オープンソース
サイバートラスト、PCI DSS v4.0で必須となる認証スキャンに対応したサーバ内部の脆弱性診断を提供開始
サイバートラストは1月25日(現地時間)、クレジットカード業界や関連事業者向けのグローバルセキュリティ基準である「PCI DSS v4.0」で必須となる、サーバに対する認証スキャンの機能を、これまで提供してきたホスト診断に実装して提供開始すると発表した。
「PCI DSS」は、クレジットカード業界や関連事業者がクレジットカード情報を安全に取り扱うことを目的に定められたセキュリティの国際基準で、クレジットカード情報の保存・処理・伝送などを行うすべての事業者(クレジットカード加盟店・金融機関・クレジットカード決済サービス企業など)は、PCI DSS に準拠する必要がある。現行の「PCI DSS v3.2.1」は 2024年3月31日に終了し、PCI DSS v4.0 では近年のフィッシングによる個人情報などの詐取といった脅威動向を踏まえ、外部からの攻撃や内部からの不正のリスクを可視化する観点から、サーバ内部より脆弱性スキャンに行う、認証スキャンを実施することが必須となる。
これまで内部からネットワーク診断を実施する場合、診断員が対象サーバやネットワーク機器が設置された現地へ訪問して作業を実施する必要があった。ホスト診断では、現地訪問不要でユーザ側に検査ファイルの提供を行い、返送する結果ファイルにもとづいてレポートを提供する方法を採用している。これにより現地訪問のコストやユーザ側の負担を軽減した上で、内部ネットワークにおける脆弱性診断を可能にし、PCI DSS v4.0 の必須事項である認証スキャンを実現する。
今回のリニューアルにより、稼働しているネットワークサービスの情報や、脆弱性が存在した場合に対策を行う優先度付けをするための分析情報をレポートに加えて提供する。また、アカウント情報やパスワード強度の調査を追加し、実際の攻撃においても重要なポイントであるユーザレベルまでの調査も行う。
(川原 龍人/びぎねっと)
[関連リンク]
プレスリリース