PCI DSS ペネトレーションテストとは
PCI DSS は国際的なカードブランド 5 社 (American Express、Discover、JCB、MasterCard、VISA) が共同で設立した PCI SSC (Payment Card Industry Security Standards Council)によって運用管理されている、クレジットカード情報保護のためのセキュリティ基準です。
PCI DSS では、クレジットカード等のデータを保持・処理する環境 (CDE) に対するセキュリティ対策として準拠すべき 12 の要件が定義されており、とりわけセキュリティ診断に関する要件は以下で定義されています。
"要件 6: 安全性の高いシステムとアプリケーションを開発し、保守する"
"要件11: セキュリティシステムおよびプロセスを定期的にテストする。"
PCI DSS ペネトレーションテストでは、PCI DSS で求められる実践的なペネトレーションテストサービスを提供いたします。
PCI DSS ペネトレーションテスト概要
PCI DSS ペネトレーションテストを実施することで、『要件 11.3 』に求められるペネトレーションテスト(境界、外部、内部)の要件をカバーすることができます。
- PCI DSS 要件 11.3 などのガイドラインに基づくペネトレーションテスト
- ⾒つかった脆弱性を⽤いて、システム権限の取得を試みるテスト
- ⾃社保有の疑似攻撃⽅法論による実施と管理
- ⾃社保有の疑似攻撃⽅法論による実施と管理
- ⽇本語/英語によるレポート、サポート提供
※ ASV スキャンは本サービスに含まれませんのでご注意ください。
PCI DSS ペネトレーションテストの特長
ガイダンスに準拠
PCI DSS のペネトレーションテストガイダンス※に準拠したテストの実施とレポート提出
高い技術力と信頼性
実際にハッカーが用いる攻撃手法を用いた実践的な診断で、年間 100 件以上の国内海外での診断実績
資格保持者による実施
CISA や CISSP など、高セキュリティな資格保持者による診断の実施
※ PCI DSS ペネトレーションテストガイダンスの詳細はこちら(PDF)
PCI DSS ペネトレーションテスト項目
| 要件 | 診断項目 |
|---|---|
| 11.3/外部ペネトレーションテスト | 見つかった脆弱性を利用したシステムへの侵入、システム権限の取得 |
| 11.3/内部ペネトレーションテスト | 見つかった脆弱性を利用したシステムへの侵入、システム権限の取得 |
| 11.3/セグメント分離テスト | ネットワークのセグメント分離の有効性テスト |
11.1 ワイヤレスアクセスポイントのスキャン については Wi-Fi セキュリティ調査サービス をご活用下さい。
PCI DSS ペネトレーションテストの流れ
サービスご提供の標準的な流れは以下の通りです。
- ステップ 1
-
ご相談および情報取集と分析(弊社にて実施)
- ヒアリングなどでテスト対象に関する情報を収集し、分析を行います。
- 分析結果により、テストの可否や具体的なテスト方法を検討します。
- ステップ 2
-
テスト方法の設計と提案書作成(弊社にて実施)
- 分析結果を元に、テスト方法とテストの実施要件などを含む提案書を作成します。
- ステップ 3
-
ご提案
- 提案書をご提示し、テスト対象、実施方法の認識合わせを行います。
- 要件や要望が満たされるまで何度かステップ 2 と 3 を繰り返す場合も御座います。
- 提案内容の合意が取れましたら、正式見積をご提示します。
- ステップ 4
-
ご発注と事前の準備作業
- ご発注後に、テスト実施計画書を作成し、テストの進め方について事前の打合せを開催させて頂きます。また、事前の準備作業を行います。
- ステップ 5
-
ペネトレーションテスト実施
- ペネトレーションテストを実施します。
- 実施後数日で報告書をご提出いたします。
PCI DSS ペネトレーションテスト 報告書
PCI DSS に準拠したレポートを、診断終了後数日でご提出いたします。
PCI DSS ペネトレーションテスト よくある質問と回答
PCI DSS ペネトレーションテストについてよくある質問と回答をまとめております。
一般的な質問
- PCI DSS ペネトレーションテストの実施中に、何か対応する必要はありますか?
ペネトレーションテストの最中にお客様にご対応頂くことは御座いません。作業途中で発生した問題のご相談やご対応をお願いする場合が御座います。
- ペネトレーションテストを行うにはどのような準備が必要ですか?
外部ネットワークペネトレーションテストの場合は、何も御座いません。
内部ネットワークペネトレーションテストとセグメント分離テストの場合は、テスト対象にアクセスするために踏み台サーバーなどの提供をお願いする場合があります。- ペネトレーションテストでどのような情報を提供する必要がありますか?
テスト対象が分かるネットワーク構成図の提供をお願いしております。
ペネトレーションテストは、分析と侵入の実行を何度か繰り返し、どこまで侵入出来るかをテストします。情報開示が多い方が、限られた時間でより多くの侵入の可能性をテストすることが可能となります。PCI DSS のペネトレーションテスト・ガイドラインには、以下の様に記載されており、開示可能な範囲で情報提供をお願いしております。
- テスト対象が分かるネットワーク構成図
- テスト対象のシステムに関連するネットワークセグメント情報
- CDE 境界で公開されているサービスとポート情報
- CDE 環境にアクセス可能なユーザーとその方法(必要に応じて)
- 相談してからのリードタイムはどれくらいでしょうか?
標準的なリードタイムは、以下の通りです。
ご相談から提案書提示まで: 1-2 週間程度
作業期間:準備期間も含め標準的なテスト項目で 2 週間程度- ペネトレーションテストを実施するには、どのような条件がありますか?
- 以下の条件を満たす必要があります。
- 外部ペネトレーションテストについての条件は御座いません。
- 内部ペネトレーションテストとセグメント分離テストは、テスト対象にアクセスするための環境をご提供頂く必要があります。
- テスト方法は、リモートでもオンサイトでもどちらでも可能です。オンサイトの場合は、別途費用を頂戴しております。
本サービスはアイティーエム株式会社の調査技術を採用しています。
お問い合わせください
PCI DSS ペネトレーションテストに関するご質問や、価格お見積りをはじめ詳細内容をお聞きになられたい場合、お問い合わせフォームよりサイバートラストまでお問い合わせください。その際、お問い合わせ内容に「PCI DSS ペネトレーションテストについて」とお書き添えいただけますと幸いです。
