ペネトレーションテストのイメージ

PCI DSSとは?

PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。 PCI DSSは、クレジットカード情報を取り扱う企業や組織を対象に策定したセキュリティ基準ですが、その内容は非常に包括的で実績のあるガイドラインと言えます。 一般企業でもセキュリティ対策に課題を感じている方には、PCI DSSを一読することで多くの実践的なアイデアが得られます。 クレジットカード情報の漏えいによりもたらされる信頼の損失・顧客離れ、売上減少、詐欺による損失、法的費用、罰金と罰則、失業(CISO, CIO, CEO)、廃業などといったビジネスリスクを緩和(Mitigatoin)することを目的としています。

Payment Card Industry Data Security Standard

国内では当社も加入している日本カード情報セキュリティ協議会(JCDSC)がPCI DSSの普及・啓蒙活動に取り組み、ISMS やプライバシーマーク等の公的基準、国や業界が定めるセキュリティガイドラインも踏まえながら、より安全なカード社会の実現をめざして活動しています。

PCI DSS準拠のメリット

クレジットカードセキュリティ

ECサイトの場合は、最新のセキュリティ基準に則ってクレジットカード情報を取り扱っていることをアピールでき、EC事業者の信用やブランドの向上につながります。それに伴い、ECサイトをハッキングなどの不正アクセスから防御し個人情報漏えいのリスクを低減できます。また、万が一情報漏えい事故が発生しクレジットカード不正利用された場合は、PCI DSSに準拠したセキュリティ対策を実施しているECサイトであれば、事業者はクレジットカード会社からのペナルティなどを一部ですが免責される場合もあります。

導入メリット

一番のメリットは、サイバーセキュリティの脅威に伴うビジネスリスクの緩和(Mitigatoin)です。世界の専門家の意見が反映された技術面と運用面に関する実践的で実績のある包括的なセキュリティ対策の導入が可能です。PCI DSSに準拠したセキュリティ対策は、導入に伴うコストと期間の削減を実現します。

PCI DSS認証取得の方法

PCI DSS認証取得の方法は大きく分けて3つに分類されます。いずれか一つの適用ではなくカード情報の取り扱い規模や事業形態によって複数実施する必要があります。

種類 方法 事業規模
訪問審査 PCI国際協議会によって認定された審査機関(QSA:Qualified Security Assessor)による訪問審査を受けて、認証を得ます。
QSAの一覧は、PCI国際協議会のサイトに掲示されています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
大規模
ASVスキャン WEBサイトから侵入されて、情報を盗み取られることがないか、
PCI国際協議会によって認定されたベンダー(ASV:Approved Scanning Vendor)のスキャンツールによって、
四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ます。
ASVの一覧は、PCI国際協議会のサイトに掲示されています。
カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
中規模
自己問診 PCI DSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、
すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、
一般加盟店などの事業者向けの方法です。
当初のVer1.0は、セキュリティに関するIT専門用語が並んでいて、
一般の商店経営者の方がこの設問を理解するのは、かなり大変な内容でした。
そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、
PCI DSSを理解いただけるよう、工夫されています。
日本語版は2008年10月からVISA-Japanのサイトに掲載されています。
小規模

【出典】PCI DSSとは:日本カード情報セキュリティ協議会(JCDSC)

QSAの訪問審査

訪問審査とはQSA(認定審査会社)の審査員が、実際にクレジットカード情報が取り扱われているシステムや業務を調査し報告を行うことです。訪問審査を受ける上で主に認識しておくべきことは以下の内容となります。QSA企業一覧は日本カード情報セキュリティ協議会(JCDSC)のQSA/ASV企業一覧のページに掲載されています。

項目 内容
頻度 1年に1回
審査後 審査機関より各レポートを引き渡される
・ROC(Report on Compliance):報告書
・AOC(Attestation of Compliance):準拠証明書
対応内容 契約先のアクワイアラーまたはカードブランドによるAOCの提出を求められた場合、すみやかに提出する。

【参考】PCI DSS準拠の方法とJCDSCによるサポート体制:日本カード情報セキュリティ協議会(JCDSC)

ASVスキャンとは

PCI SSCによって認定されたベンダー(ASV: Approved Scanning Vendor)によって実行される外部ネットワークからの脆弱性スキャンのことです。ASVスキャンは、4半期に1度の頻度でインターネットに公開されている全てのサーバに対して、ASVによって合格(PASS)レポートが発行されるまで繰り返し実施する必要があります。ASV認定スキャンベンダーは日本カード情報セキュリティ協議会(JCDSC)のQSA/ASV企業一覧のページに掲載されています。

PCI DSS 要件11.2に関する内容 スキャンの方法・対応内容・対象
「ASV Program Guide」で定められている
セキュリティレベルを満たしているか確認する
アカウント推測攻撃やサービス不能攻撃などは実施対象外ではあるが、
業界標準のセキュリティレベルを満たしているか確認する
PCI DSS対象システムが所持している
全てのグローバルIPアドレスが対象
カード情報を取り扱っていないシステムでも、
扱っているシステムと同一のセグメントに設置されている場合はスキャン対象となる

【参考】PCI DSS準拠の方法とJCDSCによるサポート体制:日本カード情報セキュリティ協議会(JCDSC)

自己問診の内容

PCI SSCが作成したPCI DSS SAQ(自己問診票)では設問が300問以上に及び、しかも業態ごとに多くの種類に分かれている複雑なものです。初めて取り組みを実施する企業は難しい内容になっているため、日本カード情報セキュリティ協議会(JCSDC)はPCI DSS(Ver.3.2)に基づいて独自に主要なポイントを50問に集約したPCI DSS簡易診断表を作成しています。PCI DSS準拠に向けて取り組むための目安として利用することが好ましい内容です。

PCI DSS準拠が必要な事業者

PCI DSSが適用される企業や組織は、加盟店、プロセサー、アクワイアラー、イシュア、サービスプロバイダが該当します。その他にも、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信する、すべての事業体に適用されます。

PCI DSSの要件について

PCI DSSのセキュリティ要件は、カード会員データ環境(CDE)に含まれる、または接続されるすべてのシステムコンポーネントに適用され、6つの目標とそれに対応する12の要件より構成されています。

6つの目標と対応する12のPCI DSS要件

PCI DSSの目的はシンプルで、よって非常に力強い内容になっていると感じます。保護すべきデータは何か?どのように保護すべきか?の見解が、業界として統一的なガイドラインとして示されています。目標に対する要件をまとめた表をご覧ください。

目標 要件
安全なネットワークと
システムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護 3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持 5.すべてのシステムをマルウェアから保護しウイルス対策ソフトウェアまたはプログラムを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し保守する
強力なアクセス制御手法の導入 7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する
ネットワークの定期的な
監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持 12.すべての担当者の情報セキュリティに対応するポリシーを維持する

【参考】PCI Security Standards Council, LLC:Payment Card Industry(PCI)データセキュリティ基準/要件とセキュリティ評価手順

PCI DSS要件の対応について

PCI DSS準拠の要件は1から12存在します。当社で提供しているセキュリティサービスはPCI DSS要件6の一部と11の一部に該当します。尚PCI DSSを完全に準拠するには、その他ツールやセキュリティ手順が必要となり非常にハードルの高い内容となります。日本カード情報セキュリティ協議会(JCDSC)が公開しているPCI DSS準拠に向けて(参考資料集)では対応するソリューション表やコンサル、実績会社一覧などを公開しています。

当社で提供するサービスとPCI DSS要件の関連性

アイティーエムが提供するペネトレーションテストは、PCI DSS要件11.3が条件である事に対し、見つかった脆弱性を用いて、システム権限の取得を試みるテストまで実施します。プラットフォーム脆弱性診断(ネットワークツール診断)、脆弱性手動診断サービス(ネットワーク手動診断)はPCI DSS要件11.2に対しフルサポートを実施します。Webアプリケーション脆弱性診断(ツール診断)は、要件6.6の一部をサポートし、脆弱性手動診断サービス(Webアプリケーション手動診断)はフルサポートで実施します。
詳しい内容は以下の「PCI DSS要件表」と「サービス対応表」を比べて御覧ください。

PCI DSS要件表

要件 内容
要件11.3 年に一度および大幅な変更後のペネトレーションテスト
要件11.2 内部と外部ネットワークの脆弱性スキャンを少なくとも四半期に一度およびネットワークでの大幅な変更
(新しいシステムコンポーネントのインストール、ネットワークトポロジの変更、ファイアウォール規則の変更、
製品アップグレードなど)後実行する。
要件6.6 一般公開されているWebアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確認する。
  • 一般公開されているWebアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価する
    ツールまたは手法によって、少なくとも年1回および何らかの変更を加えた後にレビューする。
    注: この評価は、要件 11.2 で実施する脆弱性スキャンとは異なる。
  • Webベースの攻撃を検知および回避するために、一般公開されているWebアプリケーションの手前に、
    Webアプリケーションファイアウォールをインストールする。

【参考】PCI Security Standards Council:PCI DSS 準拠を達成するための優先的なアプローチ

サービス対応表

サービス名 該当するPCI DSS要件 追記事項/診断項目
ペネトレーションテスト 要件11.3等のガイドラインに基づくペネトレーションテスト 見つかった脆弱性を用いて、
システム権限の取得を試みるテスト
プラットフォーム脆弱性診断
(ネットワークツール診断)
要件11.2:内部ネットワークの脆弱性スキャンテストをフルサポート
脆弱性手動診断サービス
(ネットワーク手動診断)
要件11.2:内部ネットワークの脆弱性スキャンテストをフルサポート
Webアプリケーション脆弱性診断
(ツール診断)
要件6.6:Webアプリケーション脆弱性テストを一部サポート
6.5.1インジェクションの不具合 SQLインジェクション
ディレクトリトラバーサル
コマンドインジェクション
改行インジェクション
リンクインジェクション
HTTPレスポンス分割
6.5.5不適切なエラー処理 エラー処理
情報公開
コメント
強制ブラウジング
システム情報の開示
不要なメソッド
6.5.7クロスサイトスクリプティング クロスサイトスクリプティング
6.5.8不適切なアクセス制御 強制ブラウジング
ディレクトリリスティング
Robots.txt
ディレクトリ存在の確認
脆弱性手動診断サービス
(手動診断)
要件6.6:Webアプリケーション脆弱性テストをフルサポート

PCI DSS向けセキュリティサービスの
ユースケースと実施費用

アイティーエムのセキュリティーサービスはそれぞれのPCI DSS要件に対して対応できるサービスを提供しています。システムに存在するプラットフォームやWebアプリケーションで守るべき箇所はどこかを把握し、各サービスを組みわせて実施することで継続的なセキュリティ対策が実現できます。

ユースケース

ペネトレーションテストのユースケース

踏み台サーバを準備し、このサーバより内部のネットワーク経由で存在する各ホストに対して、権限獲得や権限昇格、セグメント分離の不備を突いて重要なシステムへの侵入、データ漏えいの可否をテストをすることがPCI DSSで定義されている内部ペネトレーションテストです。詳しくは下のボタンより図解で説明しているページを御覧ください。

Webアプリケーション脆弱性診断のユースケース

当社で提供する脆弱性診断サービスの具体例の一部です。様々なWebサイト/Webアプリケーションのタイプやシステム構成に分けて考え実施します。

モバイルアプリ脆弱性診断のユースケース

当社で提供するモバイルアプリ向け脆弱性診断サービスの具体例の一部です。様々なモバイルアプリのタイプやデバイスなどに分けて考え実施します。

セキュリティサービスの価格例

ペネトレーションテストの価格例

サービス名 内容 価格
PCI DSS向けペネトレーションテスト
(ネットワーク、アプリケーション)
テスト要件をヒヤリングのうえ具体的なテスト内容と費用をご提案 2,100,000円〜

脆弱性診断サービスの価格例

ツール 手動
Webサイト/Webアプリケーション脆弱性診断 WebSiteScan
【年間2回チケットプラン】
198,000 円(診断2回)〜

【年間回数無制限プラン】
300,000 円/年
(診断回数無制限)
WebSiteScan Pro
【手動診断プラン】
50,000 円(1遷移)〜
スマートフォン用サイト脆弱性診断 WebSiteScan
【年間2回チケットプラン】
198,000 円(診断2回)〜

【年間回数無制限プラン】
300,000 円/年
(診断回数無制限)
WebSiteScan Pro
【手動診断プラン】
50,000 円(1遷移)〜
プラットフォーム脆弱性診断
(OS・ネットワーク・ミドルウェア脆弱性診断)
SiteScan 2.0
【年間1回チケットプラン】
70,000 円(1IP)〜

【年間回数無制限プラン】
216,000 円/年(3IP)
WebSiteScan Pro
【手動診断プラン】
50,000 円(1遷移)〜

Webアプリケーションファイアウォールの価格例

サービス名 ピーク時トラフィックの目安 初期費用 月額費用 基本ホスト数 ホスト追加
Scutum 〜500kbps 98,000円 29,800円 1FQDN
※SSL/TLS利用可
※固有IPアドレス有
不可
〜5Mbps 59,800円
〜10Mbps 128,000円
〜50Mbps 198,000円 148,000円 1FQDN
※SSL/TLS利用可
※固有IPアドレス有
ホスト追加 上限なし
※オプションのホスト追加費用に
従って無制限に追加可能
〜100Mbps 198,000円
〜200Mbps 298,000円
200Mbps 超 100Mbps毎に
100,000円加算
  • ※ピーク時トラフィックは、プラン内で利用する全ホストの合計トラフィックとなります。
  • ※プラン合計のトラフィック基準にかかわらず、1ホストあたりのピーク時トラフィック上限の目安は200Mbps~300Mbpsとなります。
    (トラフィックが多い場合、事前にテストを実施してください)
  • ※トラフィック算定基準はあくまでも目安となります。実際のご利用状況により異なる場合がございます。
  • ※上記金額は税抜です。別途消費税が加算されますのでご了承下さい。
  • ※上記料金は2018年11月20日以降の新規ご契約分について適用されます。

対象サービス

ペネトレーションテスト

外部/内部、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向け

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、また見つかった脆弱性が悪用されてしまう危険性があるかなどをテストをします。 当社が提供するペネトレーションテストは「外部/内部ペネトレーションテスト」と「PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)」と「組込みシステムに対するペネトレーションテスト」があります。

セキュリティ診断・脆弱性診断サービス

SiteScanシリーズ

お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0WebSiteScanWebSiteScanProの3つのシリーズよりお選びいただけます。

Webアプリケーションファイアウォール

Scutum

外部からの通常のインターネットからの正常な通信上は何も影響はありません。一方内部からの運用上の管理等はSaaS型サービスなので何も意識をすることなくシステムをご利用いただけます。
Scutumは外部からの標的型攻撃などの危険な不正アクセス、内部からのウイルス拡散等による情報漏えい事故を未然に防止します。

利用例(お客様の課題)

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30