サイバートラスト、PCI DSS v4.0で必須の認証スキャンに対応した脆弱性診断サービスを提供

　サイバートラスト株式会社は25日、提供してきた脆弱性診断サービスのひとつであるホスト診断をリニューアルし、クレジットカード業界や関連事業者向けのグローバルセキュリティ基準である、PCI DSSの最新版v4.0で必須となる、サーバーに対する認証スキャンの機能を実装して、提供開始した。

　PCI DSSは、クレジットカード業界や関連事業者がクレジットカード情報を安全に取り扱うことを目的に定められたセキュリティの国際基準。クレジットカード情報の保存・処理・伝送などを行うすべての事業者（クレジットカード加盟店・金融機関・クレジットカード決済サービス企業など）は、PCI DSSに準拠する必要がある。

　現行のPCI DSS v3.2.1は2024年3月31日に終了となり、PCI DSS v4.0では近年のフィッシングによる個人情報などの詐取といった脅威動向を踏まえて、外部からの攻撃や内部からの不正のリスクを可視化する観点から、サーバー内部から脆弱性スキャンを行う、認証スキャンを実施することが必須となる。

　サイバートラストでは、これまで内部からネットワーク診断を実施する場合、診断員が対象サーバーやネットワーク機器が設置された現地へ訪問して作業を実施する必要があったと説明。その際、施設への入館申請や現地での作業同席などの負担が大きいだけでなく、診断員の現地訪問による提供コストにも影響が多いことが課題となっていたという。

　新たに提供するホスト診断では、現地訪問不要で顧客側に検査ファイルの提供を行い、返送された結果ファイルに基づいてレポートを提供する方法を採用している。これにより、現地訪問のコストや顧客側の負担を軽減した上で、内部ネットワークにおける脆弱性診断を可能にし、PCI DSS v4.0の必須事項である認証スキャンを実現する。

　また、リニューアルにより、稼働しているネットワークサービスの情報や、脆弱性が存在した場合に対策を行う優先度付けをするための分析情報をレポートに加えて提供する。アカウント情報やパスワード強度の調査を追加し、実際の攻撃においても重要なポイントであるユーザーレベルまでの調査も行う。

ホスト診断 サービス提供フロー

ホスト診断 対象OS

　ホスト診断は、PCI DSSのような国際基準に基づいたセキュリティ要件に対応するため、PCI DSSの準拠性に関わらず、高品質な脆弱性診断サービスとしても活用可能。また、OSのバージョン情報も診断するため、自社での利用OSが把握できていないシステムについて、2024年6月末でコミュニティからの修正パッケージの提供が終了する、CentOS Linux 7の利用状況の調査にも利用できる。

　サイバートラストは、顧客のシステム環境や運用面を考慮し、最小限のインパクトでシステムに内在する脆弱性を明らかにし、安全なシステム構築をするための支援をしていくとしている。