NewsInsight

影となり、迅速にスキャンする“忍者”を提供

クォリス、PCI DSS向け脆弱性スキャンサービスを発表

2010/02/15

　クォリスジャパンとNTTデータ・セキュリティは2月15日、脆弱性スキャンサービス「QuolysGuard PCI」をベースとしたリモート脆弱性スキャンサービス「NinjaSCAN」を発表した。PCI DSSで定められている要件11.2項をクリアできているかどうかを判断できる。

　PCI DSSの要件11.2では、外部および内部のネットワーク脆弱性スキャンを四半期に一度行うことを義務付けている（参考：ASV検査、ペネトレテスターの思考を追う）。外部ネットワークのスキャンはASV認定資格を持つ事業者が行う必要があり、最新の脆弱性情報を基に対応に漏れがないかを確認する。

　NinjaSCANはクォリスのデータセンターを利用するSaaS型のサービスで、スキャン対象のセグメントのIPアドレスを登録することで、任意のタイミングでPCI DSSの要件11.2項に沿ったスキャンを実施できる。契約は年単位で行い、その期間中であれば実施回数は無制限。クォリスはPCI DSSに特化した脆弱性スキャンサービスを2007年より提供しており、今回は完全に日本語化して提供。さらにASV認定事業者であるNTTデータ・セキュリティがASVとしてのサポート、およびテクニカルサポートを行い、「日本に向けたサービス」として展開する。

　NinjaSCANは3IPで20万円／年から。オプションとして導入支援などのサービスも提供する。

“なんちゃってPCI”ではない認定サービスをSaaSで

　クォリスジャパン 代表取締役、菊池昭一氏は「QualysGuard PCIは“なんちゃってPCI”ではない」と述べ、同サービスがPCI SSCによって認定されたASVサービスであり、11.2項への準拠／非準拠を判断できるソリューションであることを強調した。

　PCI DSSへの準拠／非準拠の判断はPCI SSC（Payment Card Industry Security Standards Council）が認定したQSA（Qualified Security Assessor、認定審査機関）とASV（Approved Scanning Vendor、認定スキャンベンダ）が行う。「PCI DSSの普及の状況と課題」と題するセッションを行ったNTTデータ・セキュリティ PCI推進室長の鍋島聡臣氏は「セールストークとして『PCI DSS準拠製品』というものが見受けられるが、製品に対しての個別認定は一部例外を除いて行っていない。認定があるのはASVによる『サービス』のみ」と述べる。

　この点がPCI DSSという基準への分かりにくさにつながっているものの、「無線LANアナライザによる情報漏えい事例など、過去の事例の反映や、最新のWebアプリケーションの脆弱性対策としてOWASPを参照させるなど、最新の状況に合わせてPCI DSSはアップデートされている」（鍋島氏）として、PCI DSSのよい部分も強調した。最新の状況へのアップデートが速いということは、検査する項目も変化するということにつながる。この点について菊池氏は「SaaS型のサービスとして提供しているので、PCI DSS規定変更に同期して検査内容をバージョンアップしている」と述べた。