PCI DSS 質問 必要なテスト
回答
(各質問に対して 1 つ回答を選んでください)
はい
はい、
CCW 付 いいえ N/A
11.3 ペネトレーションテストには、以下が含まれていますか?
業界承認のペネトレーションテスト方法(NIST SP800-115 な ど)に基づいている
CDE 境界と重要システム全体を対象とした対応
ネットワークの内部と外部からのテスト
セグメンテーションと範囲減尐制御の有効性テスト
アプリケーション層のペネトレーションテストは、尐なくとも要件 6.5 に記載されている脆弱性を含める必要がある
ネットワーク層のペネトレーションテストには、ネットワーク機能と オペレーティングシステムをサポートするコンポーネントを含める 必要がある
過去 12 カ月にあった脅威と脆弱性のレビューと考慮
ペネトレーションテスト結果と修正実施結果の保持
ペネトレーションテスト結果の審査
担当者のインタビュー
11.3.1 (a) 外部ペネトレーションテストが尐なくとも年に一度および大幅
なインフラストラクチャまたは環境の変更(オペレーティングシス テムのアップグレード、環境へのサブネットワークの追加、環境 への Web サーバの追加など)後に定義されている方法に従 って実行されていますか?
仕事の範囲の審査
最新の外部ペネトレーションテスト結果の審 査
(b) テストが認定された内部リソースまたは認定された外部の第三 者によって実行されていますか? また、該当する場合はテスタ ーは組織的に独立した立場(QSA または ASV である必要 はない)にありますか?
仕事の範囲の審査
担当者のインタビュー
11.3.3 ペネトレーションテストで検出された悪用可能な脆弱性が修正さ
れ、テストが繰り返されて修正が確認されましたか?
ペネトレーションテスト結果の審査
PCI DSS 質問 必要なテスト
回答
(各質問に対して 1 つ回答を選んでください)
はい
はい、
CCW 付 いいえ N/A
11.3.4 CDEを他のネットワークから分離するためにセグメンテーションが使
用されましたか?
(a) ペネトレーションテスト手順ですべてのセグメンテーション方法を テストし、ペネトレーションテストを行って、セグメンテーション方 法が運用可能で効果的であり、適用範囲内のシステムから 適用範囲外のシステムをすべて分離していますか?
セグメンテーションコントロールの審査
ペネトレーションテスト方法のレビュー
(b) ペネトレーションテストで、セグメンテーションコントロールが以下 を満たしていることが確認できましたか?
尐なくとも年 1 回およびセグメンテーション制御/方法に 何らかの変更を加えた後に実施されていますか?
使用されているすべてのセグメンテーション制御/方法を 対象とする
セグメンテーション方法が運用可能で効果的であり、対 象範囲内システムから対象範囲外システムを分離する
最新のペネトレーションテスト結果の審査
11.5 (a) 変更検出メカニズム(ファイル整合性監視ツールなど)を導入
して重要なシステムファイル、構成ファイル、またはコンテンツフ ァイルの不正な変更を担当者に警告していますか?
監視する必要があるファイルの例は次のとおりです。
システム実行可能ファイル
アプリケーション実行可能ファイル
構成およびパラメータファイル
集中的に保存されている、履歴またはアーカイブされた、ログお よび監査ファイル
事業体が指定した追加の重要ファイル(リスク評価その他の方 法で)
システム設定と監視ファイルの観察
構成設定の審査
PCI DSS 質問 必要なテスト
回答
(各質問に対して 1 つ回答を選んでください)
はい
はい、
CCW 付 いいえ N/A
(b) ツールは重要なシステムファイル、構成ファイル、またはコンテン ツファイルの不正な変更を警告し、重要なファイルの比較を尐 なくとも週に一度実行するように構成されていますか?
注: 変更検出目的で、重要なファイルとは通常、定期的に変更さ れないが、その変更がシステムの侵害や侵害のリスクを示す可能性 があるファイルを示す。ファイル整合性監視製品などの変更検出メ カニズムでは通常、関連オペレーティングシステム用の重要なファイ ルがあらかじめ構成されている。カスタムアプリケーション用のファイル など、その他の重要なファイルは、事業体(つまり、加盟店またはサ ービスプロバイダ)による評価および定義が必要です。
システム設定と監視ファイルの観察
監視結果のレビュー
11.5.1 変更検出ソリューションによって生成された警告に対応するプロセス
を実装していますか?
構成設定の審査