IBM ISS PCI データセキュリティー評価支援
サービス説明資料
日本アイ・ビー・エム株式会社
ISS事業部 セールス&オペレーションズ プロフェッショナルサービス
IBM Internet Security Systems
© 2008 IBM Corporation 2目次
PCIDSSの準拠の12の要件
~認定取得・維持の進め方
プロフェッショナルセキュリティサービスメニューのご紹介
IBMのソリューション
USでの動向
参考資料
PCIDSS 12の要件
定期的なネットワークの監視およびテスト 定期的なネットワークの監視およびテスト 情報セキュリティ・ポリシーの整備 情報セキュリティ・ポリシーの整備 強固なアクセス制御手法の導入 脆弱性を管理するプログラムの整備 カード会員情報の保護 カード会員情報の保護 安全なネットワークの構築・維持 安全なネットワークの構築・維持 情報セキュリティに関するポリシーを整備すること 12. セキュリティシステムおよび管理手順を定期的にテストすること 11. ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること 10. カード会員情報にアクセスする際、物理的なアクセスを制限すること 9. コンピュータにアクセスする際、利用者毎に識別IDを割り当てること 8. データアクセスを業務上の必要範囲内に制限すること 7. 安全性の高いシステムとアプリケーションを開発し、保守すること 6. アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること 5. 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること 4. 保存されたデータを安全に保護すること 3. システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこ と 2. データを保護するためにファイアウォールを導入し、最適な設定を維持すること 1. PCI DSS Ver. 1.1カード会員情報を効果的に守るためのベストプラクティス
カード会員情報を効果的に守るためのベストプラクティス
カード会員情報を効果的に守るためのベストプラクティス
IBM Internet Security Systems
© 2008 IBM Corporation 4 国際ペイメントカード ブランド5社 American Express Discover JCB (JCB Data Security Program) MasterCard(SDP) VISA(AIS) 国際ペイメントカード 国際ペイメントカード ブランド ブランド55社社 American Express American Express Discover Discover JCB JCB ((JCBJCB Data Data Security Program) Security Program) MasterCard MasterCard((SDPSDP)) VISAVISA((AIS)AIS)
PCIDSS認定機関
セキュリティ評価機関
(QSA *1)
・NTTデータ・セキュリティ㈱ ・BSIマネジメントシステムジャパン㈱ ・NOS (米国ControlCase) ・HIll&AssociatesJapan㈱PCIDSS
PCIDSS認定機関
認定機関
セキュリティ評価機関
セキュリティ評価機関
(
(QSA
QSA
*1)
*1
)
・NTTデータ・セキュリティ ・NTTデータ・セキュリティ㈱㈱ ・BSIマネジメントシステムジャパン ・BSIマネジメントシステムジャパン㈱㈱ ・NOS ・NOS (米国ControlCase)(米国ControlCase) ・HIll&AssociatesJapan ・HIll&AssociatesJapan㈱㈱ セキュリティ評価機関(ASV *2) IBM ISS(弊社) ・NTTデータ・セキュリティ㈱ ・三和コムテック㈱ セキュリティ評価機関( セキュリティ評価機関(ASVASV *2*2)) IBM ISS IBM ISS(弊社)(弊社) ・NTTデータ・セキュリティ ・NTTデータ・セキュリティ㈱㈱ ・三和コムテック ・三和コムテック㈱㈱PCISSC(PCI Security Standards Council LLC)
国際ペイメントブランド5社が共同で運営 するPCIDSSの推進協議団体
PCISSC(PCI Security Standards Council LLC)
国際ペイメントブランド5社が共同で運営 するPCIDSSの推進協議団体
PCIDSS(Payment Card Industry Data Security
Standard)
クレジット業界におけるグロー バルセキュリティ基準 PCIDSS(Payment Card
Industry Data Security Standard) クレジット業界におけるグロー バルセキュリティ基準 事業者へ の 訪 問調査 の 実施 事業者へ の 訪 問調査 の 実施 認定実施 認定実施 事業者への脆弱性スキャンの実施 事業者への脆弱性スキャンの実施 コンサルティングサービス コンサルティングサービス セキュリティ基準の策定 セキュリティ基準の策定 出資・参画 出資・参画 遵守対象事業者 ・加盟店様 ・サービスプロバイダ様 ・決済代行事業者様 遵守対象事業者 遵守対象事業者 ・加盟店様 ・加盟店様 ・ ・サービスプロバイダ様サービスプロバイダ様 ・決済代行事業者様 ・決済代行事業者様 遵守 推奨 遵守 推奨
PCIDSSを取り巻く関係図(弊社の位置付け)
注)略称解説 *1 QSA:専門技術者(QSAP)による監査 (訪問調査)を提供し、PCIDSSの遵守状況 を確認し、判定することができるPCISSCに よる認定企業 *2 ASV:PCIDSSで定められるセキュリティ 対策が実現できているか、診断により確認 し、判定することができるPCISSCによる認 定企業 アクワイアラー (加盟店契約会社) アクワイアラー アクワイアラー (加盟店契約会社) (加盟店契約会社) 遵守の普及促進 遵守の普及促進 検証結果報告 検証結果報告 バリデーション証明書提出 バリデーション証明書提出PCIDSSを遵守いただきたい企業とは
遵守対象企業
-カード会員情報を格納、処理、または伝送するすべてのメンバー
機関およびサービスプロバイダ
-対象業種
加盟店様:
インターネットのECサイト、百貨店、スーパー、
家電量販店、飲食店、ガソリンスタンド、ホテル、
高速道路、鉄道、航空、他
サービスプロバイダ様: カードネットワーク、決済代行サービス
PCIDSSに準拠すべき事業者様は計画的な対応が必要となります。
PCIDSS
PCIDSS
に準拠すべき事業者様は計画的な対応が必要となります。
に準拠すべき事業者様は計画的な対応が必要となります。
楽天(BSIジャパン認定)
楽天(BSIジャパン認定)
三井住友VISA(NTTデータ・セキュリティ認定)
三井住友VISA(NTTデータ・セキュリティ認定)
IBM Internet Security Systems
© 2008 IBM Corporation 6PCIDSS準拠
コンサルティングサービス利用のポイント
PCIDSSにおけるセキュリティ要件は、クレジットカード情報・カード
会員情報を取り扱う「
スコープ
スコープ
」に限定された「
最低限
最低限
」の要件で
あること。
PCIDSS準拠におけるコンサルティング支援サービスのメリット
-PCIDSS要件の準拠状況のチェックおよび改善策の提案
-要件準拠に加え、クレジットカード情報・カード会員情報のセキュ
リティ確保を統合的に実現するために必要な最適な対応策のご
提案
マネジメントレベルにおけるセキュリティの方針・ビジョンの確
認に利用
技術的レベルにおけるセキュリティ対策の統合化に利用
セキュリティ運用管理面における運用コストの見直し・削減の
ために利用
PCIDSS準拠のためにすべきこととは
VISA/AP様におけるDSS準拠方針
加盟店 対象事業者 任意 任意 必須 必須 推奨 推奨 訪問調査 推奨 必須 必須 必須 必須 推奨 脆弱性 スキャン 推奨 必須 任意 任意 必須 必須 自己問診 条件なし 年2万件 以上 年600万件 以上 年60万件 以上 年12万件~ 60万件 年12万件 以下 年間取引 件数 その他 加盟店 インターネット 加盟店 (L2/3) 大規模 加盟店(L1) サービス・プロバイダ ・監査人が加盟店等のサイトに訪問して監査、約200項目の 詳細項目をインタビュー等で確認 ・インターネットから加盟店等の公開サイトにスキャン検査、年 4回実施、危険度中以下が必須(5段階中2以下) ・Webサイトで実施、質問77項目、全問正解が必須 ・QSAサービス提供 ・弊社支援サービス 訪問調査 Onsite Review ・ASVサービス提供 脆弱性スキャン Vulnerability Scan ・カード会社様サイト等 を利用 自己問診 PCI Self assessmentIBM Internet Security Systems
© 2008 IBM Corporation 8 ■JCB様が推奨するDSS準拠方法の目安 加盟店様 - インターネットに接続できる環境で売上データ/会員データのお取り扱いがある加盟店様 JCBカードの年間お取り扱い件数が - 100万件以上の場合: 【脆弱性スキャンテスト(四半期毎)】【訪問調査(年次)】 - 100万件未満の場合: 【自己診断】【脆弱性スキャンテスト(四半期毎)】 - インターネットに接続できる環境で売上データ/会員データのお取り扱いがない加盟店様 JCBカードの年間お取り扱い件数が - 100万件以上の場合: 【訪問調査(年次)】 - 100万件未満の場合: 【自己診断】 決済代行事業者様 - インターネットに接続できる環境で売上データ/会員データのお取り扱いがある場合: 【脆弱性スキャンテスト(四半期毎)】【訪問調査(年次)】 - インターネットに接続できる環境で売上データ/会員データのお取り扱いがない場合: 【訪問調査(年次)】PCIDSS準拠のためにすべきこととは
予備調
査
(
オ
プ
シ
ョ
ン
)
初回調
査
再調査
認定(
認
定証発行)
維持
維持
維持調
査
(
移
行調査)
認定(
認
定証発行)
維持調
査
更新調査
1年目 1年目 (5年目)(5年目)2年目2年目 (6年目)(6年目)3年目3年目 (7年目・・)(7年目・・)4年目4年目 指摘事項なし 指摘 事項あり 指摘 事項あり②指摘支援
( *1 )②指摘支援
( *1 )①認定
支
援
( *1 )①認定
支
援
( *1 )(*1) IBM ISSがPCIDSS遵守のためのコンサルティングサービスの提供
(*1) IBM ISSがPCIDSS遵守のためのコンサルティングサービスの提供
③維持支援
( *1 )③維持支援
( *1 )③維持支援
( *1 )③維持支援
( *1 )④更新支援
( *1 )④更新支援
( *1 )認定取得・維持に向けた進め方
QSAによる認定対応(認定証発行)の流れ
PCIDSS遵守の最終的判断は、アクワイアラーおよび国際カードブランド事業者様が行います。© 2008 IBM Corporation
IBM Global Technology Services
プロフェッショナル
セキュリティサービス
メニューのご紹介
IBM ISSが提供する PCIDSS 関連サービス:
PCIDSS関連コンサルティングサービス
1. PCIDSS認定支援コンサルティング
2. PCIDSS指摘支援コンサルティング
3. PCIDSS維持支援・更新支援コンサルティング
脆弱性スキャン関連サービス
1. Quarterly Scanning(4半期毎の脆弱性スキャンサービス) (PCIDSS必須要件)
2. Annual Penetration Testing(年1回のペネトレーションテスト) *1
3. Annual Web Application Scanning(年1回のWebアプリケーションスキャン)
*1: PCIDSS要件(6.1/6.6/11.3)対応(推奨)
IBM ISSが提供する PCIDSS 関連サービス:
PCIDSS関連コンサルティングサービス
1.
PCIDSS認定支援コンサルティング
2.
PCIDSS指摘支援コンサルティング
3.
PCIDSS維持支援・更新支援コンサルティング
脆弱性スキャン関連サービス
1.
Quarterly Scanning(4半期毎の脆弱性スキャンサービス) (PCIDSS必須要件)
2.
Annual Penetration Testing(年1回のペネトレーションテスト) *1
3.
Annual Web Application Scanning(年1回のWebアプリケーションスキャン)
*1: PCIDSS要件(6.1/6.6/11.3)対応(推奨)
Professional Security Services
IBM Internet Security Systems
© 2008 IBM Corporation 121.認定支援
2.指摘支援
3.維持支援
4.更新支援
実施内容) ・全ての監査項目に対応しているかどうかをインタビュー・ドキュメントレビュー・現場確認・ 設定検査をPCI基準に準拠するための支援およびソリューションを提供します。 ・全てのPCI基準の項目について確認・支援します。 ・支援期間は、確認結果により1週間以上からで対応します。 実施内容) ・予備調査又は本調査で確認された問題点(指摘事項)に対する対応支援を実施します。 ・指摘事項に限定した支援を実施します。 ・支援期間は、指摘事項により1週間以上からで対応します。 実施内容) ・PCI基準が維持されていることをインタビューで確認します。 ・認定取得後の変更点に限定して確認および支援を実施します。 ・維持調査の結果からの指摘事項に限定して対応支援を実施します。 ・支援期間は、変更事項の支援内容により1週間以上からで対応します。 実施内容) ・全ての監査項目に対応しているかどうかをインタビュー・ドキュメントレビュー・現場確認・ 設定検査をPCI基準に準拠するための支援およびソリューションを提供します。 ・全てのPCI基準の項目について確認・支援します。 ・支援期間は、確認結果により1週間以上からで対応します。サービス名称
サービス概要
コンサルティングサービスの概要
オープニング
-業務内容の確認
-決済フローの確認
カード会員情報のライフサイクル(入力→伝送/保管→出力→破棄のプロセスおよび
内容)
インタビュー及びドキュメントレビュー
物理的対策の確認
-物理的な施設・居室の入退管理
-監視カメラの設置確認
-サーバおよびネットワーク機器の施錠及びラベリングの確認
-メディア(リムーバブルメディア、バックアップ媒体等)の保管確認
システム設定の確認
-サーバ及びネットワーク機器の設定の確認(ドキュメント及び設定画面による確認)
確認結果の取りまとめ
-オンサイトインタビューの結果の取りまとめの実施
-確認結果から問題点(指摘事項)に対する対応案(ソリューション等)を提案
対応策の支援
-問題点に対する対応策を実現するための支援を実施
クロージング
-対応を実施した結果をオンサイトにて報告(報告会の実施)
-本調査等に向けての最終確認
支援サービスの対応フロー
IBM Internet Security Systems
© 2008 IBM Corporation 14PCIDSSの適用範囲
適用範囲の考え方
-PCIDSSをセキュリティ基準として活用することで、
「カード会員データ」
を取り
扱うシステムにおける一定のセキュリティレベルを維持することが可能となり
ます。
-スコープを定義すること
カード会員データの入口から出口まで(入力から破棄まで)を確認する。
管理対象範囲(セグメント)を分割していない場合、直接カード会員データ
を保持・処理しなくても、確認の対象となります。
同一グループ(同一システム)のサーバーは、サンプリングしてのチェックも
有効となります。(負荷分散系、運用系、待機系などのグループを想定)
カード会員データを共有している/アクセス可能な業務委託先は全てス
コープ内となります。
契約上、データの所有者および責任を明確にすることが必要となります。
同時に、委託先でのセキュリティ対策を明確にし、実施することが必要と
なります。
PCIDSS要件に対する代替策
代替策の考え方
-直接的に要件を満たしていない場合でも、「本当に意味する要件」を満たす
ことが可能であれば、「代替策」として有効であること。
-同時に、リスク分析と業務要件の明文化は必須となること。
-最終的には、代替案となるかの判断は、QSAとの調整となること。
-代替策の判断材料
成約事項
-
本来の要件に対応できない理由(成約)を記述すること
目的
-
本来の対策の目的および代替策で達成できる目的を定義(特定)する
こと
リスクの特定
-
本来の対策の欠如によってもたらされる追加のリスクを列挙すること
代替策の定義
-
代替策の定義を説明し、オリジナルの対策の目的およびリスク増加が
あれば、代替策がどのように対応しているかを述べること
IBM Internet Security Systems
© 2008 IBM Corporation 16PCIDSSの要件(概要)
カード会員データの定義
N/A N/A NO PIN/PINブロック(暗証番号) N/A N/A NO CVC2/CVV2/CID/CAV2 N/A N/A NO 全磁気ストライプデータ 機密認証情報** NO YES* YES 有効期限* NO YES* YES サービスコード* NO YES* YES カード会員氏名* YES YES YES PAN (通常、16桁の番号)(Primary Account Number=カード番号) カード会員データ PCIDSS 要件3.4 保護 保管 データ要素 * カード会員名、サービスコード、有効期限の保護については、PANと共に保存されている場合、保護対象となります ** センシティブ認証データ:オーソリゼーション(承認)後の保管は(たとえ暗号化していても)NG
PCIDSS要件(概要)
セキュアなネットワーク構成と運用 - 要件1 ファイアウォール、ルータの設定 必要最小限の通信のみを実行するように、F/Wおよびルータの設定標準を策定、運用す ること 必要最小限の通信のみを実行するように、F/Wおよびルータの設定を実装、管理すること - 要件2 システム設定標準 必要最小限の機能のみを実行するように、システム設定標準を策定、運用すること 必要最小限の機能のみを実行するように、システム設定を実装、管理すること カード会員情報の保護 - 要件3 保管されたカード会員情報の保護 カード会員情報は、 - どの情報が必要か? - どのくらいの期間必要か? - どのように保管しているか? - どのように破棄するか? - 要件4 公衆ネットワークを伝送するカード会員情報の暗号化 本来、どうして公衆ネットワークを伝送する必要があるか? どうしても、公衆ネットワークを伝送しなくてはならない場合、 - 伝送するデータは暗号化されているか? - 暗号化されていないPANをメールで送付していないか?IBM Internet Security Systems
© 2008 IBM Corporation 18PCIDSS要件(概要)
脆弱性管理
-要件5 アンチウイルスソフトウェア
アンチウイルスソフトウェアが、クライアントおよびサーバーに導入されていること
(サーバーに対しては、特にWindows系サーバー)
-
(新)スパイウェア、アドウェアが検知、隔離、削除されること
-
パターンファイルが最新となるように管理されること
-
ログを生成、保管していること
-要件6 セキュアなシステム、アプリケーションの開発と運用
パッチ適用のプロセスが確立、運用されていること
-
最新脆弱性の把握と変更管理(テスト、申請、承認プロセス、戻し手順)
開発プロセスを通じて、セキュリティが考慮されていること
-
業界標準(OWASP、NIST、SANS)を元にした開発標準の策定と運用
米国の非営利団体であるOWASP (Open Web Application Security Project)
アメリカ合衆国の国立標準技術研究所(National Institute of Standards and Technology, NIST) The Trusted Source for Computer Security Traning, Certification and Reserch, SANS
PCIDSS要件(概要)
強固なアクセス制御の実装
-要件7 NeedToKnowベースのアクセス制御
カード会員情報に対する最小限のアクセス
ブラックリストではなくホワイトリストによるアクセス制御
-要件8 アカウント管理
共有IDを使用しない(ユニークなIDの使用)
リモートアクセスに対しては2要素認証
システムでのパスワード条件を強制
伝送時のパスワードの暗号化(Telnet、FTPは×)
-要件9 物理的アクセス制御
監視カメラの設置および録画データの保有期限
誰でもアクセスが可能な場所のネットワークジャック設置の禁止
従業員および訪問者を識別できるカードの使用
入退館の履歴取得
紙およびバックアップ媒体の安全な場所への保管および破棄
IBM Internet Security Systems
© 2008 IBM Corporation 20PCIDSS要件(概要)
ネットワークの定期的な監視とテスト
-要件10 すべてのネットワーク資源およびカード会員情報へのアクセスの追跡と監視
特にカード会員情報環境において、「誰が」「いつ」「何を」したのか記録、レビューし、それら の完全性を保護する システム全体で時刻を同期する ログはオンラインで3ヶ月以上、オフラインで1年以上保管する -要件11 システム、プロセスの定期的なテスト
4半期に1回、無線アナライザによる無線機器の検知 ネットワーク脆弱性スキャン - 4半期に1回およびシステム上大きな変更があった場合に実施する 外部スキャン・・・ASVが実施すること 内部スキャン ペネトレーションテスト - 1年に1回、およびシステム増に大きな変更があった場合に実施する ネットワークレイアおよびアプリケーションレイア IDS(不正アクセス検知システム)の導入 - ネットワーク型IDS、ホスト型IDS、IPSを含む - ログの取得および警告の実施 - シグネチャ/エンジンの最新化プロセスPCIDSS要件(概要)
情報セキュリティポリシーの運用
-要件12 情報セキュリティポリシーの運用
リスク分析、情報セキュリティポリシーの運用(見直し)
要件に準拠した日々の運用手順の策定と運用
セキュリティ教育の実施
インシデントレスポンス計画
-
業務継続計画(BCP)
-
データバックアッププロセス
-
役割と責任の明確化
-
連絡先の管理
-
最低1年に1回、計画をテストすること
外部委託先との契約
-
機密保持契約(NDA)
-
サービスレベル合意書(SLA)
プロセッサおよびサービスプロバイダの管理
-
接続されたエンティティのリスト化
-
接続先が安全である(PCI-DSS準拠である)ことの確認および契約
IBM Internet Security Systems
© 2008 IBM Corporation 22
年4回の実施
対象システムの脆弱性の確認
-インターネット環境から対象システムに
対するスキャンを実施
-確認された脆弱性の報告および改善策
の提案
-内部セグメントの脆弱性スキャンの実施
-無線機器の検知
外部スキャンは、PCIDSSから認定された
Approved Scanning Vendors (ASVs) と
して実施
事前打合せ 診断範囲確認 事前打合せ 診断範囲確認 計画策定スキャン スキャン 計画策定 スキャン 実施・解析 スキャン 実施・解析 レポート 提示 レポート 提示 報告会 実施 報告会 実施 脆弱性スキャン関連サービス1.Quarterly Scanningの実施
~4半期毎の脆弱性スキャンサービス<PCIDSS必須要件> 改修・改善 実施 改修・改善 実施
年1回の実施
対象システムの侵入テストの実施
-インターネット環境からの内部セグメントへの侵入可否のテスト
-確認された脆弱性の報告および改善策の提案
PCIDSS要件に対応
-PCIDSS要件11.3: ネットワークインフラとアプリケーションに対する侵入テス
トを少なくとも一年に1回、さらにインフラまたはアプリケーションの大きなアッ
プグレードまたは変更の後に実施する。この侵入テストは以下を含む。
11.3.1 ネットワーク・レイヤー・ペネトレーション・テスト
11.3.2 アプリケーション・レイヤー・ペネトレーション・テスト
脆弱性スキャン関連サービス2.Annual Penetration Testingの実施
~年1回のペネトレーションテスト 事前打合せ 診断範囲確認 事前打合せ 診断範囲確認 計画策定スキャン スキャン 計画策定 スキャン 実施・解析 スキャン 実施・解析 レポート 提示 レポート 提示 報告会 実施 報告会 実施 改修・改善 実施 改修・改善 実施IBM Internet Security Systems
© 2008 IBM Corporation 24 年1回の実施 対象システムのWebサーバ・アプリケーションにおける脆弱性の確認 - インターネット環境からのWebサーバ・アプリケーションにおける脆弱性のスキャンを実施 - カード会員データの入手等の可否の確認 - 確認された脆弱性の報告および改善策の提案 PCIDSS要件に対応 - PCIDSS要件6.6: すべてのWebに面したアプリケーションは、以下のどちらかの手法を適用する ことで、既知の攻撃から防御されなければならない。 カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に 依頼して、一般的な脆弱性について見直しをしてもらう。 Webに面したアプリケーションの手前に、アプリケーション・レイヤー・ファイアウォールを実装す る。 注)この手法は、2008年6月30日まではベストプラクティスの一つであるが、その後は必須要件 とする。 脆弱性スキャン関連サービス3.Annual Web Application Scanning の実施
~年1回のWebアプリケーションスキャン 事前打合せ 診断範囲確認 事前打合せ 診断範囲確認 計画策定スキャン スキャン 計画策定 スキャン 実施・解析 スキャン 実施・解析 レポート 提示 レポート 提示 報告会 実施 報告会 実施 改修・改善 実施 改修・改善 実施IBM Internet Security Systems
© 2008 IBM Corporation 26 情報ネットワーク上で、不正アクセスの検知・防御、監視や脆弱性監 査等のネットワークセキュリティを実現する総合セキュリティ・アプライア ンスと、セキュリティ管理の運用ワークロードを低減するソリューション とサービス。 情報ネットワーク上で、不正アクセスの検知・防御、監視や脆弱性監 査等のネットワークセキュリティを実現する総合セキュリティ・アプライア ンスと、セキュリティ管理の運用ワークロードを低減するソリューション とサービス。 Hard Ware 不正侵入防御アプライアンス- Proventia Network IPS Gシリーズ、GXシリーズ 統合セキュリティアプライアンス
- Proventia Network MFS (MXシリーズ
■アンチスパム電子メールセキュリティアプライアンス
- Proventia Network Mail Security System ■ネットワークアノーマリ検出アプライアンス
- Proventia Network ADS 脆弱性監査・管理システム
- Proventia Network Enterprise Scanner
Soft Ware
統合セキュリティ管理システム - Proventia Management SiteProtector デスクトップ・プロテクション
- Proventia Desktop Endpoint Security 脆弱性検査・監査ツール
- Internet Scanner サーバ・プロテクション
- Proventia Server for Linux - RealSecure Server Sensor
Service
監視サービス - MSS
プロフェッショナル・サービス
PCIDSSの基準に対するソリューションマッピング
・IBM Products ・IBM Products ・IBM Products ・IBM Products ・IBM Products ・IBM Products ・IBM Products ・IBM Products その他 ・VMS ・VMS ・MFS/VMS ISS MSS ・Proventia IPS/MFS/MSP/ES/ADS ・Proventia Server/MSP/ADS ・Proventia ADS/MSP ・Proventia IPS/MFS/MSP/ES/ADS ・Proventia Desktop/Server/Mail Security ・Proventia IPS/MFS/MSP/ADS ISS Products ・コンサルティングサービス ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ・コンサルティングサービス ・脆弱性スキャン ISS PSS 12. 情報セキュリティ・ポリシーの整備 11. 10. 定期的なネットワークの監視およびテスト 9. 8. 7. 強固なアクセス制御手法の導入 6. 5. 脆弱性を管理するプログラムの整備 4. 3. カード会員情報の保護 2. 1. 安全なネットワークの構築・維持 情報セキュリティに関するポリシーを整備すること セキュリティシステムおよび管理手順を定期的にテス トすること ネットワーク資源およびカード会員情報に対するす べてのアクセスを追跡し、監視すること カード会員情報にアクセスする際、物理的なアクセ スを制限すること コンピュータにアクセスする際、利用者毎に識別IDを 割り当てること データアクセスを業務上の必要範囲内に制限する こと 安全性の高いシステムとアプリケーションを開発し、 保守すること アンチウイルス・ソフトウェアを利用し、定期的にソフ トを更新すること 公衆ネットワーク上でカード会員情報およびセンシ ティブ情報を送信する場合、暗号化すること 保存されたデータを安全に保護すること システムまたはソフトウェアの出荷時の初期設定値 (セキュリティに関する設定値)をそのまま利用しない こと データを保護するためにファイアウォールを導入し、 最適な設定を維持することIBM Internet Security Systems
© 2008 IBM Corporation
28
IBM’s Offerings Mapped to 6 Main Themes of PCI
A cross-brand and comprehensive approach
Build & Maintain a Secure Network Protect Cardholder Data Maintain Vulnerability Mgmt Program ImplementStrong Access Control Measures
Monitor & Test Networks
Maintain Information Security
Policy
Tivoli Identity Manager (TIM) Global Services: PCI ent security model
PCI Ref Architecture
Tivoli Access Manager (TAM) IBM Managed Security Services
GBS Global Services: PCI Remediation IBM PCI Assessments IBM Policy Development IBM Emergency Response
Service Integrated Cryptographic
Server Facility zOS Encryption Facility Data Encryption for IMS &
DB2 Databases
IBM Proventia Products IBM PCI Assessments IBM Penetration Testing IBM Vulnerability Management
Service
Global Services: PCI Workshop Consulting
Consul InSight & zSecure
Tivoli Security Operations Manager
IBM Enterprise Scanner IBM Proventia Server IBM Vulnerability Management
Service
IBM Proventia Desktop Endpoint Security
IBM Total Store Solution
Consul InSight
Consul zSecure Tivoli Storage Manager
Consul zSecure
IBM Proventia Network Intrusion Prevention System (IPS) IBM Multifunction Security
IBM PCI Assessments IBM Policy Development
DMZ 内部セグメント
スコープ(適用範囲)の定義および対策例
Internet DB暗号化 製品 DB暗号化 製品 IPS/IDS 不正アクセス監視 IPS/IDS 不正アクセス監視 ●ASVの役割 ・脆弱性スキャン (年4回) ○推奨要件 ・ペネトレーション テスト(年1回) ・Webアプリケー ションテスト (年1回) Proventia Network Enterprise Scanner Proventia Network MFS Proventia Network IPS Proventia Network ADS Proventia Mail Security Proventia Management SP ファイア ウォール ファイア ウォール ウォールファイアウォールファイア IPS/IDS 不正アクセス監視 IPS/IDS 不正アクセス監視 情報持出し制限製品 情報持出し制限製品 Proventia Network Enterprise Scanner 脆弱性スキャン(年4回) 脆弱性スキャン(年4回) ADS 異常アクセス監視 ADS 異常アクセス監視PCIDSSで求められる運用およびセキュリティ対策
Proventia Server Proventia Server Proventia Server Proventia Server Proventia Server Proventia Server Proventia Desktop Proventia Desktop© 2008 IBM Corporation
IBM Global Technology Services
PCIDSSに係る
USでの動向等
IBM PCI Differentiators
IBM is the only company to provide hardware and software products & services for each of the 12 PCI requirements – IBM has Consulting Services capability which can be combined with cross-brand Software and Hardware to address all requirements for PCI compliance This expertise will guide the client in re-positioning existing processes and technologies and adding new when needed .
IBM ISS is “Globally Certified” to perform PCI services
- Qualified Security Assessor (QSA) - Approved Scanning Vendor (ASV)
- Qualified Payment Application Security Company (QPASC) - Qualified Incident Response Company (QIRC)
IT Security- Industry and Compliance
Expertise-- Deep expertise of every aspect of IT Security
- Understanding of Client’s business objectives/processes and how
IT Security relates to it
- Incident Response
- Can assist organizations with security incidents involving payment card data - Able to provide incident response planning to merchants and service
IBM Internet Security Systems
© 2008 IBM Corporation
32
IBM Global Services - PCI Services Roadmap
Assess Risk Health Check
Assessments
–PCI Health Check –Process –System –Network –Internet –Application –Wireless IBM-ISS Ethical Hacking
IBM-ISS PCI Audit
IBM Rational AppScan
Architecture & Design Enterprise Architecture Internet Architecture Secure Solution Design PCI Architecture Remediation design PCI Business Strategy Development PCI reference architecture
Select and Implement solutions PCI Application Integration Product Implementation Tivoli Services Security Awareness Program Product compensating controls
Tivoli access and identity management solutions
Tivoli Security
Information and Event management
Solutions
IBM-ISS Proventia product suite
IBM Rational AppScan
Planning Workshops –Privacy –PCI planning –Wireless –PCI Regulatory Data modeling Security/Privacy Strategy and Implementation PCI Planning and Design PCI Development PCI Policy Definition PCI Standards Definition Process Development Metrics Development Management
Managed Security Services
–Intrusion Detection –Firewall Management –Incident Management –Security Management
Standards / Controls
–Physical & Logical Security –Ongoing PCI Compliance
Checking – PCI guarantee
–Security Integrity and
Advisories
–Virus Services –Network Security –Security Education –PCI scanning
•IBM ISS Products & Services •Tivoli Security Compliance Manager
•IBM Proventia Network Anomaly Detection System (ADS)
•IBM Global Services •IBM Rational AppScan
•IBM Tivoli Compliance Insight Manager •IBM Tivoli Security Operations Manager •IBM Proventia Server IPS
•IBM Global Services
•IBM Digital Video Surveillance •IBM Biometric Access Control •IBM Global Services
•IBM Tivoli Identity Manager
•IBM Tivoli Federated Identity Manager •IBM Global Services
•IBM Tivoli Access Manager
•IBM Tivoli zSecure Admin •IBM Proventia Desktop Endpoint Security •IBM Global Services
•Tivoli Console Insight Manager
•IBM Proventia Server Intrusion Prevention System (IPS)
•IBM Proventia Network (IPS) •IBM Global Services
•IBM Tivoli Access Manager
•IBM Proventia Network Multi-Function Security
•(MFS) –IBM Global Services
•IBM Storage Manager •IBM Proventia Server IPS •IBM PKI Services •IBM Global Services
•IBM Data Encryption of IMS and DB2 •IBM Websphere
•Proventia Network Intrusion Prevention System •DataPower XML Security Gateway
Meeting Requirements of the Digital Dozen
The products outlined in this chart highlight IBM capabilities. Please call your local IBM executive for a full listing of all products and services that map to PCI requirements
IBM P ROFE SSION AL SERVI CES IBM MANAGE SE RVI CE
•IBM Software Development Platform •IBM Tivoli CCMBD
•IBM Global Services
IBM SOFTW ARE SO LU TIO NS WAR E
Only IBM Has Solutions to
Address All 12 PCI
Requirements
IBM Internet Security Systems
© 2008 IBM Corporation 34 対象業界・業種・企業: クレジットカード情報等を取り扱うサービスプロバイダA社 ■顧客概要: 顧客企業は、主要コンシューマ製品向けの販売およびマーケティング支援サービスを提供している サービスプロバイダになります。 主要なコンシューマブランド企業のために、マーケティング、直接注文、製品在庫管理、販売、配送 等のサービス提供を実施しています。主要な取引過程において、クレジットカード情報を取り扱うこと が必要となります。 ■案件概要: 顧客企業のサービス提供上、クレジットカード情報は必須であり、適切に管理しなければならない データです。 1ヶ月毎のクレジットカード情報処理件数は、25万件以上を処理しています。(自己問診(任意)、脆 弱性スキャン(必須)、訪問調査(必須)) 企業のビジネスにおける信頼性および安全性を重視するためにPCIDSS遵守が必要と判断されまし た。 ■選択したソリューション: ・主な提供サービスは、認定支援コンサルティングおよび脆弱性スキャン関連サービスの採用 ・PCIDSS対応製品の導入- IBM Proventia® Network Anomaly Detection System (ADS) - IBM RealSecure® Server Sensor
- IBM Proventia® Management SiteProtector™
Professional Security Services
米国における対応事例①
対象業界・業種・企業: クレジットカード情報等を取り扱う美容関連商品小売業者B社 ■顧客概要: 顧客企業は、主要な美容関連商品を取り扱う業界におけるリーディングカンパニーになります。 幅広い商品展開により、世界14カ国において500店舗以上を展開しています。 ■案件概要: 顧客企業のサービス提供上、クレジットカード情報は必須であり、適切に管理しなければならない データです。 加盟店として、クレジットカード情報の年間取扱件数が600万件以上であるレベル1加盟店となりま した。(自己問診(任意)、脆弱性スキャン(必須)、訪問調査(必須)) 企業のビジネスにおける信頼性および安全性を重視するためにPCIDSS遵守が必要と判断されまし た。 ■選択したソリューション: ・主な提供サービスは、認定支援コンサルティングおよび脆弱性スキャン関連サービスの採用 ・PCIDSS対応製品の導入
- IBM Proventia® Network Multi-Function Security appliances - IBM Proventia Network Intrusion Prevention System appliances - IBM Proventia® Network Anomaly Detection System (ADS) - IBM RealSecure® Server Sensor
- IBM Proventia® Management SiteProtector™
Professional Security Services
米国における対応事例②
IBM Internet Security Systems
© 2008 IBM Corporation 36米国及び日本における動向
米国の動向(補足) - 法令化の動き マサチューセッツ州、テキサス州、カルフォルニア州、コネチカット州、イリノイ州、ミネソタ州 他ベンダーの動向 - NTTデータ・セキュリティ株式会社 http://www.nttdata-sec.co.jp/column/security20061101.html http://japan.zdnet.com/release/story/0,3800075480,00016512p,00.htm http://www.nttdata-sec.co.jp/service/0302/index.html - ネットワンシステムズ株式会社 http://www.netone.co.jp/solution/pcidss/vol1/index.html - 住商情報システム株式会社 http://www.scs.co.jp/event/2007/07-13_pci/index.html - マクニカ http://www.macnica.net/pcidss/ - シトリックス・システムズ・ジャパン株式会社 http://www.citrix.co.jp/products/caf.html?gclid=CLTbrJ6A648CFRwlegodl16TMg その他の動向 - “国内クレジットカード会社初”PCIDSS完全準拠認定証発行 (三井住友カード株式会社 ) http://www.nttdata-sec.co.jp/news/20071106.htmlGX4004
IBM ISSが提供する製品(参考情報)
プロテクション製品
統合管理コンソール
ネットワーク異常検出
脆弱性検査ツール
MX1004 不正侵入防御アプライアンスIBM Proventia Network IPS (Gシリーズ、GXシリーズ)
統合セキュリティアプライアンス
IBM Proventia Network MFS (MXシリーズ) サーバ・プロテクション
IBM Proventia Server for Linux IBM RealSecure Server Sensor デスクトップ・プロテクション
IBM Proventia Desktop Endpoint Security ネットワークアノーマリ検出アプライアンス
IBM Proventia Network ADS 脆弱性監査・管理システム
IBM Proventia Network Enterprise Scanner IBM Internet Scanner
PCIDSS
要件1
要件5
要件6
要件7
要件10
要件11
該当製品
PCIDSS
要件1
要件5
要件6
要件7
要件10
要件11
該当製品
統合セキュリティ管理システムIBM Internet Security Systems
© 2008 IBM Corporation
38
©Copyright IBM Japan, Ltd. 2008 日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ ん。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。 Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標。
