近年世界各国でサイバー攻撃が頻発しており日本でもサイバー攻撃による被害が、ここ数年で大幅に増加しています。サイバー攻撃は、Webサイトやシステムなどの脆弱性を発見し攻撃してきます。PCI DSSではカード会員データ環境(CDE)に対し、このような攻撃に対処するために定期的な診断を求められます。
PCI DSS要件では、以下の一覧に示す多数のセキュリティ診断が求められています。
| 要件 | 項目 | 対象 | 概要 | 実施者 | 実施周期 |
|---|---|---|---|---|---|
| 11.1 | ワイヤレス(無線LAN)チェック | 拠点すべて | 未承認アクセスポイントの存在を確認 | 任意 | 四半期に一度 |
| 11.2.2 | 内部脆弱性スキャン | ネットワーク | 内部から脆弱性の存在状況を検査 | 任意 | 四半期に一度 |
| 11.2.2 | ASVスキャン(外部脆弱性スキャン) | ネットワーク | インターネットからグローバルIPに対して脆弱性の存在状況を検査 | ASV | 四半期に一度 |
| 11.3.1 | 内部ペネトレーションテスト | ネットワーク | ネットワーク内部から侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
| 11.3.1 | 外部ペネトレーションテスト | ネットワーク | インターネットから侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
| 11.3.2 | 内部ペネトレーションテスト | アプリケーション | 内部からアプリケーションに侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
| 11.3.2 | 外部ペネトレーションテスト | アプリケーション | インターネットからアプリケーションに侵入できる脆弱性がないかを検査 | 任意 | 一年に一度 |
| 11.3.4 | セグメンテーションの有効性テスト | ネットワーク | カード環境外との通信が想定環境通りであることを検査 | 任意 | 一年に一度 * |
* サービスプロバイダーの場合は一年に二度
ヒアリングシートご記入後に返送願います。
ヒアリングシートをもとに、作業実施計画書を作成し、主に以下のような点を確認します。
診断作業は、脆弱性の特性に応じて、ツール実行と手動診断を並行して実施いたします。
診断ツールを実行して、自動診断を実施します。大量の提携の攻撃パターンに対する耐性を確認します。
人が実施しないと見つけにくい脆弱性について、追加で確認を実施します。
※ 診断の実行環境については、可能な限り、テスト環境をご準備ください。あわせて、DBのバックアップ取得をお願いします。
診断結果をもとに、報告書を作成します。
以下の内容を含むまとめレポートを提出いたします。
配布資料の説明、および、報告会をどのように進めるか説明を行います。
報告書の総括(エグゼクティブ・サマリー)をもとに、診断結果に関しての全体的な所感を述べます。
発見された脆弱性の中で、特に危険度が高いものや、説明が必要と思われる脆弱性について、個別に説明を行います。
報告書の内容のうち、説明が必要と思われる箇所(脆弱度の判断基準)について、補足説明を行います。
報告内容に関する個別の質問にお答えます。
脆弱性診断結果を踏まえ、脆弱性に対する擬似攻撃、パスワード推測調査等を実施し、エンジニアが手動でサーバへの侵入を試みます。 ペネトレーションテストでは、脆弱性診断で洗い出したリスクをエンジニアが検証し、サーバの安全性(侵入の可否等)を評価します。
ペネトレーションテストの手法を用い、FW(ファイヤウォール)等の制御が正しく機能しているかどうかを確認します。
Copyright © 2026 INFINI INC. All Rights Reserved.