TIS、PCI DSSv4.0への準拠対応を支援する「PCI DSS対応認証スキャンサービス」を提供

　TIS株式会社は10日、クレジット業界におけるグローバルセキュリティ基準であるPCI DSSv4.0への準拠対応を支援する「PCI DSS対応認証スキャンサービス」を提供開始すると発表した。

　PCI DSS対応認証スキャンサービスは、ペイメント業界の顧客を中心に、PCI DSSv4.0準拠対応で2025年4月以降必須となる認証スキャンの導入を支援するサービス。ASV・QSA資格を保有し、PCI DSS準拠コンサルティングや脆弱性検査実績を持つTISが、2025年4月までの対応が必須となる認証スキャンを、顧客の導入・運用面でのハードルを最小限に抑えたサービスとして提供する。

PCI DSSv4.0対応期限マイルストーン

　PCI DSSv4.0準拠対応以前の従来方式の非認証スキャンでは、スキャン対象サーバーへのログインは行わず、ポートスキャンにより対象サーバーが外部に公開しているサービスを調査し、サービスごとに脆弱性の有無の確認を行っていた。一方、新サービスで提供する認証スキャンでは、対象サーバーにログイン後、サーバー内部からスキャンを実施して潜在的なリスクを可視化することで、他システムと連携していないソフトウェアの脆弱性も検出できる。サービスではシステムの特権を検査に組み込むことにより、非認証スキャンで検出できない脆弱性の検出が可能になった。

　TISでは、PCI DSSのv4.0へのメジャーバージョンアップは、昨今の背景を踏まえた大幅な要件改変となり、複雑化するサイバーセキュリティに対応した内容になっていると説明。PCI DSSv4.0で必須となった認証スキャンへの対応には、実施により膨大な脆弱性が検出される可能性や、既存システムへの影響など、導入・運用にあたりさまざまな課題が見受けられるとして、顧客のシステム環境や運用面を考慮し、最小限のインパクトでPCI DSSv4.0への準拠対応を支援するサービスを提供するとしている。

　また、サービスは、これまでより深く内部の脅威を洗い出せるため、PCI DSSv4.0の要件達成の目的以外にも、製造業などのサプライチェーンリスクの洗い出しとしても有効に活用できるとしている。