• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI CSS準拠への参考資料集
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

NEWS

JCDSC 1/26ベンダー部会レポート 国内ASV企業が初の情報交流

今回のベンダー部会は、「PCIDSS要件11、セキュリティシステムとプロセスの定期的テスト」をテーマに開催しました。 外部ネットワークの脆弱性スキャンは、PCISSC認定スキャンベンダー(ASV)によって実施される必要があるとされています。 今回は、国内のASV事業者の多くが参加して、自社のサービス内容を紹介して質疑応答。日本国内初の有益な会合となりました。

カード会社からのオブザーバー参加も加え、50名が参加。

日時:2012年1月26日(木) 14:30〜17:30

会場:京セラコミュニケーションシステム株式会社(東京都港区三田)

【内容】

1) ASVの要件について:事務局・森(日本オフィス・システム梶j 資料
PCISSCでは「ASVプログラムガイド」により、ASVによる外部N/Wスキャンの実施基準を定めて、ASVの認定を得るための、検査内容の品質について定めています(Ver1.2・英語版のみ)。
・ASVは、顧客が依頼したIPアドレスやドメイン以外でも、クレジットカード情報に関係するものがないかを、充分に確認する必要がある。
・顧客がインターネット・サービス・プロバイダ(ISP)やホスティング・プロバイダーを利用している場合、ASVがスキャンできるよう、調整をする必要がある。
・スキャンは、顧客のシステム環境に影響を与えないようにしなければならない。
・顧客のシステム環境を故意に変更したり、侵入したりしてはいけない。
・ Denial of service (DoS攻撃)や、 Buffer overflow exploit(バッファ・オーバーフロー)など、破壊的・暴力的な検査手法は行わない。
などが定められており、ASVはこうしたガイドラインに適合している事業者です。
続いて、ASV企業から、各社15分ずつサービス紹介を行いました。
2) 京セラコミュニケーションシステム(株)様

脆弱性スキャンとペネトレーションテストの違いにもふれながら、nCircle Network Securityの説明をする佐藤様

3) NTTデータ先端技術(株)様

Scanning Service-NinjaSCANを説明する諸橋様

4) 三和コムテック蒲lとトッパンエムアンドアイ蒲l
マカフィーセキュア(ハッカーセーフ)と、IBM AppScan
5) TIS蒲l

説明する中村様(右)と三木様

6) 日本オフィス・システム蒲l 資料
ControlCase GRC
7) ベライゾン ビジネス様

Cybertrust Vulnerability Assessment Servicesを説明する岡田様

8) NRIセキュアテクノロジーズ蒲l

Security Assessment for PCIを説明する矢野様

9) SCSK蒲l

Retinaを説明する富田様

10)質疑応答およびその他情報交換
今回は事前に参加各社から寄せられてあった質問を含め、回答が交わされました。
・ネットワークスキャンは、ペネトレーションテストのうちのどのくらいの範囲を占めるのか。
・スキャン中はシステムを通常サービス稼働中でもだいじょうぶか。これまでの実績で、受診側のサービスに支障が出たことはあるか。
・検査するグローバルIPアドレスが3個程度の場合、スキャン実施は何時間くらいか。
・診断された結果、発見された脆弱性に対して、解決策の相談や改善の提案もしていただけるか。

意見交換の様子

以上

  
  1. 外部のサイトへリンクします。
  • PマークとPCI DSS
  • ISMSとPCIDSS
  • 参考資料
  • 関連リンク