Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

PCI DSSスキャン要件の詳細

注:  この記事は、Tenable.io VMの入手可能性を反映するように更新されました。このアプリケーションとその最新の機能について詳しくは、Tenable.io Vulnerability ManagementのWebページを参照してください。


近、Tenableはブログ、PCI DSSスキャニング要件の理解、を公開し、PCI DSS(Payment Card Industry Data Security Standard)に見られる3つのネットワーク脆弱性スキャンの要件の概要を示しています。このブログでは、PCI DSS 11.2.2の要件を満たすために、外部ネットワークの脆弱性スキャンにTenable.ioを使用することに主に焦点を当てました。[Tenable.ioを擁するTenableは、Payment Card Industry Security Standards Council(PCI SSC)の認定スキャンベンダー(ASV)であり、企業の周辺システムまたはインターネット接続システムにおいて外部ネットワークの脆弱性をスキャンします。]

PCIの脆弱性スキャン要件については、しばしば混乱が見受けられます。その最大の原因は、外部脆弱性スキャンばかりがフォーカスされているためです。なぜでしょうか?外部スキャンは、許可されたサードパーティ(ASV)が実行を担当する3つのスキャン要件のうちの1つに過ぎません。そして「小規模な」商店やサービスプロバイダーの大多数が、(1)該当する自己評価アンケート(SAQ)と対応する準拠証明書(AoC)を提出する、および(2)ASVによって四半期ごとの外部脆弱性スキャンが4回実行され、それに合格したことを証明する書類を提出するという方法で、独自のコンプライアンス検証を実行することが認められています。

このブログでは、上記以外の、次の2つのネットワーク脆弱性スキャン要件を主に取り上げます。(1)内部ネットワーク脆弱性スキャン、および(2)カード所有者データ環境(CDE)に対する「重要な変更」後の内部/外部ネットワーク脆弱性スキャン。Nessus Professional、Nessus Manager、Tenable.io™、SecurityCenter™、またはSecurityCenter Continuous View™のいずれかでこれらの要件を満たす方法についても説明します。

「カード会員データを送信、処理、保存する」商店(提供する商品やサービスの支払いにデビットカードやクレジットカードを使用できる)、またはサービスプロバイダー (支払いカードの認証と清算、および清算後のアクティビティをサポートする、あるいはもっと単純に[顧客の]カード会員データのセキュリティに影響を与える可能性のある、 任意のその他の会社を含む多用途のカテゴリ)。

QSA会社のコンプライアンスを(コンプライアンスに関するレポート(RoC)を生成して)検証するか、SAQ-CかSAQ-Dのいずれかを使用して自己評価する商店の場合、少なくとも、四半期ごとの社内の脆弱性スキャンおよび必要に応じて再スキャンを実施して、社内ネットワークのあらゆる「高リスク」の脆弱性を解決する必要があります。

サービスプロバイダーの場合は、QSAのコンプライアンスを検証するか、自己評価アンケートを利用するかを問わず、いずれの場合も四半期ごとの社内の脆弱性スキャンを実施する必要があります。

注:支払い処理が主にサードパーティによって実行されている場合や、システムがクラウドでホスティングされている場合であっても、上記の脆弱性スキャンに対する責任も含めて、PCI DSSへの準拠を検証する責任を負います。これらの内容が該当するかどうかがわからない場合には、お問い合わせください。これらの責任を依頼先のサードパーティ会社が代行してくれるとは限りません。

社内の脆弱性スキャンを実行する必要があると判断した場合、その要件の詳細を確認してみましょう。

社内脆弱性スキャン(PCI DSS 11.2.1)

PCI SSCから、次のような社内スキャンの定義が提供されています。

エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるすべての社内向けホストにおいて、論理ネットワーク周辺システム内から実施される脆弱性スキャンのこと。

ネットワークの脆弱性スキャンを取り扱うPCI DSSの条項の要件11.2は、次のとおり:

11.2 少なくとも四半期ごとに、また、ネットワークに大幅な変更(新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど)が加えられた後に、社内および外部ネットワークの脆弱性スキャンを実行すること。

内部脆弱性スキャンについての詳細な要件は以下のとおりです。

11.2.1 内部脆弱性スキャンは四半期ごとに実施される。すべての「高リスク」脆弱性(要件6.1に示されているとおり)が解決されるまで、必要に応じて再スキャンされる。スキャンは有資格者が実施する必要がある。

PCI DSSには、有効で適格な内部ネットワークの脆弱性スキャンの基準について、実のところあまり詳しくは記載されていません。多くの場合、何を適切と見なすかは、スキャンベンダーの判断に任されています。いくつかの詳細な要件は、実際にはPCI DSS認定スキャンベンダープログラムガイドで確認できます。ここでは、以下の推奨事項が示されています:

  • ASVプログラムガイドにある以下の外部脆弱性スキャンの詳細な要件を内部脆弱性スキャンプログラムに適用する。
    • 非破壊的である – 悪用、サービス妨害、パフォーマンスの低下を引き起こさない
    • ホスト ディスカバリーを実行するディスカバリーを実行する
    • サービスディスカバリーを実行する – すべてのTCPポートおよびすべての一般的なUDPポートでポートスキャンを実行する
    • OSおよびサービスのフィンガープリントを実行する– 主に追加の脆弱性検出の調整に使用される
    • プラットフォーム独立性がある – スキャナーは一般的に使用されているすべてのシステムを対象とする必要がある
    • 正確である – 確認された脆弱性、さらには疑いのある脆弱性と潜在的な脆弱性は報告される必要がある

内部脆弱性スキャンと外部脆弱性スキャンの最大の違いは、スキャンが「合格」判定を得るためのPCI DSSの要件

内部脆弱性スキャンと外部脆弱性スキャンの最大の違いは、スキャンが「合格」判定を得るためのPCI DSSの要件です。外部スキャンの場合は「中」以上に評価されたすべての脆弱性を修正する必要がありますが、内部脆弱性スキャンの場合は「高」または「重大」と評価された脆弱性のみを修正すれば要件を満たすことができます。

内部脆弱性スキャンのリスクランキングを決定するのはお客様自身

内部脆弱性スキャンは、顧客によってPCI DSS要件6.1に基づくリスクランキングを決定するという点も注目に値する特徴です。そのために、「信頼できる外部のセキュリティ脆弱性情報の提供元を利用してセキュリティ脆弱性を特定し、新たに発見されたセキュリティ脆弱性にリスクランキング(「高」、「中」、または「低」など)を割り当てるプロセスを確立すること」が必要になります。その最大のメリットは、内部ネットワークのセキュリティ全般について、実際のリスクに基づいたアプローチを取ることができる点です。つまり、アクセス制限、内部セグメンテーション、インターネットからの攻撃の可能性などを考慮に入れることができます。

場合によっては内部スキャン結果にまったく該当しない、外部脆弱性スキャンの特殊な「自動障害」(インターネットからデータベースへのオープンアクセスまたは無制限のDNSゾーン転送など)もいくつかあります。

大幅な変更が加えられた後の脆弱性スキャン(PCI DSS 11.2.3)

3つ目の脆弱性スキャンのタイプ、それはネットワーク環境に大幅な変更が生じたとき

PCI DSS要件の3つ目の脆弱性スキャンのタイプは、ネットワーク環境、特にカード会員のデータ環境に大幅な変更が生じたときに行われるスキャンです。PCI DSSでは、これらのスキャンをASVが実施することを要件としていません(外部スキャンの場合)。有資格者が実行することのみを要件としています。

大幅な変更とは?PCI DSSでは以下のガイダンスを提供しています。

何をもって大幅な変更とするかは、所定の環境の構成に大きく依存しています。更新や変更によってカード会員データへのアクセスが許可されるか、カード会員データ環境のセキュリティに影響を及ぼす場合には、大幅な変更と見なされます。

大幅な変更後に環境をスキャンすることで、変更の結果として環境のセキュリティが脆弱になることなく、変更が適切に完了したことを確認できます。変更の影響を受けるすべてのシステムコンポーネントをスキャンする必要があります。

それぞれの環境にとって何が「大幅な変更」になるかについて普遍的に決めることはできませんが、システムやシステムコンポーネントの追加、OSやアプリケーションのバージョンの更新、パッチの適用、アクセス規則の変更、新しい論理や機能の追加などはすべて検討に値します。Tenableでは、スキャンの実行回数に制限がない(追加でスキャンを実施しても追加料金が発生しないなど)という理由のみにおいても、念には念を入れてスキャンを実施することをお勧めしています。

これらのスキャン要件がいかにTenableソリューションによって満たされるか

Tenable製品は、PCI DSS 11.2に示される内部スキャンと大幅な変更後のスキャンの両方の要件を満たす脆弱性スキャンの実行に使用できます。

Tenable.io VM、Nessus Professional、およびNessus Managerには、PCI DSS 11.2.1の内部脆弱性スキャンの要件を満たすために使用できるスキャンポリシーテンプレートが付属しています。

内部PCIネットワークスキャン

このスキャンポリシーテンプレートは、内部脆弱性スキャンに必要な最小限の機能が備えられています。すなわち、すべてのTCPポートおよび一般的なUDPポートを包括的にスキャンする一方で、サービス妨害攻撃や、外部脆弱性スキャンに限定される特定の条件(Tenable.io VMソリューションで対応)のスキャンは省略されています。SecurityCenterまたはSecurityCenter Continuous Viewのお客様は、展開されたNessusスキャンエンジンで使用できる同様のスキャンポリシーテンプレートがあります。

Nessus ManagerまたはTenable.io VMを使用しているお客様には、すべての小売店や支社など地理的に多様な場所にリモートのNessusスキャンエンジンを導入できるという追加の特典があります。各地方の小売店における効率的な脆弱性スキャンは、PCIへの準拠を必要とする業者にとって常に課題となっていましたが、すべてをクラウドから簡単に管理できるTenable.io VMにより、スキャンエンジンや結果を社内でルーティングする必要がなくなりました。

現在PCIの外部スキャンにTenable.ioを使用しているお客様にも、内部スキャンに長年NessusやSecurityCenterを愛用しているお客様にも朗報です。すでにお馴染みのTenableソリューションの使用は、内部、外部、そして世界中で、PCI脆弱性スキャンのあらゆる要件を満たすことができます。

詳細情報

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加