PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
11.1 (a) 四半期ごとに、承認されているワイヤレスアクセスポ
イントと承認されていないワイヤレスアクセスポイン トを両方検出し、識別するためのプロセスが実装され ていますか?
注: プロセスで使用される方法には、ワイヤレスネットワー クのスキャン、システムコンポーネントおよびインフラス トラクチャの論理的/物理的な検査、ネットワークアクセス 制御(NAC)、ワイヤレス IDS/IPS が含まれますがこれら に限定されません。
いずれの方法を使用する場合も、不正なデバイスを検出お よび識別できる機能を十分に備えている必要があります。
▪ ポリシーおよび手順のレビュ ー
その方法により、少なくとも以下を含む不正なワイヤ レスアクセスポイントを検出および識別できますか?
• システムコンポーネントに挿入された WLAN カ ード
• ワイヤレスアクセスポイントを作成するためにシ ステムコンポーネントに(USB などで)接続した ポータブルやモバイルデバイス、および
• ネットワークポートまたはネットワークデバイス に接続されたワイヤレスデバイス
▪ 手法の評価
(c) 承認されている無線アクセスポイントと承認されてい ない無線アクセスポイントの識別に無線スキャンを利 用する場合、無線スキャンを少なくとも四半期ごとに すべてのシステムコンポーネントおよび施設に対し て、実施していますか?
▪ 最近のワイヤレススキャンか らの出力結果の調査
(d) 自動監視(ワイヤレス IDS/IPS や NAC など)が使用さ れている場合は、監視は担当者への警告が生成される
▪ 構成設定の調査
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
11.1.1 文書化されている業務上の理由を含めて、承認されている
無線アクセスポイントのインベントリを維持していますか?
▪ インベントリ記録の調査
11.1.2 (a) インシデント対応計画に、不正なワイヤレスデバイス
が検出された場合の対応が含まれていますか?
▪ インシデント対応計画(要件 12.10 参照)の調査
承認されていないワイヤレスアクセスポイントが見つ かった場合の対処が行われていますか?
▪ 責任者のインタビュー
▪ 最近のワイヤレススキャンお よび関連する対応の検査
11.2 脆弱性スキャンを、少なくとも四半期に一度、およびネッ
トワークでの大幅な変更後(新しいシステムコンポーネン トのインストール、ネットワークトポロジの変更、ファイ アウォール規則の変更、製品のアップグレードなど)に、
以下のように実施していますか?
注: 四半期ごとのスキャンプロセスの複数のスキャンレポー トをまとめて、すべてのシステムがスキャンされ、該当す るすべての脆弱性に対処されたことを示すことができま す。
未修正の脆弱性が対処中であることを確認するために、追 加の文書が要求される場合があります。評価者が 1)最新 のスキャン結果が合格スキャンであったこと、2)事業体で 四半期に一度のスキャンを要求するポリシーと手順が文書 化されていること、および 3)スキャン結果で判明した脆 弱性が再スキャンにおいて示されているとおりに修正され たことを確認した場合、初回の PCI DSS 準拠のために、四 半期に一度のスキャンに 4 回合格することは要求されませ
ん。初回 PCI DSS レビュー以降は毎年、四半期ごとのスキ
ャンに 4 回合格しなければなりません。
11.2.1 (a) 内部の脆弱性スキャンは四半期ごとに実行されていま
すか?
▪ スキャンレポートのレビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト (b) 四半期ごとの内部脆弱性スキャンのプロセスに、PCI
DSS 要件 6.1 で定義されているすべての「高」脆弱性 が解消されるまで、再スキャンを実施することが含ま れていますか?
▪ スキャンレポートのレビュー
(c) 四半期ごとの内部スキャンが認定された内部リソース または認定された外部の第三者によって実行されてい ますか? また、該当する場合はテスターは組織的に独 立した立場(QSA または ASV である必要はない)に ありますか?
▪ 担当者のインタビュー
11.2.2 (a) 四半期に一度、外部の脆弱性スキャンが実行されてい
ますか?
注: 四半期に一度の外部の脆弱性スキャンは、PCI
(Payment Card Industry)セキュリティ基準審議会(PCI SSC)によって資格を与えられた認定スキャニングベンダ
(ASV)によって実行される必要がある。
スキャンにおける顧客の責任、スキャンの準備などについ ては、PCI SSC Web サイトで公開されている『ASV プロ グラムガイド』を参照してください。
▪ 直近4回分の四半期外部脆弱 性スキャンの結果のレビュー
(b) 外部の四半期ごとのスキャンの結果は ASV プログラム ガイドの要件を満たしていますか(CVSS スコアで 4.0 を超える脆弱性がない、自動障害がない、など)?
▪ 各外部四半期スキャンと再ス キャンの結果のレビュー
(c) 四半期ごとの外部の脆弱性スキャンは、認定スキャニ ングベンダ(ASV)によって実行されていますか?
▪ 各外部四半期スキャンと再ス キャンの結果のレビュー
11.2.3 (a) 大幅な変更後、内部と外部のスキャンを実行していま
すか?
注: スキャンは有資格者が実施する必要があります。
▪ 変更管理文書とスキャン報告 書の調査と関連付け
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト (b) スキャンプロセスには、以下の状態になるまで再スキ
ャンの実行が含まれますか?
• 外部スキャンの場合、CVSS スコアで 4.0 以上の 脆弱性がないこと
• 内部スキャンの場合、合格結果が取得されるこ と、または PCI DSS 要件 6.1 で定義されたすべ ての「高リスク」脆弱性が解消されていること
▪ スキャンレポートのレビュー
(c) スキャンが認定された内部リソースまたは認定された 外部の第三者によって実行されていますか? また、該 当する場合はテスターは組織的に独立した立場(QSA または ASV である必要はない)にありますか?
▪ 担当者のインタビュー
11.3 ペネトレーションテスト方法には以下が含まれていますか?
▪ 業界承認のペネトレーションテスト方法(NIST SP800-115 など)に基づいている
▪ CDE 境界と重要システム全体を対象とした対応
▪ ネットワークの内部と外部からのテスト
▪ セグメンテーションと範囲減少制御の有効性テスト
▪ アプリケーション層のペネトレーションテストは、少 なくとも要件 6.5 に記載されている脆弱性を含める必 要がある
▪ ネットワーク層のペネトレーションテストには、ネッ トワーク機能とオペレーティングシステムをサポート するコンポーネントを含める必要がある
▪ 過去 12 カ月にあった脅威と脆弱性のレビューと考慮
▪ ペネトレーションテスト結果と修正実施結果の保持を 指定
▪ ペネトレーションテスト手法 の調査
▪ 責任者のインタビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
11.3.1 (a) 外部ペネトレーションテストが少なくとも年に一度お
よび大幅なインフラストラクチャまたは環境の変更
(オペレーティングシステムのアップグレード、環境 へのサブネットワークの追加、環境への Web サーバの 追加など)後に定義されている方法に従って実行され ていますか?
▪ 実施対象範囲の調査
▪ 直近の外部ペネトレーション テストの結果の調査
(b) テストが認定された内部リソースまたは認定された外 部の第三者によって実行されていますか? また、該当 する場合はテスターは組織的に独立した立場(QSA ま たは ASV である必要はない)にありますか?
▪ 責任者のインタビュー
11.3.2 (a) 内部ペネトレーションテストが少なくとも年に一度お
よび大幅なインフラストラクチャまたは環境の変更
(オペレーティングシステムのアップグレード、環境 へのサブネットワークの追加、環境への Web サーバの 追加など)後に定義されている方法に従って実行され ていますか?
▪ 実施対象範囲の調査
▪ 直近の内部ペネトレーション テストの結果の調査
(b) テストが認定された内部リソースまたは認定された外 部の第三者によって実行されていますか? また、該当 する場合はテスターは組織的に独立した立場(QSA ま たは ASV である必要はない)にありますか?
▪ 責任者のインタビュー
11.3.3 ペネトレーションテストで検出された悪用可能な脆弱性が修
正され、テストが繰り返されて修正が確認されましたか?
▪ ペネトレーションテスト結果 の調査
11.3.4 CDEを他のネットワークから分離するためにセグメンテー
ションが使用されましたか?
(a) すべてのセグメンテーション方法が効果的かつ運用可 能で、カード会員データ環境内のシステムから
PCIDSS準拠範囲外のシステムを分離しているかを確
認するための、ペネトレーションテスト手順を定義し
▪ セグメンテーション制御の調 査
▪ ペネトレーションテスト手法 のレビュー