PCI コンプライアンスをどのようにして実現すればよいのでしょうか。Qualys では、この要件を満たすための支援を提供しています。Qualys is は、次のスキャン要件を含めた PCI データセキュリティ基準(DSS)のコンプライアンスを達成するために加盟店やコンサルタントを支援する認定を受けています。
1)四半期ごとの外部スキャンの説明説明
PCI DSS の要件 11.2.2 に従い、PCI Council は加盟店に対して、PCI SSC(PCI Security Standards Council)が承認した認定スキャンベンダ(ASV)による外部脆弱性スキャンを、四半期に一度実施するよう定めています。Qualys は認定 ASV です。カード保有者データのシステムコンポーネントのあらゆる部分をスキャンする必要があります。
2)四半期ごとの内部スキャンの説明説明
PCI DSS の要件 11.2.1 および 11.2.3 に従い、PCI SSC(Security Standards Council)は加盟店に対して、四半期ごとの内部脆弱性スキャンを実行し、スキャンに合格することを定めています。カード保有者データのシステムコンポーネントのあらゆる部分をスキャンする必要があります。要件 6.1 に従い、PCI Council は加盟店に対し、新たに検出されたセキュリティ脆弱性に対してリスクランキングを特定して割り当てるためのプロセスを確立し、すべての High ランクの脆弱性を修正するよう定めています。
考慮すべき事項 |
カード保有者のデータを保存しているホストをスキャンする必要があります。またカード保有者データのシステムコンポーネントのあらゆる部分もスキャンする必要があります。詳細については、PCI データセキュリティ基準(DSS)を参照することをお勧めします。アカウントにこのようなホストが存在しているかどうかをチェックするには、「Assets」->「Host Assets」を選択します。 |
Qualys スキャナを許可リストに追加する必要性Qualys スキャナを許可リストに追加する必要性 スキャナはスキャン対象のホストに到達できる必要があります。「Help」->「About」を表示して、許可リストに追加する必要のある外部スキャナの IP アドレスを表示します。内部スキャンで Scanner Appliance が接続できる必要がある URL のリストも表示されます。 |
ファイアウォールを経由する内側から外側へのスキャンの回避ファイアウォールを経由する内側から外側へのスキャンの回避 スキャントラフィックがファイアウォールを経由して内側から外側へルーティングされる場合、つまり Scanner Appliance が保護されているネットワーク領域内にあり、ファイアウォールの反対側にある対象をスキャンする場合、問題が生じることがあります。「スキャンとファイアウォール」を参照してください。 |
四半期ごとの外部スキャン |
ステップ 1: スキャンの実行ステップ 1: スキャンの実行 「VM/VMDR」で、「Scans」->「New」->「Scan」に移動します。 1)スキャンする IP を選択します。 2)「Payment Card Industry (PCI) Options」などの PCI オプションプロファイルを選択します。このプロファイルには PCI DSS 基準に従うために必要なスキャン設定が行われています。PCI オプションプロファイルの詳細 |
ステップ 2: 脆弱性の修正と再スキャンステップ 2: 脆弱性の修正と再スキャン PCI Technical Report を実行して、スキャンのコンプライアンスを確認します。「Reports」->[Templates」に移動し、「Payment Card Industry(PCI)Technical Report」にマウスポインタを置いて、「Quick Actions」メニューから「Run」を選択します。 レポートを参照すると、レポート全体、各ホスト、検出された各脆弱性における PCI コンプライアンスステータス(「PASS」または「FAIL」)が分ります。「FAIL」ステータスが示されている脆弱性は、PCI コンプライアンス要件に合格するために修正する必要があります(PCI ステータスが示されていない脆弱性はコンプライアンスには必要ありませんが、重大度に従って修正することを強くお勧めします)。 脆弱性を修正したら、再スキャンを実行し、すべての PCI の脆弱性が修正されてステータス全体が「PASS」になっていることを確認してください。 |
ステップ 3: 認証レポートの作成ステップ 3: 認証レポートの作成 1)アプリケーションピッカーから「PCI」を選択します。次に PCI 加盟店アカウント(新規または既存)にリンクを追加します。このアカウントを使用して認証レポートを作成します。 2)アプリケーションピッカーから「VM」を選択します。「Scans」に移動し、リストから外部 PCI スキャンを選択し、(プレビューパネルで)「Share with PCI」をクリックして、リンク先の PCI アカウントを選択します。スキャンを PCI アカウントで共有(インポート)します(アカウントにまだないスキャンされた IP は PCI アカウントに追加されます)。 3)アプリケーションピッカーから「PCI」を選択します。PCI アカウントにログインします。 4)これで PCI 内で認証レポートを作成する準備が整いました。「Compliance」->「Compliance Status」に移動し、「Generate」(「Compliance Status」->「Actions」)をクリックし、レポートウィザードを使用してレポートを作成し、アクワイアラに送信します。 |
四半期ごとの内部スキャン |
「Assets」->「Asset Groups」に移動し、カスタム PCI リスクランキングに従って IP を整理するグループを作成します。各グループはリスクランキングに対応します。その後、IP をスキャンしたら、スキャンレポートを作成し、リスクランキングに照らしてコンプライアンスを検証します。 |
ステップ 2: スキャンの実行ステップ 2: スキャンの実行 「VM/VMDR」で、「Scans」->「New」->「Scan」に移動します。 1)スキャンするアセットグループ(前のステップで作成したもの)を選択します。 2)「Initial Options」などの標準のオプションプロファイル、またはカスタマイズしたオプションプロファイルを選択します。 「Payment Card Industry(PCI)Options」には、外部 PCI スキャン向けの設定があり、スキャンにかかる時間が非常に長くなる場合があるためお勧めしません。 |
ステップ 3: PCI スキャンレポートの作成ステップ 3: PCI スキャンレポートの作成 まず PCI レポートテンプレートを作成します。「Reports」->「Templates」に移動し、「New」->「PCI Scan Template」を選択します。脆弱性のリスクランクとして、High、Medium、Low を使用します。デフォルトでは、ASV 外部 PCI スキャンで必要とされるスコアと同じ CVSS スコアに設定されます。「PCI Risk Ranking」で、High、Medium、Low ランクの脆弱性に対する CVSS 基本値の範囲を変更することにより、カスタムリスクランキングスケールを定義する必要があります。組織内のランキングスケールごとにテンプレートを作成してください。 これで、所有するテンプレートの数に応じて、1 つまたは複数のレポートを作成する準備が整いました。レポートを作成するには、「Reports」->「Templates」を選択します。テンプレートの上にマウスポインタを合わせて、「Quick Actions」メニューで「Run」を選択します。 |
ステップ 4: 脆弱性の修正と再スキャンステップ 4: 脆弱性の修正と再スキャン PCI スキャンレポートを確認します。High ランクの脆弱性がある場合は、それらの脆弱性を修正する必要があります。再スキャンを実行し、レポートを再実行して、High ランクのすべての脆弱性が修正されていることを確認してください。 |