PCI ASV 外部スキャンに関する FAQ

PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界（Payment Card Industry: PCI）のデータセキュリティ基準（Data Security Standard: DSS）の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー（Approved Scanning Vendor: ASV）による実施（または証明）が必要とされています。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール（「ASVスキャンソリューション」）を有する組織です。

PCI DSS では、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な (インターネットに接続した) すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。

ASV スキャンの主要なフェーズは以下によって構成されます。

• 範囲の設定：お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
• スキャン: 指定された Tenable Vulnerability Management PCI および WAS テンプレートを使用します。複数のカード会員のデータ環境（CDE）セクションを個別にスキャンすることができます。
• 複数のスキャン内容を1つの証明書にまとめます
• レポート作成/修正：中間レポートの結果を修正します。
• 問題点の解決：お客様とASV (Tenable) が共同でスキャン結果の問題を文書化し、解決します。
• 再スキャン (必要な場合)：問題点が解決され、例外が生成される合格スキャンまで行います。
• 複数のスキャン内容を1つの証明書にまとめます
• 最終レポート作成：安全な形式で送信して配信します。

ASV脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。

ASVは、PCI DSS 11.2に規定された外部脆弱性スキャンを実行することのみに特化しています。QSAは、PCI SSC（Security Standards Council）から認定と教育を受けた、PCI DSSの一般的なオンサイト評価を実行する評価企業です。

はい。Tenableは、加盟店とサービスプロバイダーのインターネット接続環境（カード会員データの保存、処理、転送に使用される環境）の外部脆弱性スキャンを検証する認定スキャンベンダー（ASV）の資格を有しています。ASV認定プロセスは、3つの部分で構成されています。最初の部分には、ベンダーとしてのTenable Network Securityの認定が関係します。2 つ目は、リモートのPCIスキャンサービスを実行する Tenable 従業員の認定に関連する工程です。3 つ目は、Tenable のリモートスキャンソリューション (Tenable Vulnerability Management および Tenable PCI ASV) のセキュリティテストで構成されます。

ASVはスキャンを実行できます。ただし、Tenableは、四半期のPCI外部スキャン用のテンプレートを使用してお客様にご自分でスキャンを実行していただくことにしています。このテンプレートは、脆弱性チェックの無効化、重大性レベルの割り当て、スキャンパラメーターの変更などの設定をお客様が変更できないようになっています。お客様は Tenable Vulnerability Management クラウドベーススキャナーを使用してインターネットに接続された環境をスキャンし、準拠したスキャンレポートを Tenable に送信し、認証を行います。Tenable によって認証されたスキャンレポートは、お客様がペイメントブランドから指定された送信先またはペイメントブランドに送信します。

脆弱性データは EU DPD 95/46/EC データではないため、データの保管場所に関する要件は規制当局ではなくお客様に依存します。EU 加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合 PCI-ASV スキャンにとって問題ではありません。

はい。Tenable Vulnerability Management には、単一の一意の PCI 資産に対する PCI ASV ライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして、PCIの対象範囲の資産を限定することに尽力してきました。このようなお客様はほぼ間違いなく「PCIビジネスに無関係」であるため、Tenableは購入とライセンス交付を簡略化しました。お客様は90日ごとに資産を変更できます。

複数の一意の PCI 資産をお持ちのお客様の場合、Tenable PCI ASV ソリューションは Tenable Vulnerability Management サブスクリプションのアドオンとしてライセンス供与されます。

エンティティのカード会員データ環境 (cardholder data environment: CDE) 内に存在する、または CDE 環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenable はより簡単なライセンス方式を採用しました。

お客様が四半期あたりに提出できる証明の数に制限はありません。

できます。評価版をお使いのお客様は、PCI Quarterly External Scan テンプレートを使って、資産をスキャンして結果を見ることができます。しかし、スキャンレポートを送信して認証することはできません。

新しい機能は 2017 年 7 月 24 日に自動的にアクティブになります。そのためお客様は、次回の PCI ASV スキャンで利用できるようになります。既存のお客様は、少なくとも 1 年間は新たな PCI ASV機能に関してライセンスを取得する必要はありません。

既に外部スキャンまたは PCI スキャンのライセンスをお持ちの SecurityCenter® ユーザーが Tenable PCI ASV の使用を開始できるのは、この機能が利用可能になった後です。リニューアル時には、既存のSKUを使用して更新するだけで済みます。ただし、代わりにTenable PCI ASVライセンスを取得するほうが便利な場合もあります。