根本的にどういった点を改善すべきか
  • 今後、システム開発を行う際に注意すべき事柄

【 報告内容の説明 】

配布資料の説明、および、報告会をどのように進めるか説明を行います。

【 全体的な所感 】

報告書の総括(エグゼクティブ・サマリー)をもとに、診断結果に関しての全体的な所感を述べます。

【 主な脆弱性の説明 】

発見された脆弱性の中で、特に危険度が高いものや、説明が必要と思われる脆弱性について、個別に説明を行います。

【 報告書の見方 】

報告書の内容のうち、説明が必要と思われる箇所(脆弱度の判断基準)について、補足説明を行います。

【 質疑応答 】

報告内容に関する個別の質問にお答えます。


再診断

脆弱度が高いものについて、対策(改修、パッチ適用)後、再診断を実施します。

ワイヤレス(無線LAN)チェック

効果

  • PCI DSS(要件11.1)の要求事項を満たします。
  • 不正な無線LANアクセスポイントの有無を調査できます。

調査手法

  • CDE(PCI DSS対象範囲のセンター、オフィスなど)のレイアウト図を作図、または物理配置図を入手します。
  • 無線LAN検知ツール(ノートPC)を携行して、実際にレイアウト図内のエリアの無線LANアクセスポイントの電波感度の調査を行い、電波感度から当該エリア内で電波的に接続可能な無線LANアクセスポイントの存在を確認します。
  • ラック周辺部分について目視で確認します。

内部脆弱性スキャン

効果

  • PCI DSS(要件11.2.2)の要求事項を満たします。
  • 内部から脆弱性の存在状況を調査します。

調査手法

  • 業界標準のスキャンツールおよびシステムを使用して実行されます。
  • 脆弱性スキャンを実行することで、システムの既知の脆弱性が特定します。
  • 特定された脆弱性を識別、適切なタイミングで対処し、組織のリスク・エクスポージャーを許容レベルまで下げます。

内部、外部ペネトレーションテスト(ネットワーク/アプリケーション)

効果

  • PCI DSS(要件11.3.1~2)の要求事項(ネットワーク層のペネトレーションテスト)を満たします。
  • ネットワーク診断で発見された脆弱性が、実際に利用可能な脆弱性かどうかを検証できます。

調査手法

脆弱性診断結果を踏まえ、脆弱性に対する擬似攻撃、パスワード推測調査等を実施し、エンジニアが手動でサーバへの侵入を試みます。 ペネトレーションテストでは、脆弱性診断で洗い出したリスクをエンジニアが検証し、サーバの安全性(侵入の可否等)を評価します。

セグメンテーションの有効性テスト

効果

  • PCI DSS(要件11.3.4)の要求事項を満たします。
  • 設定されたセグメンテーションが有効であるかを確認できます。

調査手法

ペネトレーションテストの手法を用い、FW(ファイヤウォール)等の制御が正しく機能しているかどうかを確認します。

お申込み・お問合せ