Microsoft PowerPoint - バルネラアセッサーご紹介 [互換モード]

Size: px

Start display at page:

Download "Microsoft PowerPoint - バルネラアセッサーご紹介 [互換モード]"

えいしろうひでやま
4 years ago
Views:

JCDSC ベンダー部会 ASV 検査サービスバルネラアセッサーご紹介 2012 年 1 月 26 日 ( 木 )

テスト ) コードレビューベンダー管理外部内部脆弱性検査ファイアウォール検査データ管理サービス

2 ControlCase 社の PCIDSS 認証と各種検査サービス PCIDSS, PA-DSS 認証監査 ASV スキャン検査 PCIDSS, PA-DSS ギャップ分析ペネトレーションテストアプリケーションレビュー (OWASP テスト ) コードレビューベンダー管理外部内部脆弱性検査ファイアウォール検査データ管理サービスユーザーアクセス監視本社 /Virginia,USA Copyright 2012 Nippon Office Systems LTD. P-2

3 NOS の PCIDSS サービス構成図スキャンツール認定ベンダー内部外部 N/W 診断内部外部ヘネトレーションテスト OWASP テスト ASV ControlCase スキャンツールの認定 NOS コンサルティングとセキュリティ支援 1 事前調査 PCI DSS 国際協議会 PCI SSC 監査員資格の認定本社 : バージニア ( 米 ) 支社 : ムンバイ ( 印 ) 2 本監査 QSA ControlCase 米国またはインドから出張 ( 審査員 12 人在籍 ) スキャン検査の必要な事業者様自己問診とスキャン検査訪問審査の必要な大手事業者様スキャン検査と訪問監査 Copyright 2012 Nippon Office Systems LTD. P-3

4 バルネラアセッサーの概要 ASV 認定 /ControlCase GRC (Governance Risk Management) 日本国内はバルネラアセッサーとして日本オフィスシステムが提供特徴訪問監査の豊富な経験が生かされた ASV スキャンサービス米国を中心に世界で 120 社以上の PCIDSS 訪問監査実績をもつ ControlCase 社が開発したスキャンサービスです PCI 監査とセットで採用いただくケースが多く監査顧客の約 3 分の 1 40 社が採用 QSA スタッフが結果分析して監査のデータに役立てることを目的に経験が蓄積されてきたため日々進歩するハッキングの手口を研究し PCI 監査のノウハウでチェックポイントを改善しています Copyright 2012 Nippon Office Systems LTD. P-4

5 お申込みから検査の流れ検査時間帯は平日 12~19 時 ( インドムンバイからスキャン ) スキャンする CC 社側の指定 IP が IPS/IDS を通過できるよう設定いただきます負荷は少ないのでお客様システム稼働中でも問題ありません脆弱性改善への各種ソリューション提案をセット結果レポート ( 英語版 ) は検査後即日日本語解説は 2~3 日後 Copyright 2012 Nippon Office Systems LTD. P-5

ASV スキャン報告書の要約 (ASV Scan Report Executive Summary) IP アドレスの 1 番が Fail( 非準拠 ) 判定

7 脆弱性の詳細結果 (Vulnerability Scoring Reference) Vulnerability_Name_Finding 脆弱性名称と判明した事象 Severity_Status 脆弱性レベルと状況 IP_Addresses_affected 影響を受ける IP アドレス Threat 脅威 Impact 影響 Solution 解決策 Category Apache HTTP サーバー 413 エラー HTTP リクエスト方法にクロスサイトスクリプティングに対する脆弱性があります 3/potential **.***.***.2:443/tcp Apache HTTPサーバーがクロスサイトスクリプティングに対し脆弱クロスサイトスクリプティングに対し脆弱ですこの問題は 413 HTTPエラーになってしまうような巧みに工作されたHTTPリクエストをアプリケーションがうまく識別処理できなかったときに起こります 413エラーはリクエスト自体のデータストリームが大きすぎてサーバーが処理できないときに起こりますサーバーはこの問題に対したとき起こった事象を記述したページを送り返しますエラーページが表示されると攻撃者のスクリプトコードはアプリケーションの文脈の中でウェブページに載せられてしまいます攻撃者はこのことを利用してクッキーの認証コードを盗み更なる攻撃をしかけますこの問題は Apache では解決されていますこの脆弱性は Apache のデフォルト 413 エラーメッセージを使用不能にすることで緩和できます参照 : あるいはウェブアプリケーション用のファイアウォールを使用することもあわせて考慮してください例えば mod_security のようなもの参照 : Web Application Copyright 2012 Nippon Office Systems LTD. P-7

報告書はお客様ごとのクラウド Key-BOX で継続管理 SSL 認証でログイン ASV スキャンレポートだけでなく PCIDSS

9 検査料金の概要 IPアドレスの数単価税別合計料金税別 3 個以内 63, ,000 72, ,000 75,000 6~10 13,500 81,000~135,000 11~20 12, ,600~252,000 21~30 12, ,000~360,000 1) 四半期ごと計 4 回分の検査料金翌年度以降は年単位の自動継続が可能 2)1 サイト単位での料金を表わしますサイト A の IP が 3 個サイト B の IP が 4 個の場合それぞれの単価でお見積り 3) 3 個以内の場合は一律 63,000 円 4) 脆弱性対応後の再スキャンなど追加は IP1 個 1 回あたり 10,000 円 ( 税別 ) 同時に再スキャンの必要な IP が複数ある場合は別途お見積り Copyright 2012 Nippon Office Systems LTD. P-9

Microsoft PowerPoint - ASVプログラムガイド解説 [互換モード]

Microsoft PowerPoint - ASVプログラムガイド解説 [互換モード] 2012 年 1 月 26 日 ( 木 ) ASV の要件 (PCISSC のプログラムガイド Ver1.2 より ) 日本カード情報セキュリティ協議会ベンダー部会事務局 / 森大吾 ASV 認定の国内ベンダー NRI セキュアテクノロジーズ株式会社 NTT データ先端技術株式会社京セラコミュニケーションシステム株式会社三和コムテック株式会社 ( 米国 McAfee Inc. 社 /McAfee