ASV※2・QSA※3資格を保有し、豊富なPCI DSS準拠コンサルティングや脆弱性検査実績を持つTISが、2025年4月までの対応が必須となる認証スキャンをお客さまの導入・運用面でのハードルを最小限に抑えて本サービスを提供します。
<PCI DSSv4.0対応期限マイルストーン>
本サービスは、ペイメント業界のお客さまを中心に、PCI DSSv4.0準拠対応で2025年4月以降必須となる認証スキャンの導入を支援するサービスです。PCI DSSv4.0準拠対応以前の従来方式の非認証スキャンでは、スキャン対象サーバへのログインは行わず、ポートスキャンにより対象サーバが外部に公開しているサービスを調査し、サービス毎に脆弱性の有無の確認を行っていました。
一方、本サービスで提供する認証スキャンにおいては、対象サーバにログイン後、サーバ内部からスキャンを実施し潜在的なリスクを可視化することで、他システムと連携していないソフトウェアの脆弱性も検出することができます。本サービスでは、システムの特権を検査に組み込むことにより、非認証スキャンで検出できない脆弱性の検出が可能になりました。
※1 「Payment Card Industry Data Security Standards」の略。国際カードブランド5社(VISA、MasterCard、American Express、JCB、Discover)が作成した、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワーク
※2 「Approved Scanning Vendor」の略。PCI DSS準拠のための脆弱性スキャンを行う資格を有する認定ベンダ
※3 「Qualified Security Assessors」の略。PCI DSSの準拠性の審査を行う認定セキュリティ評価機関
■背景
昨今では、コロナ禍やDXの拡大に伴い事業者のEC展開が増えたことや、キャッシュレス決済が浸透したことを受け、カードの不正利用被害が年々増加しています。また、その被害はクレジットカード以外も含めたペイメント業界全体に及んでいます。
そのような中、2022年3月31日に、クレジット業界におけるグローバルセキュリティ基準のPCI DSSがv3.2.1からv4.0にメジャーバージョンアップされました。本バージョンアップは、昨今の背景を踏まえた大幅な要件改変となり、複雑化するサイバーセキュリティに対応した内容になっています。
PCI DSSv4.0で必須となった認証スキャンへの対応には、実施により膨大な脆弱性が検出される可能性や既存システムへの影響など、導入・運用にあたり様々な課題が見受けられます。
そこでTISは、お客さまのシステム環境や運用面を考慮し、最小限のインパクトでPCI DSSv4.0への準拠対応を支援する本サービスの提供を開始します。
■認証スキャンについて
特権アクセス※4を検査に組み込むことで、これまでの非認証スキャンでは見つからない脆弱性をチェック、検出します。
本サービスでは、これまでより深く内部の脅威を洗い出すことができるため、PCI DSSv4.0の要件達成の目的以外にも、製造業などのサプライチェーンリスクの洗い出しとしても有効に活用できます。
<本サービス(認証スキャン)と従来型サービス(非認証スキャン)の比較>
従来方式よりも深く検査を実施し、これまで検出できなかった脆弱性の検出が可能に
※4 スキャン対象サーバにログインを行うことで対象サーバにフルアクセスでき、内部の潜在的なリスクを可視化。対象サーバ上だけで稼働するクライアントソフトウェアの脆弱性も検出可能
■「PCI DSS対応認証スキャンサービス」の特長
●PCI DSS準拠対応に精通した専門の診断員による対応
PCI DSS準拠コンサルティングや脆弱性検査など、PCI DSS準拠対応の豊富な実績を持つ専門の診断員が認証スキャンを実施。お客様の環境状況をヒアリングし、最適な認証スキャン方法を提案します。
●豊富なPCI DSS準拠支援実績
TISでは多くの決済システムの構築を手掛け、社内外の豊富なPCI DSS準拠実績とそれに基づく多くのノウハウがあります。
●PCI DSSv4.0準拠に向けた確実な認証スキャンの実施
TISは、ASV・QSA資格を保有しています。導入・運用面のハードルを最小限にしながら、PCI DSSv4.0に確実に準拠します。
<サービスのイメージフロー>
■価格
70万円~(税抜)
※対象IP数による従量課金
詳細は以下よりお問合わせください。
■今後について
TISでは今後とも、PCI DSSv4.0準拠実現に向けたソリューションや関連サービスの開発を進めていきます。さらに、サプライチェーンリスクを検討しているペイメント業界以外のお客さまに対しても本サービスの提供を拡大し、2026年度までに100社への本サービス導入を目指します。
TIS株式会社について(https://www.tis.co.jp/)
TISインテックグループのTISは、金融、産業、公共、流通サービス分野など多様な業種3,000社以上のビジネスパートナーとして、お客様のあらゆる経営課題に向き合い、「成長戦略を支えるためのIT」を提供しています。50年以上にわたり培ってきた業界知識やIT構築力で、日本・ASEAN地域の社会・お客様と共創するITサービスを提供し、豊かな社会の実現を目指しています。
TISインテックグループについて
TISインテックグループは、国内外グループ2万人を超える社員が『ITで、社会の願い叶えよう。』を合言葉に、「金融包摂」「都市集中・地方衰退」「低・脱炭素化」「健康問題」を中心とした様々な社会課題の解決に向けてITサービスを提供しています。デジタル技術を駆使したムーバーとして新たな価値を創造し、人々の幸せと持続可能な豊かな社会の実現に貢献します。
※ 記載されている会社名、製品名は、各社の登録商標または商標です。
※ 記載されている情報は、発表日現在のものです。最新の情報とは異なる場合がありますのでご了承ください。
◆サービスに関するお問い合わせ先
TIS株式会社 IT基盤サービス事業部 セキュリティサービス部
E-mail:security_info@ml.tis.co.jp