Facebook Google+ Twitter LinkedIn YouTube RSS メニュー 検索 リソース - ブログリソース - ウェビナーリソース - レポートリソース - イベントicons_066 icons_067icons_068icons_069icons_070

PCI DSSスキャン要件をより深く理解する

注:  この記事は、Tenable.io VMの入手可能性を反映するように更新されました。このアプリケーションとその最新の機能について詳しくは、Tenable.io脆弱性管理のWebページを参照してください。


最近Tenableは、Payment Card Industry Data Security Standard(PCI DSS)に示されている3つの明確なネットワーク脆弱性スキャン要件について概説する、「PCI DSSスキャン要件の詳細」というブログを公開しました。このブログでは主に、PCI DSS 11.2.2要件を満たすための外部ネットワークの脆弱性スキャンにおいて、Tenable.ioを使用することについて記述しています。[Tenable.ioを擁するTenableは、Payment Card Industry Security Standards Council(PCI SSC)の認定スキャンベンダー(ASV)であり、企業の周辺システムまたはインターネット接続システムにおいて外部ネットワークの脆弱性をスキャンします。]

PCIの脆弱性スキャン要件については、しばしば混乱が見受けられます。その最大の原因は、外部脆弱性スキャンばかりがフォーカスされているためです。なぜでしょうか? 外部スキャンは、許可されたサードパーティ(ASV)が実行を担当する3つのスキャン要件のうちの1つに過ぎません。そして「小規模な」商店やサービスプロバイダーの大多数が、(1)該当する自己評価アンケート(SAQ)と対応する準拠証明書(AoC)を提出する、および(2)ASVによって四半期ごとの外部脆弱性スキャンが4回実行され、それに合格したことを証明する書類を提出するという方法で、独自のコンプライアンス検証を実行することが許可されています。

このブログでは、上記以外の、次の2つのネットワーク脆弱性スキャン要件を主に取り上げます。(1)社内ネットワークの脆弱性スキャン、および(2)カード会員データ環境(CDE)に対して「大幅な変更」が加えられた後の社内/外部ネットワークの脆弱性スキャン。また、Nessus Professional、Nessus Manager/、Tenable.io™、SecurityCenter™、またはSecurityCenter Continuous View™のいずれかにより、それらの要件を満たす方法についても説明します。

PCIの用語には、次の2種類のエンティティがあります。「カード会員データを送信、処理、保存する」商店(提供する商品やサービスの支払いにデビットカードやクレジットカードを使用できる)、またはサービスプロバイダー(支払いカードの認証と清算、および清算後のアクティビティをサポートする、あるいはもっと単純に[顧客の]カード会員データのセキュリティに影響を与える可能性のある、その他の任意の会社を含む多用途のカテゴリ)。

QSA会社のコンプライアンスを(コンプライアンスに関するレポート(RoC)を生成して)検証するか、SAQ-CかSAQ-Dのいずれかを使用して自己評価する商店の場合、少なくとも、四半期ごとの社内の脆弱性スキャンおよび必要に応じて再スキャンを実施して、社内ネットワークのあらゆる「高リスク」の脆弱性を解決する必要があります。

サービスプロバイダーの場合は、QSAのコンプライアンスを検証するか、自己評価アンケートを利用するかを問わず、いずれの場合も四半期ごとの社内の脆弱性スキャンを実施する必要があります。

注: 支払い処理が主にサードパーティによって実行されている場合や、システムがクラウドでホスティングされている場合であっても、上記の脆弱性スキャンに対する責任も含めて、PCI DSSへの準拠を検証する責任を負います。これらの内容が該当するかどうかがわからない場合には、お問い合わせください。これらの責任を依頼先のサードパーティ会社が代行してくれるとは限りません。

社内の脆弱性スキャンを実行する必要があると判断した場合、その要件の詳細を確認してみましょう。

社内脆弱性スキャン(PCI DSS 11.2.1)

PCI SSCから、次のような社内スキャンの定義が提供されています。

エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるすべての社内向けホストにおいて、論理ネットワーク周辺システム内から実施される脆弱性スキャンのこと。

ネットワークの脆弱性スキャンを取り扱うPCI DSSの条項の要件11.2は、次のとおり。

11.2少なくとも四半期ごとに、また、ネットワークに大幅な変更(新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど)が加えられた後に、社内および外部ネットワークの脆弱性スキャンを実行すること。

内部脆弱性スキャンについての詳細な要件は以下のとおりです。

11.2.1 内部脆弱性スキャンは四半期ごとに実施される。すべての「高リスク」脆弱性(要件6.1に示されているとおり)が解決されるまで、必要に応じて再スキャンされる。スキャンは有資格者が実施する必要がある。

PCI DSSには、有効で適格な内部ネットワークの脆弱性スキャンの基準について、実のところあまり詳しくは記載されていません。多くの場合、何を適切と見なすかは、スキャンベンダーの判断に任されています。いくつかの詳細な要件は、実際にはPCI DSS認定スキャンベンダープログラムガイドで確認できます。ここでは、以下の推奨事項が示されています。

  • ASVプログラムガイドにある以下の外部脆弱性スキャンの詳細な要件を内部脆弱性スキャンプログラムに適用する。
    • 非破壊的である – 悪用、サービス妨害、パフォーマンスの低下を引き起こさない
    • ホストディスカバリーを実行する – すべてのライブシステムを検出するための妥当な試みを行う
    • サービスディスカバリーを実行する – すべてのTCPポートおよびすべての一般的なUDPポートでポートスキャンを実行する
    • OSおよびサービスのフィンガープリントを実行する – 主に追加の脆弱性検出の調整に使用される
    • プラットフォーム独立性がある – スキャナーは一般的に使用されているすべてのシステムを対象とする必要がある
    • 正確である – 確認された脆弱性、さらには疑いのある脆弱性と潜在的な脆弱性は報告される必要がある

内部脆弱性スキャンと外部脆弱性スキャンの最大の違いは、スキャンが「合格」判定を得るためのPCI DSSの要件

内部脆弱性スキャンと外部脆弱性スキャンの最大の違いは、スキャンが「合格」判定を得るためのPCI DSSの要件です。外部スキャンの場合は「中」以上に評価されたすべての脆弱性を修正する必要がありますが、内部脆弱性スキャンの場合は「高」または「重大」と評価された脆弱性のみを修正すれば要件を満たすことができます。

内部脆弱性スキャンのリスクランキングを決定するのはお客様自身

内部脆弱性スキャンでは、お客様がPCI DSS要件6.1に基づいてリスクランキングを決定するという点も注目に値する特徴です。そのためには、「信頼できる外部のセキュリティ脆弱性情報の提供元を利用してセキュリティ脆弱性を特定し、新たに発見されたセキュリティ脆弱性にリスクランキング(「高」、「中」、または「低」など)を割り当てるプロセスを確立すること」が必要になります。 その最大のメリットは、内部ネットワークのセキュリティ全般について、実際のリスクに基づいたアプローチを取ることができる点です。つまり、アクセス制限、内部セグメンテーション、インターネットからの攻撃の可能性などを考慮に入れることができます。

場合によっては内部スキャン結果にまったく該当しない、外部脆弱性スキャンの特殊な「自動障害」(インターネットからデータベースへのオープンアクセスまたは無制限のDNSゾーン転送など)もいくつかあります。

大幅な変更が加えられた後の脆弱性スキャン(PCI DSS 11.2.3)

3つ目の脆弱性スキャンのタイプ、それはネットワーク環境に大幅な変更が生じたとき

PCI DSS要件の3つ目の脆弱性スキャンのタイプは、ネットワーク環境、特にカード会員のデータ環境に大幅な変更が生じたときに行われるスキャンです。PCI DSSでは、これらのスキャンをASVが実施することを要件としていません(外部スキャンの場合)。有資格者が実行することのみを要件としています。

大幅な変更とは?PCI DSSでは以下のガイダンスを提供しています。

何をもって大幅な変更とするかは、所定の環境の構成に大きく依存しています。更新や変更によってカード会員データへのアクセスが許可されるか、カード会員データ環境のセキュリティに影響を及ぼす場合には、大幅な変更と見なされます。

大幅な変更後に環境をスキャンすることで、変更の結果として環境のセキュリティが脆弱になることなく、変更が適切に完了したことを確認できます。変更の影響を受けるすべてのシステムコンポーネントをスキャンする必要があります。

それぞれの環境にとって何が「大幅な変更」になるかについて普遍的に決めることはできませんが、システムやシステムコンポーネントの追加、OSやアプリケーションのバージョンの更新、パッチの適用、アクセス規則の変更、新しい論理や機能の追加などはすべて検討に値します。Tenableでは、スキャンの実行回数に制限がない(追加でスキャンを実施しても追加料金が発生しないなど)という理由のみにおいても、念には念を入れてスキャンを実施することをお勧めしています。

これらのスキャン要件がいかにTenableソリューションによって満たされるか

Tenable製品は、PCI DSS 11.2に示される内部スキャンと大幅な変更後のスキャンの両方の要件を満たす脆弱性スキャンの実行に使用できます。

Tenable.io VM、Nessus Professional、およびNessus Managerには、PCI DSS 11.2.1の内部脆弱性スキャンの要件を満たすために使用できるスキャンポリシーテンプレートが付属しています。

内部PCIネットワークスキャン

このスキャンポリシーテンプレートは、内部脆弱性スキャンに必要な最小限の機能が備えられています。すなわち、すべてのTCPポートおよび一般的なUDPポートを包括的にスキャンする一方で、サービス妨害攻撃や、外部脆弱性スキャンに限定される特定の条件(Tenable.io VMソリューションで対応)のスキャンは省略されています。SecurityCenterまたはSecurityCenter Continuous Viewのお客様の場合、導入済みのNessusスキャンエンジンで使用できる同様のスキャンポリシーテンプレートがあります。

Nessus ManagerまたはTenable.io VMを使用しているお客様には、すべての小売店や支社など地理的に多様な場所にリモートのNessusスキャンエンジンを導入できるという追加の特典があります。各地方の小売店における効率的な脆弱性スキャンは、PCIへの準拠を必要とする業者にとって常に課題となっていましたが、すべてをクラウドから簡単に管理できるTenable.io VMにより、スキャンエンジンや結果を社内でルーティングする必要がなくなりました。

現在PCIの外部スキャンにTenable.ioを使用しているお客様にも、内部スキャンに長年NessusやSecurityCenterを愛用しているお客様にも朗報です。すでにお馴染みのTenableソリューションを使えば、内部、外部、そして世界中で、PCI脆弱性スキャンのあらゆる要件を満たすことができます。

詳細情報:

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.io Vulnerability Managementをお試しください

60日間無料

これまでにない精度で資産のすべてを見て追跡できる最新のクラウド型脆弱性管理プラットフォームにフルアクセスできます。さっそくご登録ください。60秒以内に最初のスキャンを実行できます。

Tenable.io Vulnerability Managementのご購入

これまでにない精度で資産のすべてを見て追跡できる最新のクラウド型脆弱性管理プラットフォームにフルアクセスできます。年間サブスクリプションを今日ご購入ください。

65件の資産

Nessus Professionalを無料で試す

7日間無料

Nessus®は今日、業界における最も包括的な脆弱性スキャナです。Nessus Professional により、脆弱性スキャンプロセスの自動化、コンプライアンスサイクルでの時間の節約、そして IT チームへの従事が実現できます。