サイバートラスト、「PCI DSSペネトレーションテスト」を提供開始

　サイバートラスト株式会社は16日、脆弱性診断サービスの新たなメニューとして「PCI DSSペネトレーションテスト」の提供を開始した。

　PCI DSSは、クレジットカード業界や関連事業者がクレジットカード情報を安全に取り扱うことを目的に定められた国際基準。クレジットカード情報の保存・処理・伝送などを行うすべての事業者（クレジットカード加盟店・金融機関・クレジットカード決済サービス企業など）は、PCI DSS に準拠する必要がある。

　PCI DSSでは、新しい攻撃手法や、ソフトウェアやシステムの変更に伴って発生しうる新たなリスクを識別、検知し、修正するための定期的なテストの要件を記載しており、四半期に一度の内部および外部からの脆弱性スキャンと、ネットワークレイヤおよびアプリケーションレイヤに対するペネトレーションテストを求めている。

　PCI DSSペネトレーションテストでは、考えられる攻撃箇所に対して、実際に攻撃者が用いる手法で疑似攻撃を行ってシステムへの侵入を試み、特権取得やデータ漏えいの可能性を検査する。これにより、「PCI DSS 要件 11.3 ペネトレーションテスト」で求められる、外部、内部および境界におけるペネトレーションテストの要件に対応できる。

　PCI DSS 要件 11.3 ペネトレーションテストは、QSA（Qualified Security Assessors：認定審査機関）やASV（Approved Scanning Vendors：認定スキャンベンダー）とは別に、定期的またはシステムの大きな変更後や脆弱性検出時に実施が求められるテスト。MSP（Managed Service Provider）事業を主軸とした各種サービスを提供するアイティーエム株式会社の調査技術を採用している。

　また、サービスではペネトレーションテストとともに、見つかった脆弱性を用いてシステム権限の取得を試みるテストや、自社保有の疑似攻撃方法論による実施と管理、日本語／英語によるレポート、サポートを提供する。