PCI ASV 外部スキャンに関する FAQ
Tenable Vulnerability Management をお試しください
60 秒未満で最初のスキャンを実行できます。
PCI DSS - データセキュリティ規格準拠の検証プロセスをASVスキャンで最適化
PCI ASVとは?
PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)による実施(または証明)が必要とされています。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール(「ASVスキャンソリューション」)を有する組織です。
ASV スキャンの対象となるシステムは?
PCI DSS では、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な (インターネットに接続した) すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。
ASV プロセスとは?
ASV スキャンの主要なフェーズは以下によって構成されます。
- 範囲の設定:お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
- スキャン: 指定された Tenable Vulnerability Management PCI および WAS テンプレートを使用します。複数のカード会員のデータ環境(CDE)セクションを個別にスキャンすることができます。
- 複数のスキャン内容を1つの証明書にまとめます
- レポート作成/修正:中間レポートの結果を修正します。
- 問題点の解決:お客様とASV (Tenable) が共同でスキャン結果の問題を文書化し、解決します。
- 再スキャン (必要な場合):問題点が解決され、例外が生成される合格スキャンまで行います。
- 複数のスキャン内容を1つの証明書にまとめます
- 最終レポート作成:安全な形式で送信して配信します。
ASV スキャンが必要とされる頻度は?
ASV脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。
認定スキャンベンダー(ASV)と認定セキュリティ評価機関(Qualified Security Assessor: QSA)の違いとは?
ASVは、PCI DSS 11.2に規定された外部脆弱性スキャンを実行することのみに特化しています。QSAは、PCI SSC(Security Standards Council)から認定と教育を受けた、PCI DSSの一般的なオンサイト評価を実行する評価企業です。
Tenable は PCI 認定の ASV ですか?
はい。Tenableは、加盟店とサービスプロバイダーのインターネット接続環境(カード会員データの保存、処理、転送に使用される環境)の外部脆弱性スキャンを検証する認定スキャンベンダー(ASV)の資格を有しています。ASV認定プロセスは、3つの部分で構成されています。最初の部分には、ベンダーとしてのTenable Network Securityの認定が関係します。2 つ目は、リモートのPCIスキャンサービスを実行する Tenable 従業員の認定に関連する工程です。3 つ目は、Tenable のリモートスキャンソリューション (Tenable Vulnerability Management および Tenable PCI ASV) のセキュリティテストで構成されます。
Tenable は認定スキャンベンダー(ASV)として実際にスキャンを実行しますか?
データ主権
Tenable PCI ASV は EU のデータ主権要件に準拠していますか?
脆弱性データは EU DPD 95/46/EC データではないため、データの保管場所に関する要件は規制当局ではなくお客様に依存します。EU 加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合 PCI-ASV スキャンにとって問題ではありません。
Tenable Vulnerability Management ASV 価格/ライセンス/購入
Tenable Vulnerability Management には PCI ASV ライセンスが含まれていますか?
はい。Tenable Vulnerability Management には、単一の一意の PCI 資産に対する PCI ASV ライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして、PCIの対象範囲の資産を限定することに尽力してきました。このようなお客様はほぼ間違いなく「PCIビジネスに無関係」であるため、Tenableは購入とライセンス交付を簡略化しました。お客様は90日ごとに資産を変更できます。
Tenable PCI ASV のライセンスの適用方法は?
複数の一意の PCI 資産をお持ちのお客様の場合、Tenable PCI ASV ソリューションは Tenable Vulnerability Management サブスクリプションのアドオンとしてライセンス供与されます。
Tenable PCI ASV のライセンスが、インターネットに接続した顧客の PCI 資産数に応じて適用されないのはなぜですか?
エンティティのカード会員データ環境 (cardholder data environment: CDE) 内に存在する、または CDE 環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenable はより簡単なライセンス方式を採用しました。
ユーザーが四半期あたりに送信できる証明の数は?
お客様が四半期あたりに提出できる証明の数に制限はありません。
トライアル/評価版のユーザーが Tenable PCI ASV を評価することはできますか?
できます。評価版をお使いのお客様は、PCI Quarterly External Scan テンプレートを使って、資産をスキャンして結果を見ることができます。しかし、スキャンレポートを送信して認証することはできません。
Tenable Vulnerability Management をすでに使用している場合、新しい機能への移行はどのように行えば良いでしょうか?
新しい機能は 2017 年 7 月 24 日に自動的にアクティブになります。そのためお客様は、次回の PCI ASV スキャンで利用できるようになります。既存のお客様は、少なくとも 1 年間は新たな PCI ASV機能に関してライセンスを取得する必要はありません。
現行の PCI ASV 機能のライセンスを保持している SecurityCenter ユーザーを、どのようにして新しい機能に移行する予定ですか?
既に外部スキャンまたは PCI スキャンのライセンスをお持ちの SecurityCenter® ユーザーが Tenable PCI ASV の使用を開始できるのは、この機能が利用可能になった後です。リニューアル時には、既存のSKUを使用して更新するだけで済みます。ただし、代わりにTenable PCI ASVライセンスを取得するほうが便利な場合もあります。