PCI DSSテスト(要件11)内製化支援コンサルティング

PCI DSSテスト(要件11)
内製化支援
コンサルティング

【お知らせ】
2023年11月をもちましてPCI DSS準拠運用支援コンサルティングおよび関連する教育・研修事業を株式会社GRCSに譲渡いたしました。お問い合わせにつきましてはこちらをご覧下さい。

PCI DSSの要件11では、「セキュリティシステムおよびプロセスを定期的にテストする」として、脆弱性スキャンや各種ペネトレーションテストなどの実施サイクルと実施方法を定めています。しかし、テストを外部に委託すると、毎年多額の費用が発生します。これがPCI DSS準拠や維持を困難にする一因となっていると言われています。

弊社は、お客様が内部脆弱性スキャンや各種ペネトレーションテストなどを自社内で実施できるよう内製化を支援し、PCI DSS運用コストの削減を可能にします。PCI DSSの観点から見た結果の評価や脆弱性に対する対応要否の判断についても支援いたします。

対象となるテスト

  • 無許可の無線LANアクセスポイントの検査
  • 内部ネットワーク脆弱性スキャン
  • 内部/外部ペネトレーションテスト(ネットワーク層)
  • 内部/外部ペネトレーションテスト(アプリケーション層)
  • 境界のペネトレーションテスト(ネットワーク層)

コンサルティングの流れ

PCI DSSテスト(要件11)内製化支援コンサルティング/ご支援イメージ PCI DSSテスト(要件11)内製化支援コンサルティング/ご支援イメージ
  • 実際のスケジュールはシステム規模やお客様の体制により都度異なります。

提供形態

  • 支援フェーズにあわせて、月1~2回の定例会議を実施します。
  • 支援期間中はメールによるQ&A対応を実施します。

提供内容

  • 実際の診断はお客様ご自身に行っていただきます。
  • 無許可の無線LANアクセスポイントの検査の概要と実施手順の説明
  • 脆弱性スキャン・ペネトレーションテストの概要と実施手順の説明
  • 実施手順書の提供
  • 手順についてのQ&A対応
  • 実施スケジュール作成支援
  • 実施結果についての評価、レポート作成支援
  • 評価結果への対応支援
  • その他Q&A対応

対応ツール

OWASP ZAP、Nessus、OpenVAS、Nmap Scripting Engineなど