NTTデータ・セキュリティ、PCI DSS準拠を支援する脆弱性検査の新サービス

NTTデータ・セキュリティとクォリスジャパンは、PCI DSSが定める脆弱性対策への取り組みを支援する「NinjaSCAN」サービスを始めた。

[國谷武史，ITmedia]

　NTTデータ・セキュリティとクォリスジャパンは2月15日、クレジットカード業界のセキュリティ基準「PCI DSS」で定められた脆弱性対策への企業の取り組みを支援する「NinjaSCAN」サービスを始めた。

　新サービスは、PCI DSSに基づいたクォリスジャパンのオンライン型脆弱性スキャンツール「QualysGuard PCI」を使用し、NTTデータ・セキュリティがスキャンの実施方法や、スキャン結果に基づく対応などについて専門担当者によるサポートを提供する。

　脆弱性のスキャンは、ユーザー企業が指定した機器のIPアドレスに対して、ツールがクォリスのデータセンターと連携しながら脆弱性の有無や詳細を調べる。脆弱性があった場合に、脆弱性が存在する部分や内容、脅威レベル、コンプライアンスへの影響などを日本語のオンラインリポートで報告する。

サービスの仕組み

　PCI DSSでは、クレジットカード情報を取り扱う企業などへ12種類の要件を順守するよう求めており、同サービスは要件11で定めている最低四半期ごとの定期的な検査（要件11-2）、もしくはシステム変更時における検査（要件11-3）の実施を支援する。NTTデータ・セキュリティとクォリスは、PCI DSSの管轄組織「PCI SSC」の認定スキャンベンダー（ASV）となっており、企業は同サービスを利用して脆弱性対策を適切に実施していることで、要件11-2を準拠することになるという。

　NTTデータ・セキュリティの服部武司社長は、「われわれは国内で唯一ASVとQSA（PCI SSCが定めるPCI DSS準拠の審査機関）、PA QSA（クレジットカード関連アプリケーションの安全性審査機関）の3つを担当しており、国内企業のPCI DSSへの対応を幅広く支援していきたい」と表明した。

　クォリスジャパンの菊地昭一社長は、「QualysGuard PCIを2007年秋にスタートしたが、現在までに世界のASVの67％、QSAの35％がQualysGuard PCIを活用している。NTTデータ・セキュリティとの提携で世界的に使われているツールを日本に適した形で提供できるだろう」と話した。

過去1年のQualysGuard PCIのバージョンアップ内容。「きめ細かい迅速な対応が特徴」と菊地氏

　サービスを担当するNTTデータ・セキュリティの高橋典子氏は、「新サービスではカード会社や加盟店などが自主的に検査をできるようにしており、必要なタイミングでサポートを受けられるようにするなど、ユーザーが無理なくPCI DSSへ対応していけるよう考慮した」と説明する。

　例えば、スキャン結果から対策の不備が見つかるとユーザーには推奨対策を講じることが求められるが、資金面や技術面などの制約で推奨対策の実施が難しい場合に、代替手段で対応することもできる。だが、ユーザーが代替手段を自主的に講じるのも難しい場合があり、同サービスではこのようなケースまでも含めて対応するという。

　米国企業の対応状況について米Qualysのフィリップ・クルトー会長兼CEOは、「PCI DSSを含めたコンプライアンスの順守と情報セキュリティ対策は企業にとって大きな課題になっており、セキュリティサービスが普及しつつある。今後多くの企業が自社で構築した従来型のセキュリティシステムを見直し、戦略的にセキュリティサービスを活用するようになるだろう」と話している。

　サービス価格はオープンで、サポート内容によって変動する。参考価格はスキャン対応のIPアドレスが3つまでの場合で年間20万円からとなっている。

関連ホワイトペーパー

PCI DSS | 脆弱性 | コンプライアンス

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら