Tenable ブログ
ブログ通知を受信する
PCI DSSスキャン要件の詳細
注: この記事は、Tenable.io VMの入手可能性を反映するように更新されました。このアプリケーションとその最新の機能について詳しくは、Tenable.io Vulnerability ManagementのWebページを参照してください。
最近、Tenableはブログ、PCI DSSスキャニング要件の理解、を公開し、PCI DSS(Payment Card Industry Data Security Standard)に見られる3つのネットワーク脆弱性スキャンの要件の概要を示しています。このブログでは、PCI DSS 11.2.2の要件を満たすために、外部ネットワークの脆弱性スキャンにTenable.ioを使用することに主に焦点を当てました。[Tenable.ioを擁するTenableは、Payment Card Industry Security Standards Council(PCI SSC)の認定スキャンベンダー(ASV)であり、企業の周辺システムまたはインターネット接続システムにおいて外部ネットワークの脆弱性をスキャンします。]
PCIの脆弱性スキャン要件については、しばしば混乱が見受けられます。その最大の原因は、外部脆弱性スキャンばかりがフォーカスされているためです。なぜでしょうか?外部スキャンは、許可されたサードパーティ(ASV)が実行を担当する3つのスキャン要件のうちの1つに過ぎません。そして「小規模な」商店やサービスプロバイダーの大多数が、(1)該当する自己評価アンケート(SAQ)と対応する準拠証明書(AoC)を提出する、および(2)ASVによって四半期ごとの外部脆弱性スキャンが4回実行され、それに合格したことを証明する書類を提出するという方法で、独自のコンプライアンス検証を実行することが認められています。
このブログでは、上記以外の、次の2つのネットワーク脆弱性スキャン要件を主に取り上げます。(1)内部ネットワーク脆弱性スキャン、および(2)カード所有者データ環境(CDE)に対する「重要な変更」後の内部/外部ネットワーク脆弱性スキャン。Nessus Professional、Nessus Manager、Tenable.io™、SecurityCenter™、またはSecurityCenter Continuous View™のいずれかでこれらの要件を満たす方法についても説明します。
「カード会員データを送信、処理、保存する」商店(提供する商品やサービスの支払いにデビットカードやクレジットカードを使用できる)、またはサービスプロバイダー (支払いカードの認証と清算、および清算後のアクティビティをサポートする、あるいはもっと単純に[顧客の]カード会員データのセキュリティに影響を与える可能性のある、 任意のその他の会社を含む多用途のカテゴリ)。
QSA会社のコンプライアンスを(コンプライアンスに関するレポート(RoC)を生成して)検証するか、SAQ-CかSAQ-Dのいずれかを使用して自己評価する商店の場合、少なくとも、四半期ごとの社内の脆弱性スキャンおよび必要に応じて再スキャンを実施して、社内ネットワークのあらゆる「高リスク」の脆弱性を解決する必要があります。
サービスプロバイダーの場合は、QSAのコンプライアンスを検証するか、自己評価アンケートを利用するかを問わず、いずれの場合も四半期ごとの社内の脆弱性スキャンを実施する必要があります。
注:支払い処理が主にサードパーティによって実行されている場合や、システムがクラウドでホスティングされている場合であっても、上記の脆弱性スキャンに対する責任も含めて、PCI DSSへの準拠を検証する責任を負います。これらの内容が該当するかどうかがわからない場合には、お問い合わせください。これらの責任を依頼先のサードパーティ会社が代行してくれるとは限りません。
社内の脆弱性スキャンを実行する必要があると判断した場合、その要件の詳細を確認してみましょう。
社内脆弱性スキャン(PCI DSS 11.2.1)
PCI SSCから、次のような社内スキャンの定義が提供されています。
エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるすべての社内向けホストにおいて、論理ネットワーク周辺システム内から実施される脆弱性スキャンのこと。
ネットワークの脆弱性スキャンを取り扱うPCI DSSの条項の要件11.2は、次のとおり:
11.2 少なくとも四半期ごとに、また、ネットワークに大幅な変更(新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど)が加えられた後に、社内および外部ネットワークの脆弱性スキャンを実行すること。
内部脆弱性スキャンについての詳細な要件は以下のとおりです。
11.2.1 内部脆弱性スキャンは四半期ごとに実施される。すべての「高リスク」脆弱性(要件6.1に示されているとおり)が解決されるまで、必要に応じて再スキャンされる。スキャンは有資格者が実施する必要がある。
PCI DSSには、有効で適格な内部ネットワークの脆弱性スキャンの基準について、実のところあまり詳しくは記載されていません。多くの場合、何を適切と見なすかは、スキャンベンダーの判断に任されています。いくつかの詳細な要件は、実際にはPCI DSS認定スキャンベンダープログラムガイドで確認できます。ここでは、以下の推奨事項が示されています:
- ASVプログラムガイドにある以下の外部脆弱性スキャンの詳細な要件を内部脆弱性スキャンプログラムに適用する。
- 非破壊的である – 悪用、サービス妨害、パフォーマンスの低下を引き起こさない
- ホスト ディスカバリーを実行するディスカバリーを実行する
- サービスディスカバリーを実行する – すべてのTCPポートおよびすべての一般的なUDPポートでポートスキャンを実行する
- OSおよびサービスのフィンガープリントを実行する– 主に追加の脆弱性検出の調整に使用される
- プラットフォーム独立性がある – スキャナーは一般的に使用されているすべてのシステムを対象とする必要がある
- 正確である – 確認された脆弱性、さらには疑いのある脆弱性と潜在的な脆弱性は報告される必要がある
内部脆弱性スキャンと外部脆弱性スキャンの最大の違いは、スキャンが「合格」判定を得るためのPCI DSSの要件
内部脆弱性スキャンと外部脆弱性スキャンの最大の違いは、スキャンが「合格」判定を得るためのPCI DSSの要件です。外部スキャンの場合は「中」以上に評価されたすべての脆弱性を修正する必要がありますが、内部脆弱性スキャンの場合は「高」または「重大」と評価された脆弱性のみを修正すれば要件を満たすことができます。
内部脆弱性スキャンのリスクランキングを決定するのはお客様自身
内部脆弱性スキャンは、顧客によってPCI DSS要件6.1に基づくリスクランキングを決定するという点も注目に値する特徴です。そのために、「信頼できる外部のセキュリティ脆弱性情報の提供元を利用してセキュリティ脆弱性を特定し、新たに発見されたセキュリティ脆弱性にリスクランキング(「高」、「中」、または「低」など)を割り当てるプロセスを確立すること」が必要になります。その最大のメリットは、内部ネットワークのセキュリティ全般について、実際のリスクに基づいたアプローチを取ることができる点です。つまり、アクセス制限、内部セグメンテーション、インターネットからの攻撃の可能性などを考慮に入れることができます。
場合によっては内部スキャン結果にまったく該当しない、外部脆弱性スキャンの特殊な「自動障害」(インターネットからデータベースへのオープンアクセスまたは無制限のDNSゾーン転送など)もいくつかあります。
大幅な変更が加えられた後の脆弱性スキャン(PCI DSS 11.2.3)
3つ目の脆弱性スキャンのタイプ、それはネットワーク環境に大幅な変更が生じたとき
PCI DSS要件の3つ目の脆弱性スキャンのタイプは、ネットワーク環境、特にカード会員のデータ環境に大幅な変更が生じたときに行われるスキャンです。PCI DSSでは、これらのスキャンをASVが実施することを要件としていません(外部スキャンの場合)。有資格者が実行することのみを要件としています。
大幅な変更とは?PCI DSSでは以下のガイダンスを提供しています。
何をもって大幅な変更とするかは、所定の環境の構成に大きく依存しています。更新や変更によってカード会員データへのアクセスが許可されるか、カード会員データ環境のセキュリティに影響を及ぼす場合には、大幅な変更と見なされます。
大幅な変更後に環境をスキャンすることで、変更の結果として環境のセキュリティが脆弱になることなく、変更が適切に完了したことを確認できます。変更の影響を受けるすべてのシステムコンポーネントをスキャンする必要があります。
それぞれの環境にとって何が「大幅な変更」になるかについて普遍的に決めることはできませんが、システムやシステムコンポーネントの追加、OSやアプリケーションのバージョンの更新、パッチの適用、アクセス規則の変更、新しい論理や機能の追加などはすべて検討に値します。Tenableでは、スキャンの実行回数に制限がない(追加でスキャンを実施しても追加料金が発生しないなど)という理由のみにおいても、念には念を入れてスキャンを実施することをお勧めしています。
これらのスキャン要件がいかにTenableソリューションによって満たされるか
Tenable製品は、PCI DSS 11.2に示される内部スキャンと大幅な変更後のスキャンの両方の要件を満たす脆弱性スキャンの実行に使用できます。
Tenable.io VM、Nessus Professional、およびNessus Managerには、PCI DSS 11.2.1の内部脆弱性スキャンの要件を満たすために使用できるスキャンポリシーテンプレートが付属しています。
このスキャンポリシーテンプレートは、内部脆弱性スキャンに必要な最小限の機能が備えられています。すなわち、すべてのTCPポートおよび一般的なUDPポートを包括的にスキャンする一方で、サービス妨害攻撃や、外部脆弱性スキャンに限定される特定の条件(Tenable.io VMソリューションで対応)のスキャンは省略されています。SecurityCenterまたはSecurityCenter Continuous Viewのお客様は、展開されたNessusスキャンエンジンで使用できる同様のスキャンポリシーテンプレートがあります。
Nessus ManagerまたはTenable.io VMを使用しているお客様には、すべての小売店や支社など地理的に多様な場所にリモートのNessusスキャンエンジンを導入できるという追加の特典があります。各地方の小売店における効率的な脆弱性スキャンは、PCIへの準拠を必要とする業者にとって常に課題となっていましたが、すべてをクラウドから簡単に管理できるTenable.io VMにより、スキャンエンジンや結果を社内でルーティングする必要がなくなりました。
現在PCIの外部スキャンにTenable.ioを使用しているお客様にも、内部スキャンに長年NessusやSecurityCenterを愛用しているお客様にも朗報です。すでにお馴染みのTenableソリューションの使用は、内部、外部、そして世界中で、PCI脆弱性スキャンのあらゆる要件を満たすことができます。
詳細情報
- PCIソリューションのページをご覧ください
- Tenableセールスマネージャーにお問い合わせください
- Straight Talk about PCI Tenableフォーラムにご参加ください
関連記事
Study: Tenable Offers Fastest, Broadest Coverage of CISA's KEV Catalog
October 23, 2023Tenable ranked first in multiple vulnerability management categories, including the most comprehensive coverage and quickest detection of CISA's Known Exploited Vulnerabilities, according to a Miercom report commissioned by Tenable.
Tuning Network Assessments for Performance and Resource Usage
September 13, 2022Using the correct tool for the job and optimizing scanner placement will have a large impact on scan efficiency with Nessus, Tenable.io and Tenable.sc.
Terrascan Joins the Nessus Community, Enabling Nessus To Validate Modern Cloud Infrastructures
May 17, 2022The addition of Terrascan to the Nessus family of products helps users better secure cloud native infrastructure by identifying misconfigurations, security weaknesses, and policy violations by scanning Infrastructure as Code repositories.
Context Is King: From Vulnerability Management to Exposure Management
November 7, 2024Vulnerability management remains a cornerstone of preventive cybersecurity, but organizations still struggle with vulnerability overload and sophisticated threats. Tenable’s new Exposure Signals gives security teams comprehensive context, so they can shift from vulnerability management to exposure management and effectively prioritize high-risk exposures across their complex attack surface.
Securing Financial Data in the Cloud: How Tenable Can Help
November 4, 2024Preventing data loss, complying with regulations, automating workflows and managing access are four key challenges facing financial institutions. Learn how Tenable can help.
Cybersecurity Snapshot: Apply Zero Trust to Critical Infrastructure’s OT/ICS, CSA Advises, as Five Eyes Spotlight Tech Startups’ Security
November 1, 2024Should critical infrastructure orgs boost OT/ICS systems’ security with zero trust? Absolutely, the CSA says. Meanwhile, the Five Eyes countries offer cyber advice to tech startups. Plus, a survey finds “shadow AI” weakening data governance. And get the latest on MFA methods, CISO trends and Uncle Sam’s AI strategy.
- Nessus
- PCI