Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

PCI ASV外部FAQ

Try Tenable.io Vulnerability Management

60秒未満で最初のスキャンを実行できます。

今すぐ試す

PCI ASV

PCI ASVとは?

PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)による実施(または証明)が必要とされています。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール(「ASVスキャンソリューション」)を有する組織です。

ASVスキャンの対象となるシステムは?

PCI DSSでは、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な(インターネットに接続した)すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。

ASVプロセスとは?

ASVスキャンの主要なフェーズは以下によって構成されます。

  • 範囲の設定:お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
  • スキャン:Tenable.io VMの四半期ごとのPCI外部スキャン用のテンプレートを使用します。
  • レポート作成/修正:中間レポートの結果を修正します。
  • 問題点の解決:お客様とASVが共同でスキャン結果の問題を文書化し、解決します。
  • 再スキャン(必要な場合):問題点が解決され、例外が生成される合格スキャンまで行います。
  • 最終レポート作成:安全な形式で送信して配信します。

ASVスキャンが必要とされる頻度は?

ASV脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。

認定スキャンベンダー(ASV)と認定セキュリティ評価機関(Qualified Security Assessor: QSA)の違いとは?

ASVは、PCI DSS 11.2に規定された外部脆弱性スキャンを実行することのみに特化しています。QSAは、PCI SSC(Security Standards Council)から認定と教育を受けた、PCI DSSの一般的なオンサイト評価を実行する評価企業です。


Tenable.io PCI ASVソリューションに関する資格等

TenableはPCI認定のASVですか?

はい。Tenableは、加盟店とサービスプロバイダーのインターネット接続環境(カード会員データの保存、処理、転送に使用される環境)の外部脆弱性スキャンを検証する認定スキャンベンダー(ASV)の資格を有しています。ASV認定プロセスは、3つの部分で構成されています。最初の部分には、ベンダーとしてのTenable Network Securityの認定が関係します。次に、リモートのPCIスキャンサービスを実行するTenable従業員の認定に関連する工程。3つ目の工程は、Tenableリモートスキャンソリューション(Tenable.io Vulnerability ManagementおよびTenable.io PCI ASV)のセキュリティテストで構成されます。

Tenableは認定スキャンベンダー(ASV)として実際にスキャンを実行しますか?

ASVはスキャンを実行できます。ただし、Tenableは、四半期のPCI外部スキャン用のテンプレートを使用してお客様にご自分でスキャンを実行していただくことにしています。このテンプレートは、脆弱性チェックの無効化、重大性レベルの割り当て、スキャンパラメーターの変更などの設定をお客様が変更できないようになっています。お客様が、Tenable.io VMクラウド型スキャナーを利用してインターネット接続環境をスキャンし、準拠しているスキャンレポートをTenableに送信して証明を受けます。Tenableはそのスキャンレポートを証明し、お客様がペイメントブランドで指示されている送信先またはペイメントブランドに送ります。

この新製品と従来の製品との違いは?

新機能または改善された機能には次のものがあります。

  • ユーザーがASV証明プロセスをスキャン/管理/送信/完了できる単一のUI。
  • 複数のユーザーが異議を申請したり、ASV認定をサブミットしたりできる機能。
  • 同一の異議/例外を複数のIPに適用する機能。(資産ごとではなく、プラグインに基づいて異議を作成する機能)
  • 特定のIPに範囲外というマークを付ける機能。
  • 補償コントロールに注釈を付ける機能。

データ主権

Tenable.io PCI ASVはEUのデータ統治要件に準拠していますか?

脆弱性データはEU DPD 95/46/ECデータではないため、データの保管場所に関する要件は規制当局ではなくお客様のニーズによって生じます。EU加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合PCI-ASVスキャンにとって問題ではありません。


Tenable.io ASVの価格設定/ライセンス/注文

Tenable.io VMにPCI ASVライセンスは含まれていますか?

はい。Tenable.io VMには、単一で一意のPCI資産に対応する1つのPCI ASVライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして、PCIの対象範囲の資産を限定することに尽力してきました。このようなお客様はほぼ間違いなく「PCIビジネスに無関係」であるため、Tenableは購入とライセンス交付を簡略化しました。お客様は90日ごとに資産を変更できます。

Tenable.io PCI ASVのライセンスの適用方法は?

固有のPCI資産を複数所有しているお客様の場合、Tenable.io PCI ASVソリューションは、Tenable.io Vulnerability Managementサブスクリプションのアドオンとしてライセンス付与されます。

Tenable.io PCI ASVのライセンスが、インターネットに接続した顧客のPCI資産数に応じて適用されないのはなぜですか?

エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenableはより簡単なライセンス方式を採用しました。

ユーザーが四半期あたりに送信できる証明の数は?

お客様が四半期あたりにサブミットできる証明の数に制限はありません。

トライアル/評価版のユーザーがTenable.io PCI ASVを評価することはできますか?

はい。評価版を使用するお客様はのPCI Quarterly External Scanテンプレートを使用して、資産のスキャン、結果と作成された問題点のレビューを行うことができます。ただし、証明のためにスキャンレポートを送信することはできません。

既存のTenable.io VMユーザーをどのようにして新しい機能に移行する予定ですか?

新しい機能は2017年7月24日に自動的にアクティブになります。そのためお客様は、次回のPCI ASVスキャンで利用できるようになります。既存のお客様は、少なくとも1年間は新たなPCI ASV機能に関してライセンスを取得する必要はありません。

現行のPCI ASV機能のライセンスを保持しているSecurityCenterユーザーを、どのようにして新しい機能に移行する予定ですか?

既に外部スキャンまたはPCIスキャンのライセンスをお持ちのSecurityCenter®ユーザーがTenable.io PCI ASVの使用を開始できるのは、この機能が利用可能になった後です。リニューアル時には、既存のSKUを使用して更新するだけで済みます。ただし、代わりにTenable.io PCI ASVライセンスを取得するほうが便利な場合もあります。

Try for Free Buy Now

Try Tenable.io Vulnerability Management

FREE FOR 60 DAYS

Enjoy full access to a modern, cloud-based vulnerability management platform that enables you to see and track all of your assets with unmatched accuracy. Sign up now and run your first scan within 60 seconds.

Buy Tenable.io Vulnerability Management

Enjoy full access to a modern, cloud-based vulnerability management platform that enables you to see and track all of your assets with unmatched accuracy. Purchase your annual subscription today.

65 assets

Try Nessus Professional Free

FREE FOR 7 DAYS

Nessus® is the most comprehensive vulnerability scanner on the market today. Nessus Professional will help automate the vulnerability scanning process, save time in your compliance cycles and allow you to engage your IT team.