目次 PCIDSSの準拠の12の要件 ~ 認定取得 維持の進め方 プロフェッショナルセキュリティサービスメニューのご紹介 IBMのソリューション USでの動向 参考資料 2

Transcription

1 IBM Global Technology Services IBM ISS PCI データセキュリティー評価支援サービス説明資料 日本アイ ビー エム株式会社 ISS 事業部セールス & オペレーションズプロフェッショナルサービス

2 目次 PCIDSSの準拠の12の要件 ~ 認定取得 維持の進め方 プロフェッショナルセキュリティサービスメニューのご紹介 IBMのソリューション USでの動向 参考資料 2

3 PCIDSS 12 の要件 カード会員情報を効果的に守るためのベストプラクティス 安全なネットワークの構築 維持データを保護するためにファイアウォールを導入し 最適な設定を維持することシステムまたはソフトウェアの出荷時の初期設定値 ( セキュリティに関する設定値 ) をそのまま利用しないことカード会員情報の保護保存されたデータを安全に保護すること公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合 暗号化すること脆弱性を管理するプログラムの整備アンチウイルス ソフトウェアを利用し 定期的にソフトを更新すること安全性の高いシステムとアプリケーションを開発し 保守すること強固なアクセス制御手法の導入データアクセスを業務上の必要範囲内に制限することコンピュータにアクセスする際 利用者毎に識別 IDを割り当てることカード会員情報にアクセスする際 物理的なアクセスを制限すること定期的なネットワークの監視およびテストネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し 監視することセキュリティシステムおよび管理手順を定期的にテストすること情報セキュリティ ポリシーの整備 PCI DSS Ver. 1.1 情報セキュリティに関するポリシーを整備すること 3

4 事業者への訪問調査の実施4 IBM Internet Security Systems PCIDSS を取り巻く関係図 ( 弊社の位置付け ) 施国際ペイメントカード ブランド 5 社 American Express 出資 参画 PCISSC(PCI Security Standards Council LLC) Discover 国際ペイメントブランド 5 社が共同で運営 JCB(JCBData する PCIDSS の推進協議団体 Security Program) MasterCard(SDP) セキュリティ基準の策定 認定実施事業者への脆弱性スキャンの実施 VISA(AIS) AIS) PCIDSS(Payment Card バリデーション証明書提出 Industry Data Security Standard) アクワイアラー ( クレジット業界におけるグロー加盟店契約会社 ) バルセキュリティ基準遵守の普及促進 検証結果報告 事業者への脆弱性スキャンの実施 コンサルティングサービス 遵守対象事業者 加盟店様 サービスプロバイダ様 決済代行事業者様 遵守推奨遵守推奨 セキュリティ評価機関 (ASV( *2) IBM ISS( ( 弊社 ) NTT データ セキュリティ 三和コムテック PCIDSS 認定機関 セキュリティ評価機関 (QSA *1) NTT データ セキュリティ BSI マネジメントシステムジャパン NOS ( 米国 ControlCase) HIll&AssociatesJapan 注 ) 略称解説 *1 QSA: 専門技術者 (QSAP) による監査 ( 訪問調査 ) を提供し PCIDSSの遵守状況を確認し 判定することができるPCISSCによる認定企業 *2 ASV:PCIDSSで定められるセキュリティ対策が実現できているか 診断により確認し 判定することができるPCISSCによる認定企業

5 PCIDSSを遵守いただきたい企業とは 遵守対象企業 - カード会員情報を格納 処理 または伝送するすべてのメンバー機関およびサービスプロバイダ - 対象業種 加盟店様 : インターネットのECサイト 百貨店 スーパー 家電量販店 飲食店 ガソリンスタンド ホテル 高速道路 鉄道 航空 他 サービスプロバイダ様 : カードネットワーク 決済代行サービス 三井住友 VISA(NTT データ セキュリティ認定 ) 楽天 (BSI ジャパン認定 ) PCIDSS に準拠すべき事業者様は計画的な対応が必要となります 5

6 PCIDSS 準拠コンサルティングサービス利用のポイント PCIDSSにおけるセキュリティ要件は クレジットカード情報 カード会員情報を取り扱う スコープ に限定された 最低限最低限 の要件であること PCIDSS 準拠におけるコンサルティング支援サービスのメリット - PCIDSS 要件の準拠状況のチェックおよび改善策の提案 - 要件準拠に加え クレジットカード情報 カード会員情報のセキュリティ確保を統合的に実現するために必要な最適な対応策のご提案 マネジメントレベルにおけるセキュリティの方針 ビジョンの確認に利用 技術的レベルにおけるセキュリティ対策の統合化に利用 セキュリティ運用管理面における運用コストの見直し 削減のために利用 6

7 PCIDSS 準拠のためにすべきこととは VISA/AP 様における DSS 準拠方針 加盟店 対象事業者 サービス プロバイダ 大規模加盟店 (L1) インターネット加盟店 (L2/3) その他加盟店 年間取引件数 年 12 万件以下 年 12 万件 ~ 60 万件 年 60 万件以上 年 600 万件以上 年 2 万件以上 条件なし 自己問診 必須 必須 任意 任意 必須 推奨 脆弱性スキャン 推奨 必須 必須 必須 必須 推奨 訪問調査 推奨 推奨 必須 必須 任意 任意 PCI Self assessment 自己問診 Web サイトで実施 質問 77 項目 全問正解が必須 カード会社様サイト等を利用 Vulnerability Scan 脆弱性スキャン インターネットから加盟店等の公開サイトにスキャン検査 年 4 回実施 危険度中以下が必須 (5 段階中 2 以下 ) ASV サービス提供 Onsite Review 訪問調査 監査人が加盟店等のサイトに訪問して監査 約 200 項目の詳細項目をインタビュー等で確認 QSA サービス提供 弊社支援サービス 7

8 PCIDSS 準拠のためにすべきこととは JCB 様が推奨する DSS 準拠方法の目安 加盟店様 - インターネットに接続できる環境で売上データ / 会員データのお取り扱いがある加盟店様 JCB カードの年間お取り扱い件数が 万件以上の場合 : 脆弱性スキャンテスト ( 四半期毎 ) 訪問調査 ( 年次 ) 万件未満の場合 : 自己診断 脆弱性スキャンテスト ( 四半期毎 ) - インターネットに接続できる環境で売上データ / 会員データのお取り扱いがない加盟店様 JCB カードの年間お取り扱い件数が 万件以上の場合 : 訪問調査 ( 年次 ) 万件未満の場合 : 自己診断 決済代行事業者様 - インターネットに接続できる環境で売上データ / 会員データのお取り扱いがある場合 : 脆弱性スキャンテスト ( 四半期毎 ) 訪問調査 ( 年次 ) - インターネットに接続できる環境で売上データ / 会員データのお取り扱いがない場合 : 訪問調査 ( 年次 ) 8

9 備調査(オプション)9 予IBM Internet Security Systems 1 年目 2 年目 (5 年目 ) (*1 )認定取得 維持に向けた進め方 3 年目 (6 年目 ) QSAによる認定対応 ( 認定証発行 ) の流れ PCIDSS 遵守の最終的判断は アクワイアラーおよび国際カードブランド事業者様が行います 初維維回持持指摘事項なし 1認調認定査指摘定(認維334事項あり支定持維維維更2援調指再証持持持新査摘調発支支調支((支査行援移援査援*1 )(援)(行(*1 )(調*1 )*1 )*1 査))4 年目 (7 年目 ) (*1 )(*1) IBM ISS が PCIDSS 遵守のためのコンサルティングサービスの提供 (*1) IBM ISS が PCIDSS 遵守のためのコンサルティングサービスの提供 3 認定(認定証発行)1 年目更新調査

10 IBM Global Technology Services プロフェッショナルセキュリティサービスメニューのご紹介

11 Professional Security Services IBM ISS Approach to PCI Compliance IBM ISS が提供する PCIDSS 関連サービス : PCIDSS 関連コンサルティンク サーヒ ス 1. PCIDSS 認定支援コンサルティンク 2. PCIDSS 指摘支援コンサルティンク 3. PCIDSS 維持支援 更新支援コンサルティンク 脆弱性スキャン関連サーヒ ス 1. Quarterly Scanning(4 半期毎の脆弱性スキャンサービス ) (PCIDSS 必須要件 ) 2. Annual Penetration Testing( 年 1 回のペネトレーションテスト ) *1 3. Annual Web Application Scanning( 年 1 回の Web アプリケーションスキャン ) *1: PCIDSS 要件 (6.1/6.6/11.3) 対応 ( 推奨 ) 11

12 コンサルティングサービスの概要 サービス名称 1. 認定支援 2. 指摘支援 3. 維持支援 4. 更新支援 サービス概要 実施内容 ) 全ての監査項目に対応しているかどうかをインタビュー ドキュメントレビュー 現場確認 設定検査を PCI 基準に準拠するための支援およびソリューションを提供します 全ての PCI 基準の項目について確認 支援します 支援期間は 確認結果により 1 週間以上からで対応します 実施内容 ) 予備調査又は本調査で確認された問題点 ( 指摘事項 ) に対する対応支援を実施します 指摘事項に限定した支援を実施します 支援期間は 指摘事項により 1 週間以上からで対応します 実施内容 ) PCI 基準が維持されていることをインタビューで確認します 認定取得後の変更点に限定して確認および支援を実施します 維持調査の結果からの指摘事項に限定して対応支援を実施します 支援期間は 変更事項の支援内容により 1 週間以上からで対応します 実施内容 ) 全ての監査項目に対応しているかどうかをインタビュー ドキュメントレビュー 現場確認 設定検査を PCI 基準に準拠するための支援およびソリューションを提供します 全ての PCI 基準の項目について確認 支援します 支援期間は 確認結果により 1 週間以上からで対応します 12

13 支援サービスの対応フロー オープニング - 業務内容の確認 - 決済フローの確認 カード会員情報のライフサイクル ( 入力 伝送 / 保管 出力 破棄のプロセスおよび内容 ) インタビュー及びドキュメントレビュー 物理的対策の確認 - 物理的な施設 居室の入退管理 - 監視カメラの設置確認 - サーバおよびネットワーク機器の施錠及びラベリングの確認 - メディア ( リムーバブルメディア バックアップ媒体等 ) の保管確認 システム設定の確認 - サーバ及びネットワーク機器の設定の確認 ( ドキュメント及び設定画面による確認 ) 確認結果の取りまとめ - オンサイトインタビューの結果の取りまとめの実施 - 確認結果から問題点 ( 指摘事項 ) に対する対応案 ( ソリューション等 ) を提案 対応策の支援 - 問題点に対する対応策を実現するための支援を実施 クロージング - 対応を実施した結果をオンサイトにて報告 ( 報告会の実施 ) - 本調査等に向けての最終確認 13

14 PCIDSS の適用範囲 適用範囲の考え方 - PCIDSS をセキュリティ基準として活用することで カード会員データ を取り扱うシステムにおける一定のセキュリティレベルを維持することが可能となります - スコープを定義すること カード会員データの入口から出口まで ( 入力から破棄まで ) を確認する 管理対象範囲 ( セグメント ) を分割していない場合 直接カード会員データを保持 処理しなくても 確認の対象となります 同一グループ ( 同一システム ) のサーバーは サンプリングしてのチェックも有効となります ( 負荷分散系 運用系 待機系などのグループを想定 ) カード会員データを共有している / アクセス可能な業務委託先は全てスコープ内となります 契約上 データの所有者および責任を明確にすることが必要となります 同時に 委託先でのセキュリティ対策を明確にし 実施することが必要となります 14

15 PCIDSS 要件に対する代替策 代替策の考え方 - 直接的に要件を満たしていない場合でも 本当に意味する要件 を満たすことが可能であれば 代替策 として有効であること - 同時に リスク分析と業務要件の明文化は必須となること - 最終的には 代替案となるかの判断は QSA との調整となること - 代替策の判断材料 成約事項 - 本来の要件に対応できない理由 ( 成約 ) を記述すること 目的 - 本来の対策の目的および代替策で達成できる目的を定義 ( 特定 ) すること リスクの特定 - 本来の対策の欠如によってもたらされる追加のリスクを列挙すること 代替策の定義 - 代替策の定義を説明し オリジナルの対策の目的およびリスク増加があれば 代替策がどのように対応しているかを述べること 15

16 PCIDSS の要件 ( 概要 ) カード会員データの定義 データ要素 保管 保護 PCIDSS 要件 3.4 カード会員データ PAN ( 通常 16 桁の番号 ) YES YES YES (Primary Account Number= カード番号 ) カード会員氏名 * YES YES* NO サービスコード * YES YES* NO 有効期限 * YES YES* NO 機密認証情報 ** 全磁気ストライプデータ NO N/A N/A CVC2/CVV2/CID/CAV2 NO N/A N/A PIN/PIN ブロック ( 暗証番号 ) NO N/A N/A * カード会員名 サービスコード 有効期限の保護については PAN と共に保存されている場合 保護対象となります ** センシティブ認証データ : オーソリゼーション ( 承認 ) 後の保管は ( たとえ暗号化していても )NG 16

17 PCIDSS 要件 ( 概要 ) セキュアなネットワーク構成と運用 - 要件 1 ファイアウォール ルータの設定 必要最小限の通信のみを実行するように F/W およびルータの設定標準を策定 運用すること 必要最小限の通信のみを実行するように F/W およびルータの設定を実装 管理すること - 要件 2 システム設定標準 必要最小限の機能のみを実行するように システム設定標準を策定 運用すること 必要最小限の機能のみを実行するように システム設定を実装 管理すること カード会員情報の保護 - 要件 3 保管されたカード会員情報の保護 カード会員情報は - どの情報が必要か? - どのくらいの期間必要か? - どのように保管しているか? - どのように破棄するか? - 要件 4 公衆ネットワークを伝送するカード会員情報の暗号化 本来 どうして公衆ネットワークを伝送する必要があるか? どうしても 公衆ネットワークを伝送しなくてはならない場合 - 伝送するデータは暗号化されているか? - 暗号化されていないPANをメールで送付していないか? 17

18 PCIDSS 要件 ( 概要 ) 脆弱性管理 - 要件 5 アンチウイルスソフトウェア アンチウイルスソフトウェアが クライアントおよびサーバーに導入されていること ( サーバーに対しては 特に Windows 系サーバー ) - ( 新 ) スパイウェア アト ウェアが検知 隔離 削除されること - パターンファイルが最新となるように管理されること - ログを生成 保管していること - 要件 6 セキュアなシステム アプリケーションの開発と運用 パッチ適用のプロセスが確立 運用されていること - 最新脆弱性の把握と変更管理 ( テスト 申請 承認プロセス 戻し手順 ) 開発プロセスを通じて セキュリティが考慮されていること - 業界標準 (OWASP NIST SANS) を元にした開発標準の策定と運用 米国の非営利団体である OWASP (Open Web Application Security Project) アメリカ合衆国の国立標準技術研究所 (National Institute of Standards and Technology, NIST) The Trusted Source for Computer Security Traning, Certification and Reserch, SANS - 試験環境と商用環境の分離 カード情報流用の禁止 18

19 PCIDSS 要件 ( 概要 ) 強固なアクセス制御の実装 - 要件 7 NeedToKnow ベースのアクセス制御 カード会員情報に対する最小限のアクセス ブラックリストではなくホワイトリストによるアクセス制御 - 要件 8 アカウント管理 共有 ID を使用しない ( ユニークな ID の使用 ) リモートアクセスに対しては 2 要素認証 システムでのパスワード条件を強制 伝送時のパスワードの暗号化 (Telnet FTP は ) - 要件 9 物理的アクセス制御 監視カメラの設置および録画データの保有期限 誰でもアクセスが可能な場所のネットワークジャック設置の禁止 従業員および訪問者を識別できるカードの使用 入退館の履歴取得 紙およびバックアップ媒体の安全な場所への保管および破棄 19

20 PCIDSS 要件 ( 概要 ) ネットワークの定期的な監視とテスト - 要件 10 すべてのネットワーク資源およびカード会員情報へのアクセスの追跡と監視 特にカード会員情報環境において 誰が いつ 何を したのか記録 レビューし それらの完全性を保護する システム全体で時刻を同期する ログはオンラインで 3 ヶ月以上 オフラインで 1 年以上保管する - 要件 11 システム プロセスの定期的なテスト 4 半期に 1 回 無線アナライザによる無線機器の検知 ネットワーク脆弱性スキャン - 4 半期に 1 回およびシステム上大きな変更があった場合に実施する 外部スキャン ASV が実施すること 内部スキャン ペネトレーションテスト - 1 年に 1 回 およびシステム増に大きな変更があった場合に実施する ネットワークレイアおよびアプリケーションレイア IDS( 不正アクセス検知システム ) の導入 - ネットワーク型 IDS ホスト型 IDS IPS を含む - ログの取得および警告の実施 - シグネチャ / エンジンの最新化プロセス 20

21 PCIDSS 要件 ( 概要 ) 情報セキュリティポリシーの運用 - 要件 12 情報セキュリティポリシーの運用 リスク分析 情報セキュリティポリシーの運用 ( 見直し ) 要件に準拠した日々の運用手順の策定と運用 セキュリティ教育の実施 インシデントレスポンス計画 - 業務継続計画 (BCP) - データバックアッププロセス - 役割と責任の明確化 - 連絡先の管理 - 最低 1 年に 1 回 計画をテストすること 外部委託先との契約 - 機密保持契約 (NDA) - サービスレベル合意書 (SLA) プロセッサおよびサービスプロバイダの管理 - 接続されたエンティティのリスト化 - 接続先が安全である (PCI-DSS 準拠である ) ことの確認および契約 21

22 脆弱性スキャン関連サーヒ ス 1.Quarterly Scanning の実施 ~4 半期毎の脆弱性スキャンサービス <PCIDSS 必須要件 > 事前打合せ診断範囲確認 スキャン計画策定 スキャン実施 解析 レポート提示 報告会実施 改修 改善実施 年 4 回の実施 対象システムの脆弱性の確認 - インターネット環境から対象システムに対するスキャンを実施 - 確認された脆弱性の報告および改善策の提案 - 内部セグメントの脆弱性スキャンの実施 - 無線機器の検知 外部スキャンは PCIDSSから認定された Approved Scanning Vendors (ASVs) として実施 22

23 脆弱性スキャン関連サーヒ ス 2.Annual Penetration Testing の実施 ~ 年 1 回のペネトレーションテスト 事前打合せ診断範囲確認 スキャン計画策定 スキャン実施 解析 レポート提示 報告会実施 改修 改善実施 年 1 回の実施 対象システムの侵入テストの実施 - インターネット環境からの内部セグメントへの侵入可否のテスト - 確認された脆弱性の報告および改善策の提案 PCIDSS 要件に対応 - PCIDSS 要件 11.3: ネットワークインフラとアプリケーションに対する侵入テストを少なくとも一年に 1 回 さらにインフラまたはアプリケーションの大きなアップグレードまたは変更の後に実施する この侵入テストは以下を含む ネットワーク レイヤー ペネトレーション テスト アプリケーション レイヤー ペネトレーション テスト 23

24 脆弱性スキャン関連サーヒ ス 3.Annual Web Application Scanning の実施 ~ 年 1 回の Web アプリケーションスキャン 事前打合せ診断範囲確認 スキャン計画策定 スキャン実施 解析 レポート提示 報告会実施 改修 改善実施 年 1 回の実施 対象システムのWebサーバ アプリケーションにおける脆弱性の確認 - インターネット環境からの Web サーバ アプリケーションにおける脆弱性のスキャンを実施 - カード会員データの入手等の可否の確認 - 確認された脆弱性の報告および改善策の提案 PCIDSS 要件に対応 - PCIDSS 要件 6.6: すべてのWebに面したアプリケーションは 以下のどちらかの手法を適用することで 既知の攻撃から防御されなければならない カスタム アプリケーション コードについては アプリケーションセキュリティに特化した組織に依頼して 一般的な脆弱性について見直しをしてもらう Webに面したアプリケーションの手前に アプリケーション レイヤー ファイアウォールを実装する 注 ) この手法は 2008 年 6 月 30 日まではベストプラクティスの一つであるが その後は必須要件とする 24

25 IBM Global Technology Services IBM ISS のソリューション

26 IBM ISS が提供する統合セキュリティ製品 サービス概要 Hard Ware 不正侵入防御アプライアンス - Proventia Network IPS G シリーズ GX シリーズ 統合セキュリティアプライアンス - Proventia Network MFS (MX シリーズ アンチスパム電子メールセキュリティアプライアンス - Proventia Network Mail Security System ネットワークアノーマリ検出アプライアンス - Proventia Network ADS 脆弱性監査 管理システム - Proventia Network Enterprise Scanner 情報ネットワーク上で 不正アクセスの検知 防御 監視や脆弱性監査等のネットワークセキュリティを実現する総合セキュリティ アプライアンスと セキュリティ管理の運用ワークロードを低減するソリューションとサービス Soft Ware 統合セキュリティ管理システム - Proventia Management SiteProtector デスクトップ プロテクション - Proventia Desktop Endpoint Security 脆弱性検査 監査ツール - Internet Scanner サーバ プロテクション - Proventia Server for Linux - RealSecure Server Sensor Service 監視サービス - MSS プロフェッショナル サービス 26

27 PCIDSS の基準に対するソリューションマッピング 安全なネットワークの構築 維持 ISS PSS ISS Products ISS MSS その他 1. データを保護するためにファイアウォールを導入し 最適な設定を維持すること コンサルティンク サーヒ ス 脆弱性スキャン Proventia IPS/MFS/MSP/ADS MFS/VMS 2. システムまたはソフトウェアの出荷時の初期設定値 ( セキュリティに関する設定値 ) をそのまま利用しないこと コンサルティンク サーヒ ス 脆弱性スキャン VMS IBM Products カード会員情報の保護 3. 保存されたデータを安全に保護すること コンサルティンク サーヒ ス 脆弱性スキャン IBM Products 4. 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合 暗号化すること コンサルティンク サーヒ ス 脆弱性スキャン IBM Products 脆弱性を管理するプログラムの整備 5. アンチウイルス ソフトウェアを利用し 定期的にソフトを更新すること コンサルティンク サーヒ ス 脆弱性スキャン Proventia Desktop/Server/Mail Security VMS IBM Products 6. 安全性の高いシステムとアプリケーションを開発し 保守すること コンサルティンク サーヒ ス 脆弱性スキャン Proventia IPS/MFS/MSP/ES/ADS IBM Products 強固なアクセス制御手法の導入 7. データアクセスを業務上の必要範囲内に制限すること コンサルティンク サーヒ ス 脆弱性スキャン Proventia ADS/MSP IBM Products 8. コンピュータにアクセスする際 利用者毎に識別 ID を割り当てること コンサルティンク サーヒ ス 脆弱性スキャン IBM Products 9. カード会員情報にアクセスする際 物理的なアクセスを制限すること コンサルティンク サーヒ ス 定期的なネットワークの監視およびテスト 10. ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し 監視すること コンサルティンク サーヒ ス 脆弱性スキャン Proventia Server/MSP/ADS IBM Products 11. セキュリティシステムおよび管理手順を定期的にテストすること コンサルティンク サーヒ ス 脆弱性スキャン Proventia IPS/MFS/MSP/ES/ADS 情報セキュリティ ポリシーの整備 12. 情報セキュリティに関するポリシーを整備すること コンサルティンク サーヒ ス 27

28 IBM s Offerings Mapped to 6 Main Themes of PCI A cross-brand and comprehensive approach Build & Maintain a Secure Network IBM Proventia Network Intrusion Prevention System (IPS) IBM Multifunction Security IBM Managed Security Services Global Services: PCI ent security model PCI Ref Architecture Tivoli Security Compliance Manager Protect Cardholder Data Integrated Cryptographic Server Facility zos Encryption Facility Data Encryption for IMS & DB2 Databases IBM Total Store Solution Tivoli Storage Manager Maintain Vulnerability Mgmt Program IBM Enterprise Scanner IBM Proventia Server IBM Vulnerability Management Service IBM Proventia Desktop Endpoint Security Consul InSight & zsecure Tivoli Security Compliance Manager Tivoli Identity Manager (TIM) Tivoli Access Manager (TAM) Consul zsecure IBM PCI Assessments IBM Policy Development Implement Strong Access Control Measures Tivoli Security Operations Manager Consul InSight Consul zsecure IBM Proventia Products IBM PCI Assessments IBM Penetration Testing IBM Vulnerability Management Service Monitor & Test Networks IBM PCI Assessments IBM Policy Development IBM Emergency Response Service GBS Global Services: PCI Remediation Global Services: PCI Workshop Consulting Maintain Information Security Policy 28

29 PCIDSS で求められる運用およびセキュリティ対策 スコープ ( 適用範囲 ) の定義および対策例 内部セグメント IPS/IDS 不正アクセス監視 ファイアウォール ADS 異常アクセス監視 DMZ ファイアウォール IPS/IDS 不正アクセス監視 Internet Proventia Network Enterprise Scanner ASV の役割 Proventia Server 脆弱性スキャン ( 年 4 回 ) Proventia Desktop 情報持出し制限製品 Proventia Network Enterprise Scanner Proventia Network MFS Proventia Network IPS Proventia Network ADS Proventia Mail Security Proventia Management SP Proventia Server DB 暗号化製品 Proventia Server 脆弱性スキャン ( 年 4 回 ) 推奨要件 ペネトレーションテスト ( 年 1 回 ) Web アプリケーションテスト ( 年 1 回 ) 29

30 IBM Global Technology Services PCIDSS に係る US での動向等

31 IBM PCI Differentiators IBM is the only company to provide hardware and software products & services for each of the 12 PCI requirements IBM has Consulting Services capability which can be combined with cross-brand Software and Hardware to address all requirements for PCI compliance This expertise will guide the client in re-positioning existing processes and technologies and adding new when needed. IBM ISS is Globally Certified to perform PCI services - Qualified Security Assessor (QSA) - Approved Scanning Vendor (ASV) - Qualified Payment Application Security Company (QPASC) - Qualified Incident Response Company (QIRC) IT Security- Industry and Compliance Expertise- - Deep expertise of every aspect of IT Security - Understanding of Client s business objectives/processes and how IT Security relates to it - Incident Response - Can assist organizations with security incidents involving payment card data - Able to provide incident response planning to merchants and service providers in advance of a security incident 31

32 IBM Global Services - PCI Services Roadmap What should I do? Help me do it. Manage it. Assess Risk Health Check Assessments PCI Health Check Process System Network Internet Application Wireless IBM-ISS Ethical Hacking IBM-ISS PCI Audit IBM Rational AppScan Planning Workshops Privacy PCI planning Wireless PCI Regulatory Data modeling Security/Privacy Strategy and Implementation PCI Planning and Design PCI Development PCI Policy Definition PCI Standards Definition Process Development Metrics Development Architecture & Design Enterprise Architecture Internet Architecture Secure Solution Design PCI Architecture Remediation design PCI Business Strategy Development PCI reference architecture Select and Implement solutions PCI Application Integration Product Implementation Tivoli Services Security Awareness Program Product compensating controls Tivoli access and identity management solutions Tivoli Security Information and Event management Solutions IBM-ISS Proventia product suite IBM Rational AppScan Management Managed Security Services Intrusion Detection Firewall Management Incident Management Security Management Standards / Controls Physical & Logical Security Ongoing PCI Compliance Checking PCI guarantee Security Integrity and Advisories Virus Services Network Security Security Education PCI scanning 32

33 IBM Services, IBM Internet Software Security and Systems Hardware for Total PCI Compliance Meeting Requirements of the Digital Dozen The products outlined in this chart highlight IBM capabilities. Please call your local IBM executive for a full listing of all products and services that map to PCI requirements IBM PROFESSIONAL SERVICES IBM ISS Products & Services Tivoli Security Compliance Manager IBM Proventia Network Anomaly Detection System (ADS) IBM Global Services IBM Rational AppScan IBM Global Services Tivoli Console Insight Manager IBM Proventia Server Intrusion Prevention System (IPS) IBM Proventia Network (IPS) IBM Global Services IBM SOFTWARE SOLUTIONS IBM Tivoli Compliance Insight Manager IBM Tivoli Security Operations Manager IBM Proventia Server IPS IBM Global Services IBM Digital Video Surveillance IBM Biometric Access Control IBM Global Services Only IBM Has Solutions to Address All 12 PCI Requirements IBM Tivoli Access Manager IBM Proventia Network Multi-Function Security (MFS) IBM Global Services IBM Storage Manager IBM Proventia Server IPS IBM PKI Services IBM Global Services IBM Tivoli Identity Manager IBM Tivoli Federated Identity Manager IBM Global Services IBM Data Encryption of IMS and DB2 IBM Websphere Proventia Network Intrusion Prevention System DataPower XML Security Gateway IBM MANAGED SERVICES 33 IBM Tivoli Access Manager IBM Tivoli zsecure Admin IBM Tivoli Compliance Insight Manager IBM Global Services IBM Software Development Platform IBM Tivoli CCMBD IBM Global Services IBM Rational AppScan IBM Proventia Desktop Endpoint Security IBM Proventia Network Enterprise Scanner 2008 IBM Corporation IBM Global Services IBM HARDWARE

34 Professional Security Services 米国における対応事例 1 対象業界 業種 企業 : クレジットカード情報等を取り扱うサービスプロバイダ A 社 顧客概要 : 顧客企業は 主要コンシューマ製品向けの販売およびマーケティング支援サービスを提供しているサービスプロバイダになります 主要なコンシューマブランド企業のために マーケティング 直接注文 製品在庫管理 販売 配送等のサービス提供を実施しています 主要な取引過程において クレジットカード情報を取り扱うことが必要となります 案件概要 : 顧客企業のサービス提供上 クレジットカード情報は必須であり 適切に管理しなければならないデータです 1 ヶ月毎のクレジットカード情報処理件数は 25 万件以上を処理しています ( 自己問診 ( 任意 ) 脆弱性スキャン ( 必須 ) 訪問調査 ( 必須 )) 企業のビジネスにおける信頼性および安全性を重視するために PCIDSS 遵守が必要と判断されました 選択したソリューション : 主な提供サービスは 認定支援コンサルティングおよび脆弱性スキャン関連サービスの採用 PCIDSS 対応製品の導入 - IBM Proventia Network Anomaly Detection System (ADS) - IBM RealSecure Server Sensor - IBM Proventia Management SiteProtector 34

35 Professional Security Services 米国における対応事例 2 対象業界 業種 企業 : クレジットカード情報等を取り扱う美容関連商品小売業者 B 社 顧客概要 : 顧客企業は 主要な美容関連商品を取り扱う業界におけるリーディングカンパニーになります 幅広い商品展開により 世界 14 カ国において 500 店舗以上を展開しています 案件概要 : 顧客企業のサービス提供上 クレジットカード情報は必須であり 適切に管理しなければならないデータです 加盟店として クレジットカード情報の年間取扱件数が 600 万件以上であるレベル 1 加盟店となりました ( 自己問診 ( 任意 ) 脆弱性スキャン ( 必須 ) 訪問調査 ( 必須 )) 企業のビジネスにおける信頼性および安全性を重視するために PCIDSS 遵守が必要と判断されました 選択したソリューション : 主な提供サービスは 認定支援コンサルティングおよび脆弱性スキャン関連サービスの採用 PCIDSS 対応製品の導入 - IBM Proventia Network Multi-Function Security appliances - IBM Proventia Network Intrusion Prevention System appliances - IBM Proventia Network Anomaly Detection System (ADS) - IBM RealSecure Server Sensor - IBM Proventia Management SiteProtector 35

36 米国及び日本における動向 米国の動向 ( 補足 ) - 法令化の動きマサチューセッツ州 テキサス州 カルフォルニア州 コネチカット州 イリノイ州 ミネソタ州 他ベンダーの動向 - NTT データ セキュリティ株式会社 ネットワンシステムズ株式会社 - 住商情報システム株式会社 - マクニカ - シトリックス システムズ ジャパン株式会社 その他の動向 - 国内クレジットカード会社初 PCIDSS 完全準拠認定証発行 ( 三井住友カード株式会社 ) 36

37 IBM ISS が提供する製品 ( 参考情報 ) 統合セキュリティ管理システム IBM Proventia Management SiteProtector 不正侵入防御アプライアンス IBM Proventia Network IPS (G シリーズ GX シリーズ ) 統合セキュリティアプライアンス IBM Proventia Network MFS (MX シリーズ ) サーバ プロテクション IBM Proventia Server for Linux IBM RealSecure Server Sensor デスクトップ プロテクション IBM Proventia Desktop Endpoint Security ネットワークアノーマリ検出アプライアンス IBM Proventia Network ADS PCIDSS 要件 1 要件 5 要件 6 要件 7 要件 10 要件 11 該当製品 統合管理コンソール GX4004 プロテクション製品 MX1004 ネットワーク異常検出 37 脆弱性監査 管理システム IBM Proventia Network Enterprise Scanner IBM Internet Scanner 脆弱性検査ツール

38 本資料に関するお問合せ 日本アイ ビー エム株式会社 ITS 事業 ISS 事業部パートナーセールス部 TEL : isssales@jp.ibm.com URL : 当資料に関するお問い合わせは 担当営業 または上記までご連絡ください Copyright IBM Japan, Ltd 日本アイ ビー エム株式会社 Produced in Japan Jun 2008 All Rights Reserved この説明資料の情報は2008 年 6 月現在のものです 仕様は予告なく変更される場合があります 記載のデータはIBM 社内の調査に基づくものであり 全ての場合において同等の効果が得られることを意味するものではありません 効果はお客様の環境その他の要因によって異なります 製品 サービスなどの詳細については ISSSales@jp.ibm.com 弊社もしくはビジネス パートナーの営業担当員にご相談ください IBM IBMロゴ X-Force Proventia Network MFSは International Business Machines Corporationの米国およびその他の国における商標 Microsoftは Microsoft Corporationの米国およびその他の国における商標 Adobeは Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標 他の会社名 製品名およびサービス名等はそれぞれ各社の商標 38