IBM ISS PCI データセキュリティー評価支援サービス … ISSが提供するPCIDSS関連サービス: 1.Quarterly...

© 2008 IBM Corporation

IBM Global Technology Services

IBM ISS PCI データセキュリティー評価支援

サービス説明資料

日本アイ・ビー・エム株式会社

ISS事業部セールス＆オペレーションズ

プロフェッショナルサービス

IBM Internet Security Systems

© 2008 IBM Corporation2

目次

ＰＣＩＤＳＳの準拠の12の要件～認定取得・維持の進め方

プロフェッショナルセキュリティサービスメニューのご紹介

IBMのソリューション

USでの動向

参考資料



ＰＣＩＤＳＳ１２の要件

定期的なネットワークの監視およびテスト定期的なネットワークの監視およびテスト

情報セキュリティ・ポリシーの整備情報セキュリティ・ポリシーの整備

強固なアクセス制御手法の導入

脆弱性を管理するプログラムの整備

カード会員情報の保護カード会員情報の保護

安全なネットワークの構築・維持安全なネットワークの構築・維持

情報セキュリティに関するポリシーを整備すること12.

セキュリティシステムおよび管理手順を定期的にテストすること11.

ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること10.

カード会員情報にアクセスする際、物理的なアクセスを制限すること9.

コンピュータにアクセスする際、利用者毎に識別IDを割り当てること8.

データアクセスを業務上の必要範囲内に制限すること7.

安全性の高いシステムとアプリケーションを開発し、保守すること6.

アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること5.

公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること4.

保存されたデータを安全に保護すること3.

システムまたはソフトウェアの出荷時の初期設定値（セキュリティに関する設定値）をそのまま利用しないこと2.

データを保護するためにファイアウォールを導入し、適な設定を維持すること1.

PCI DSS Ver. 1.1

カード会員情報を効果的に守るためのベストプラクティスカード会員情報を効果的に守るためのベストプラクティスカード会員情報を効果的に守るためのベストプラクティス



国際ペイメントカードブランド5社

American Express

Discover

JCB （JCB Data Security Program)

MasterCard（SDP）

VISA（AIS)

国際ペイメントカード国際ペイメントカードブランドブランド55社社

American ExpressAmerican Express

DiscoverDiscover

JCBJCB （（JCBJCB Data Data Security Program)Security Program)

MasterCardMasterCard（（SDPSDP））

VISAVISA（（AIS)AIS)

PCIDSS認定機関

セキュリティ評価機関（QSA *1）

・ＮＴＴデータ・セキュリティ㈱

・ＢＳＩマネジメントシステムジャパン㈱

・ＮＯＳ（米国ＣｏｎｔｒｏｌＣａｓｅ）

・ＨＩｌｌ＆ＡｓｓｏｃｉａｔｅｓＪａｐａｎ㈱

PCIDSSPCIDSS認定機関認定機関

セキュリティ評価機関セキュリティ評価機関（（QSAQSA *1*1））

・ＮＴＴデータ・セキュリティ・ＮＴＴデータ・セキュリティ㈱㈱

・ＢＳＩマネジメントシステムジャパン・ＢＳＩマネジメントシステムジャパン㈱㈱

・ＮＯＳ・ＮＯＳ（米国ＣｏｎｔｒｏｌＣａｓｅ）（米国ＣｏｎｔｒｏｌＣａｓｅ）

・ＨＩｌｌ＆ＡｓｓｏｃｉａｔｅｓＪａｐａｎ・ＨＩｌｌ＆ＡｓｓｏｃｉａｔｅｓＪａｐａｎ㈱㈱

セキュリティ評価機関（ASV *2）

IBM ISS（弊社）

・ＮＴＴデータ・セキュリティ㈱

・三和コムテック㈱

セキュリティ評価機関（セキュリティ評価機関（ASVASV *2*2））

IBM ISSIBM ISS（弊社）（弊社）

・ＮＴＴデータ・セキュリティ・ＮＴＴデータ・セキュリティ㈱㈱

・三和コムテック・三和コムテック㈱㈱

PCISSC（PCI Security Standards Council LLC）

国際ペイメントブランド5社が共同で運営するPCIDSSの推進協議団体

PCISSC（PCI Security Standards Council LLC）

国際ペイメントブランド5社が共同で運営するPCIDSSの推進協議団体

PCIDSS（Payment Card Industry Data Security

Standard）

クレジット業界におけるグローバルセキュリティ基準

PCIDSS（Payment Card Industry Data Security

Standard）

クレジット業界におけるグローバルセキュリティ基準

事業者への訪問調査の実施

事業者への訪問調査の実施

認定実施

認定実施

事業者への脆弱性スキャンの実施事業者への脆弱性スキャンの実施

コンサルティングサービスコンサルティングサービス

セキュリティ基準の策定セキュリティ基準の策定

出資・参画出資・参画

遵守対象事業者

・加盟店様

・サービスプロバイダ様

・決済代行事業者様

遵守対象事業者遵守対象事業者

・加盟店様・加盟店様

・・サービスプロバイダ様サービスプロバイダ様

・決済代行事業者様・決済代行事業者様

遵守

推奨

遵守

推奨

PCIDSSを取り巻く関係図（弊社の位置付け）

注）略称解説

*1 QSA：専門技術者（QSAP）による監査（訪問調査）を提供し、PCIDSSの遵守状況を確認し、判定することができるPCISSCによる認定企業

*2 ASV：PCIDSSで定められるセキュリティ対策が実現できているか、診断により確認し、判定することができるPCISSCによる認定企業

アクワイアラー（加盟店契約会社）

アクワイアラーアクワイアラー（加盟店契約会社）（加盟店契約会社）

遵守の普及促進遵守の普及促進検証結果報告検証結果報告

バリデーション証明書提出バリデーション証明書提出



PCIDSSを遵守いただきたい企業とは

遵守対象企業

- カード会員情報を格納、処理、または伝送するすべてのメンバー

機関およびサービスプロバイダ

- 対象業種

加盟店様：インターネットのECサイト、百貨店、スーパー、

家電量販店、飲食店、ガソリンスタンド、ホテル、

高速道路、鉄道、航空、他

サービスプロバイダ様：カードネットワーク、決済代行サービス

PCIDSSに準拠すべき事業者様は計画的な対応が必要となります。PCIDSSPCIDSSに準拠すべき事業者様は計画的な対応が必要となります。に準拠すべき事業者様は計画的な対応が必要となります。

楽天（ＢＳＩジャパン認定）楽天（ＢＳＩジャパン認定）三井住友ＶＩＳＡ（ＮＴＴデータ・セキュリティ認定）三井住友ＶＩＳＡ（ＮＴＴデータ・セキュリティ認定）



PCIDSS準拠コンサルティングサービス利用のポイント

PCIDSSにおけるセキュリティ要件は、クレジットカード情報・カード会員情報を取り扱う「スコープスコープ」に限定された「低限低限」の要件であること。

PCIDSS準拠におけるコンサルティング支援サービスのメリット

- PCIDSS要件の準拠状況のチェックおよび改善策の提案

- 要件準拠に加え、クレジットカード情報・カード会員情報のセキュリティ確保を統合的に実現するために必要な適な対応策のご提案

マネジメントレベルにおけるセキュリティの方針・ビジョンの確認に利用

技術的レベルにおけるセキュリティ対策の統合化に利用

セキュリティ運用管理面における運用コストの見直し・削減のために利用



PCIDSS準拠のためにすべきこととはVISA/AP様におけるDSS準拠方針

加盟店

対象事業者

任意任意必須必須推奨推奨訪問調査

推奨必須必須必須必須推奨脆弱性スキャン

推奨必須任意任意必須必須自己問診

条件なし年2万件

以上年600万件

以上年60万件

以上年12万件～

60万件年12万件

以下

年間取引件数

その他加盟店

インターネット加盟店（L2/3)

大規模加盟店（L1）

サービス・プロバイダ

・監査人が加盟店等のサイトに訪問して監査、約200項目の詳細項目をインタビュー等で確認

・インターネットから加盟店等の公開サイトにスキャン検査、年4回実施、危険度中以下が必須（5段階中2以下）

・Webサイトで実施、質問77項目、全問正解が必須

・QSAサービス提供

・弊社支援サービス

訪問調査Onsite Review

・ASVサービス提供脆弱性スキャンVulnerability Scan

・カード会社様サイト等を利用

自己問診PCI Self assessment



■JCB様が推奨するDSS準拠方法の目安

加盟店様- インターネットに接続できる環境で売上データ/会員データのお取り扱いがある加盟店様

JCBカードの年間お取り扱い件数が- 100万件以上の場合：【脆弱性スキャンテスト（四半期毎）】【訪問調査（年次）】- 100万件未満の場合：【自己診断】【脆弱性スキャンテスト（四半期毎）】

- インターネットに接続できる環境で売上データ/会員データのお取り扱いがない加盟店様JCBカードの年間お取り扱い件数が- 100万件以上の場合：【訪問調査（年次）】- 100万件未満の場合：【自己診断】

決済代行事業者様- インターネットに接続できる環境で売上データ/会員データのお取り扱いがある場合：

【脆弱性スキャンテスト（四半期毎）】【訪問調査（年次）】

- インターネットに接続できる環境で売上データ/会員データのお取り扱いがない場合：【訪問調査（年次）】

PCIDSS準拠のためにすべきこととは



予備調査（オプション）

初回調査

再調査

認定（認定証発行）

維持

維持

維持調査（移行調査）

認定（認定証発行）

維持調査

更新調査

１年目１年目２年目

（５年目）

２年目（５年目）

３年目（6年目）

３年目（6年目）

４年目(7年目・・）

４年目(7年目・・）

指摘事項なし

指摘事項あり

指摘事項あり

②指摘支援（*1

）

②指摘支援（*1

）

①認定支援

（*1

）

①認定支援

（*1

）

（*1）ＩＢＭＩＳＳがPCIDSS遵守のためのコンサルティングサービスの提供（*1）ＩＢＭＩＳＳがPCIDSS遵守のためのコンサルティングサービスの提供

③維持支援（*1）

③維持支援（*1）

③維持支援（*1

）

③維持支援（*1

）

④更新支援（*1

）

④更新支援（*1

）

認定取得・維持に向けた進め方

QSAによる認定対応（認定証発行）の流れPCIDSS遵守の終的判断は、アクワイアラーおよび国際カードブランド事業者様が行います。



プロフェッショナルセキュリティサービスメニューのご紹介



IBM ISSが提供する PCIDSS 関連サービス:

PCIDSS関連ｺﾝｻﾙﾃｨﾝｸﾞｻｰﾋﾞｽ

1. PCIDSS認定支援ｺﾝｻﾙﾃｨﾝｸﾞ

2. PCIDSS指摘支援ｺﾝｻﾙﾃｨﾝｸﾞ

3. PCIDSS維持支援・更新支援ｺﾝｻﾙﾃｨﾝｸﾞ

脆弱性スキャン関連ｻｰﾋﾞｽ

1. Quarterly Scanning（4半期毎の脆弱性スキャンサービス）（PCIDSS必須要件）

2. Annual Penetration Testing（年1回のペネトレーションテスト） *1

3. Annual Web Application Scanning（年1回のWebアプリケーションスキャン）

*1: PCIDSS要件（6.1/6.6/11.3）対応（推奨）

IBM ISSが提供する PCIDSS 関連サービス:

PCIDSS関連ｺﾝｻﾙﾃｨﾝｸﾞｻｰﾋﾞｽ

1. PCIDSS認定支援ｺﾝｻﾙﾃｨﾝｸﾞ

2. PCIDSS指摘支援ｺﾝｻﾙﾃｨﾝｸﾞ

3. PCIDSS維持支援・更新支援ｺﾝｻﾙﾃｨﾝｸﾞ


1. Quarterly Scanning（4半期毎の脆弱性スキャンサービス）（PCIDSS必須要件）

2. Annual Penetration Testing（年1回のペネトレーションテスト） *1

3. Annual Web Application Scanning（年1回のWebアプリケーションスキャン）

*1: PCIDSS要件（6.1/6.6/11.3）対応（推奨）

Professional Security ServicesIBM ISS Approach to PCI Compliance



1.認定支援

2.指摘支援

3.維持支援

4.更新支援

実施内容）・全ての監査項目に対応しているかどうかをインタビュー・ドキュメントレビュー・現場確認・設定検査をPCI基準に準拠するための支援およびソリューションを提供します。・全てのPCI基準の項目について確認・支援します。・支援期間は、確認結果により1週間以上からで対応します。

実施内容）・予備調査又は本調査で確認された問題点（指摘事項）に対する対応支援を実施します。・指摘事項に限定した支援を実施します。・支援期間は、指摘事項により1週間以上からで対応します。

実施内容）・PCI基準が維持されていることをインタビューで確認します。・認定取得後の変更点に限定して確認および支援を実施します。・維持調査の結果からの指摘事項に限定して対応支援を実施します。・支援期間は、変更事項の支援内容により1週間以上からで対応します。

実施内容）・全ての監査項目に対応しているかどうかをインタビュー・ドキュメントレビュー・現場確認・設定検査をPCI基準に準拠するための支援およびソリューションを提供します。・全てのPCI基準の項目について確認・支援します。・支援期間は、確認結果により1週間以上からで対応します。

サービス名称サービス概要

コンサルティングサービスの概要



オープニング- 業務内容の確認- 決済フローの確認

カード会員情報のライフサイクル（入力→伝送／保管→出力→破棄のプロセスおよび内容）

インタビュー及びドキュメントレビュー物理的対策の確認- 物理的な施設・居室の入退管理- 監視カメラの設置確認- サーバおよびネットワーク機器の施錠及びラベリングの確認- メディア（リムーバブルメディア、バックアップ媒体等）の保管確認

システム設定の確認- サーバ及びネットワーク機器の設定の確認（ドキュメント及び設定画面による確認）

確認結果の取りまとめ- オンサイトインタビューの結果の取りまとめの実施- 確認結果から問題点（指摘事項）に対する対応案（ソリューション等）を提案

対応策の支援- 問題点に対する対応策を実現するための支援を実施

クロージング- 対応を実施した結果をオンサイトにて報告（報告会の実施）- 本調査等に向けての終確認

支援サービスの対応フロー



ＰＣＩＤＳＳの適用範囲

適用範囲の考え方

- ＰＣＩＤＳＳをセキュリティ基準として活用することで、「カード会員データ」を取り扱うシステムにおける一定のセキュリティレベルを維持することが可能となります。

- スコープを定義することカード会員データの入口から出口まで（入力から破棄まで）を確認する。

管理対象範囲（セグメント）を分割していない場合、直接カード会員データを保持・処理しなくても、確認の対象となります。

同一グループ（同一システム）のサーバーは、サンプリングしてのチェックも有効となります。（負荷分散系、運用系、待機系などのグループを想定）

カード会員データを共有している／アクセス可能な業務委託先は全てスコープ内となります。

契約上、データの所有者および責任を明確にすることが必要となります。同時に、委託先でのセキュリティ対策を明確にし、実施することが必要となります。



ＰＣＩＤＳＳ要件に対する代替策

代替策の考え方

- 直接的に要件を満たしていない場合でも、「本当に意味する要件」を満たすことが可能であれば、「代替策」として有効であること。

- 同時に、リスク分析と業務要件の明文化は必須となること。

- 終的には、代替案となるかの判断は、ＱＳＡとの調整となること。

- 代替策の判断材料

成約事項

- 本来の要件に対応できない理由（成約）を記述すること

目的

- 本来の対策の目的および代替策で達成できる目的を定義（特定）すること

リスクの特定

- 本来の対策の欠如によってもたらされる追加のリスクを列挙すること

代替策の定義

- 代替策の定義を説明し、オリジナルの対策の目的およびリスク増加があれば、代替策がどのように対応しているかを述べること



ＰＣＩＤＳＳの要件（概要）

カード会員データの定義

Ｎ／ＡＮ／ＡＮＯＰＩＮ/ＰＩＮブロック（暗証番号）

Ｎ／ＡＮ／ＡＮＯＣＶＣ2/ＣＶＶ2/ＣＩＤ/ＣＡＶ2

Ｎ／ＡＮ／ＡＮＯ全磁気ストライプデータ機密認証情報**

ＮＯＹＥＳ*ＹＥＳ有効期限*

ＮＯＹＥＳ*ＹＥＳサービスコード*

ＮＯＹＥＳ* ＹＥＳカード会員氏名*

ＹＥＳＹＥＳＹＥＳＰＡＮ（通常、16桁の番号）

（Primary Account Number=カード番号）

カード会員データ

PCIDSS

要件3.4

保護保管データ要素

* カード会員名、サービスコード、有効期限の保護については、ＰＡＮと共に保存されている場合、保護対象となります

** センシティブ認証データ：オーソリゼーション（承認）後の保管は（たとえ暗号化していても）ＮＧ



ＰＣＩＤＳＳ要件（概要）

セキュアなネットワーク構成と運用

- 要件１ファイアウォール、ルータの設定

必要小限の通信のみを実行するように、Ｆ／Ｗおよびルータの設定標準を策定、運用すること

必要小限の通信のみを実行するように、Ｆ／Ｗおよびルータの設定を実装、管理すること

- 要件２システム設定標準

必要小限の機能のみを実行するように、システム設定標準を策定、運用すること

必要小限の機能のみを実行するように、システム設定を実装、管理すること

カード会員情報の保護

- 要件３保管されたカード会員情報の保護

カード会員情報は、

- どの情報が必要か？

- どのくらいの期間必要か？

- どのように保管しているか？

- どのように破棄するか？

- 要件４公衆ネットワークを伝送するカード会員情報の暗号化

本来、どうして公衆ネットワークを伝送する必要があるか？

どうしても、公衆ネットワークを伝送しなくてはならない場合、

- 伝送するデータは暗号化されているか？

- 暗号化されていないＰＡＮをメールで送付していないか？




脆弱性管理

- 要件５アンチウイルスソフトウェア

アンチウイルスソフトウェアが、クライアントおよびサーバーに導入されていること（サーバーに対しては、特にWindows系サーバー）

- （新）スパイウェア、アﾄﾞウェアが検知、隔離、削除されること

- パターンファイルが新となるように管理されること

- ログを生成、保管していること

- 要件６セキュアなシステム、アプリケーションの開発と運用

パッチ適用のプロセスが確立、運用されていること

- 新脆弱性の把握と変更管理（テスト、申請、承認プロセス、戻し手順）

開発プロセスを通じて、セキュリティが考慮されていること

- 業界標準（ＯＷＡＳＰ、ＮＩＳＴ、ＳＡＮＳ）を元にした開発標準の策定と運用米国の非営利団体であるOWASP (Open Web Application Security Project)

アメリカ合衆国の国立標準技術研究所(National Institute of Standards and Technology, NIST)

The Trusted Source for Computer Security Traning, Certification and Reserch, SANS

- 試験環境と商用環境の分離、カード情報流用の禁止




強固なアクセス制御の実装

- 要件７ＮｅｅｄＴｏＫｎｏｗベースのアクセス制御

カード会員情報に対する小限のアクセス

ブラックリストではなくホワイトリストによるアクセス制御

- 要件８アカウント管理

共有ＩＤを使用しない（ユニークなＩＤの使用）

リモートアクセスに対しては２要素認証

システムでのパスワード条件を強制

伝送時のパスワードの暗号化（Ｔｅｌｎｅｔ、ＦＴＰは×）

- 要件９物理的アクセス制御

監視カメラの設置および録画データの保有期限

誰でもアクセスが可能な場所のネットワークジャック設置の禁止

従業員および訪問者を識別できるカードの使用

入退館の履歴取得

紙およびバックアップ媒体の安全な場所への保管および破棄




ネットワークの定期的な監視とテスト

- 要件１０すべてのネットワーク資源およびカード会員情報へのアクセスの追跡と監視特にカード会員情報環境において、「誰が」「いつ」「何を」したのか記録、レビューし、それらの完全性を保護する

システム全体で時刻を同期する

ログはオンラインで３ヶ月以上、オフラインで１年以上保管する

- 要件１１システム、プロセスの定期的なテスト４半期に１回、無線アナライザによる無線機器の検知

ネットワーク脆弱性スキャン- 4半期に１回およびシステム上大きな変更があった場合に実施する

外部スキャン・・・ＡＳＶが実施すること

内部スキャン

ペネトレーションテスト- 1年に１回、およびシステム増に大きな変更があった場合に実施する

ネットワークレイアおよびアプリケーションレイア

ＩＤＳ（不正アクセス検知システム）の導入- ネットワーク型ＩＤＳ、ホスト型ＩＤＳ、ＩＰＳを含む

- ログの取得および警告の実施

- シグネチャ／エンジンの新化プロセス




情報セキュリティポリシーの運用

- 要件１２情報セキュリティポリシーの運用

リスク分析、情報セキュリティポリシーの運用（見直し）

要件に準拠した日々の運用手順の策定と運用

セキュリティ教育の実施

インシデントレスポンス計画

- 業務継続計画（ＢＣＰ）

- データバックアッププロセス

- 役割と責任の明確化

- 連絡先の管理

- 低１年に１回、計画をテストすること

外部委託先との契約

- 機密保持契約（ＮＤＡ）

- サービスレベル合意書（ＳＬＡ）

プロセッサおよびサービスプロバイダの管理

- 接続されたエンティティのリスト化

- 接続先が安全である（ＰＣＩ－ＤＳＳ準拠である）ことの確認および契約



年４回の実施

対象システムの脆弱性の確認

- インターネット環境から対象システムに

対するスキャンを実施

- 確認された脆弱性の報告および改善策

の提案

- 内部セグメントの脆弱性スキャンの実施

- 無線機器の検知

外部スキャンは、PCIDSSから認定された

Approved Scanning Vendors (ASVs) と

して実施

事前打合せ診断範囲確認事前打合せ

診断範囲確認スキャン

計画策定

スキャン

計画策定

スキャン

実施・解析

スキャン

実施・解析

レポート

提示

レポート

提示

報告会

実施

報告会

実施


1.Quarterly Scanningの実施～4半期毎の脆弱性スキャンサービス＜PCIDSS必須要件＞

改修・改善

実施

改修・改善

実施



年１回の実施

対象システムの侵入テストの実施

- インターネット環境からの内部セグメントへの侵入可否のテスト

- 確認された脆弱性の報告および改善策の提案

PCIDSS要件に対応

- PCIDSS要件11.3：ネットワークインフラとアプリケーションに対する侵入テストを少なくとも一年に1回、さらにインフラまたはアプリケーションの大きなアップグレードまたは変更の後に実施する。この侵入テストは以下を含む。

11.3.1 ネットワーク・レイヤー・ペネトレーション・テスト

11.3.2 アプリケーション・レイヤー・ペネトレーション・テスト


2.Annual Penetration Testingの実施～年1回のペネトレーションテスト



計画策定

スキャン

計画策定

スキャン

実施・解析

スキャン

実施・解析

レポート

提示

レポート

提示

報告会

実施

報告会

実施

改修・改善

実施

改修・改善

実施



年１回の実施

対象システムのWebサーバ・アプリケーションにおける脆弱性の確認

- インターネット環境からのWebサーバ・アプリケーションにおける脆弱性のスキャンを実施

- カード会員データの入手等の可否の確認

- 確認された脆弱性の報告および改善策の提案

PCIDSS要件に対応

- PCIDSS要件6.6：すべてのWebに面したアプリケーションは、以下のどちらかの手法を適用する

ことで、既知の攻撃から防御されなければならない。

カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に

依頼して、一般的な脆弱性について見直しをしてもらう。

Webに面したアプリケーションの手前に、アプリケーション・レイヤー・ファイアウォールを実装す

る。

注）この手法は、2008年6月30日まではベストプラクティスの一つであるが、その後は必須要件

とする。


3.Annual Web Application Scanning の実施～年1回のWebアプリケーションスキャン



計画策定

スキャン

計画策定

スキャン

実施・解析

スキャン

実施・解析

レポート

提示

レポート

提示

報告会

実施

報告会

実施

改修・改善

実施

改修・改善

実施



IBM ISSのソリューション



情報ネットワーク上で、不正アクセスの検知・防御、監視や脆弱性監査等のネットワークセキュリティを実現する総合セキュリティ・アプライアンスと、セキュリティ管理の運用ワークロードを低減するソリューションとサービス。

情報ネットワーク上で、不正アクセスの検知・防御、監視や脆弱性監査等のネットワークセキュリティを実現する総合セキュリティ・アプライアンスと、セキュリティ管理の運用ワークロードを低減するソリューションとサービス。

Hard Ware不正侵入防御アプライアンス

- Proventia Network IPS Gシリーズ、GXシリーズ

統合セキュリティアプライアンス- Proventia Network MFS (MXシリーズ

■アンチスパム電子メールセキュリティアプライアンス- Proventia Network Mail Security System■ネットワークアノーマリ検出アプライアンス- Proventia Network ADS

脆弱性監査・管理システム- Proventia Network Enterprise Scanner

Soft Ware統合セキュリティ管理システム

- Proventia Management SiteProtector

デスクトップ・プロテクション- Proventia Desktop Endpoint Security

脆弱性検査・監査ツール- Internet Scanner

サーバ・プロテクション- Proventia Server for Linux

- RealSecure Server Sensor

Service監視サービス

- ＭＳＳ

プロフェッショナル・サービス

IBM ISSが提供する統合セキュリティ製品・サービス概要



PCIDSSの基準に対するソリューションマッピング

・IBM Products

・IBM Products

・IBM Products

・IBM Products

・IBM Products

・IBM Products

・IBM Products

・IBM Products

その他

・VMS

・VMS

・MFS/VMS

ISS MSS

・Proventia IPS/MFS/MSP/ES/ADS

・Proventia Server/MSP/ADS

・Proventia ADS/MSP

・Proventia IPS/MFS/MSP/ES/ADS

・Proventia Desktop/Server/Mail Security

・Proventia IPS/MFS/MSP/ADS

ISS Products

・ｺﾝｻﾙﾃｨﾝｸﾞｻｰﾋﾞｽ

・ｺﾝｻﾙﾃｨﾝｸﾞｻｰﾋﾞｽ・脆弱性スキャン


・ｺﾝｻﾙﾃｨﾝｸﾞｻｰﾋﾞｽ









ISS PSS

12.

情報セキュリティ・ポリシーの整備

11.

10.

定期的なネットワークの監視およびテスト

9.

8.

7.

強固なアクセス制御手法の導入

6.

5.

脆弱性を管理するプログラムの整備

4.

3.

カード会員情報の保護

2.

1.

安全なネットワークの構築・維持

情報セキュリティに関するポリシーを整備すること

セキュリティシステムおよび管理手順を定期的にテストすること

ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること

カード会員情報にアクセスする際、物理的なアクセスを制限すること

コンピュータにアクセスする際、利用者毎に識別IDを割り当てること

データアクセスを業務上の必要範囲内に制限すること

安全性の高いシステムとアプリケーションを開発し、保守すること

アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること

公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること

保存されたデータを安全に保護すること

システムまたはソフトウェアの出荷時の初期設定値（セキュリティに関する設定値）をそのまま利用しないこと

データを保護するためにファイアウォールを導入し、適な設定を維持すること



IBM’s Offerings Mapped to 6 Main Themes of PCIA cross-brand and comprehensive approach

Build &Maintain a Secure

Network

ProtectCardholder Data

MaintainVulnerability Mgmt

Program

ImplementStrong Access Control

MeasuresMonitor & Test

Networks

MaintainInformation Security

Policy

Tivoli Identity Manager (TIM)

Global Services:PCI ent security modelPCI Ref Architecture

Tivoli Access Manager (TAM)

IBM Managed Security Services

GBS Global Services:PCI Remediation

IBM PCI AssessmentsIBM Policy Development

IBM Emergency Response Service

Integrated Cryptographic Server Facility

zOS Encryption Facility

Data Encryption for IMS & DB2 Databases

IBM Proventia ProductsIBM PCI Assessments

IBM Penetration TestingIBM Vulnerability Management

Service

Global Services:PCI Workshop Consulting

Consul InSight & zSecure

Tivoli Security Operations Manager

IBM Enterprise ScannerIBM Proventia Server

IBM Vulnerability Management Service

IBM Proventia Desktop Endpoint Security

IBM Total Store Solution

Consul InSight

Consul zSecure

Tivoli Storage Manager

Consul zSecure

IBM Proventia Network Intrusion Prevention System (IPS)IBM Multifunction Security

IBM PCI AssessmentsIBM Policy Development

Tivoli Security Compliance Manager Tivoli Security Compliance Manager



DMZ内部セグメント

スコープ（適用範囲）の定義および対策例

Internet

DB暗号化製品

DB暗号化製品

IPS/IDS不正アクセス監視


●ASVの役割

・脆弱性スキャン（年4回）

○推奨要件

・ペネトレーションテスト（年1回）

・Webアプリケーションテスト（年1回）

Proventia Network

Enterprise Scanner

Proventia Network MFS

Proventia Network IPS

Proventia Network ADS

ProventiaMail Security

ProventiaManagement SP

ファイアウォールファイアウォール

ファイアウォールファイアウォール



情報持出し制限製品情報持出し制限製品

Proventia Network

Enterprise Scanner

脆弱性スキャン（年4回）脆弱性スキャン（年4回）

ADS異常アクセス監視

ADS異常アクセス監視

PCIDSSで求められる運用およびセキュリティ対策

Proventia ServerProventia ServerProventia ServerProventia Server

Proventia ServerProventia Server

Proventia DesktopProventia Desktop



PCIDSSに係るUSでの動向等



IBM PCI Differentiators

IBM is the only company to provide hardware and software products & services for each of the 12 PCI requirements – IBM has Consulting Services capability which can be combined with cross-brand Software and Hardware to address all requirements for PCI compliance This expertise will guide the client in re-positioning existing processes and technologies and adding new when needed .

IBM ISS is “Globally Certified” to perform PCI services

- Qualified Security Assessor (QSA)

- Approved Scanning Vendor (ASV)

- Qualified Payment Application Security Company (QPASC)

- Qualified Incident Response Company (QIRC)

IT Security- Industry and Compliance Expertise-

- Deep expertise of every aspect of IT Security

- Understanding of Client’s business objectives/processes and howIT Security relates to it

- Incident Response

- Can assist organizations with security incidents involving payment card data

- Able to provide incident response planning to merchants and serviceproviders in advance of a security incident



IBM Global Services - PCI Services Roadmap

Assess Risk

Health Check

Assessments

– PCI Health Check

– Process

– System

– Network

– Internet

– Application

– Wireless

IBM-ISS Ethical Hacking

IBM-ISS PCI Audit

IBM Rational AppScan

Architecture & Design

Enterprise Architecture

Internet Architecture

Secure Solution Design

PCI Architecture

Remediation design

PCI Business Strategy Development

PCI reference architecture

Select and Implement solutions

PCI Application Integration

Product Implementation

Tivoli Services

Security Awareness Program

Product compensating controls

Tivoli access and identity management solutions

Tivoli Security Information and Event management Solutions

IBM-ISS Proventia product suite

IBM Rational AppScan

Planning

Workshops

– Privacy

– PCI planning

– Wireless

– PCI Regulatory

Data modeling

Security/Privacy Strategy and Implementation

PCI Planning and Design

PCI Development

PCI Policy Definition

PCI Standards Definition

Process Development

Metrics Development

Management

Managed Security Services

– Intrusion Detection

– Firewall Management

– Incident Management

– Security Management Standards / Controls

– Physical & Logical Security

– Ongoing PCI Compliance Checking – PCI guarantee

– Security Integrity and Advisories

– Virus Services

– Network Security

– Security Education

– PCI scanning

What should I do? Help me do it. Manage it.



•IBM ISS Products & Services•Tivoli Security Compliance Manager•IBM Proventia Network Anomaly Detection System (ADS) •IBM Global Services•IBM Rational AppScan

•IBM Tivoli Compliance Insight Manager•IBM Tivoli Security Operations Manager•IBM Proventia Server IPS•IBM Global Services

•IBM Digital Video Surveillance•IBM Biometric Access Control•IBM Global Services

•IBM Tivoli Identity Manager•IBM Tivoli Federated Identity Manager•IBM Global Services

•IBM Tivoli Access Manager•IBM Tivoli zSecure Admin•IBM Tivoli Compliance Insight Manager•IBM Global Services

•IBM Proventia Desktop Endpoint Security•IBM Proventia Network Enterprise Scanner•IBM Global Services

•IBM Global Services•Tivoli Console Insight Manager

•IBM Proventia Server Intrusion Prevention System (IPS)•IBM Proventia Network (IPS)•IBM Global Services

•IBM Tivoli Access Manager•IBM Proventia Network Multi-Function Security

•(MFS) –IBM Global Services

•IBM Storage Manager•IBM Proventia Server IPS•IBM PKI Services•IBM Global Services

•IBM Data Encryption of IMS and DB2•IBM Websphere•Proventia Network Intrusion Prevention System•DataPower XML Security Gateway

IBM Services, Software and Hardware for Total PCI ComplianceMeeting Requirements of the Digital Dozen

The products outlined in this chart highlight IBM capabilities. Please call your local IBM executive for a full listing of all products and services that map to PCI requirements

IBM

PRO

FESS

IONA

L

SERV

ICES

IBM M

ANAGED

SERVICES

•IBM Software Development Platform•IBM Tivoli CCMBD•IBM Global Services •IBM Rational AppScan

IBM SOFTW

ARE

SOLUTIONS

IBM

HAR

DWAR

E

Only IBM Has Solutions to Address All 12 PCI

Requirements



対象業界・業種・企業: クレジットカード情報等を取り扱うサービスプロバイダA社

■顧客概要：顧客企業は、主要コンシューマ製品向けの販売およびマーケティング支援サービスを提供しているサービスプロバイダになります。主要なコンシューマブランド企業のために、マーケティング、直接注文、製品在庫管理、販売、配送等のサービス提供を実施しています。主要な取引過程において、クレジットカード情報を取り扱うことが必要となります。

■案件概要：顧客企業のサービス提供上、クレジットカード情報は必須であり、適切に管理しなければならないデータです。1ヶ月毎のクレジットカード情報処理件数は、25万件以上を処理しています。（自己問診（任意）、脆弱性スキャン（必須）、訪問調査（必須））企業のビジネスにおける信頼性および安全性を重視するためにPCIDSS遵守が必要と判断されました。

■選択したソリューション：・主な提供サービスは、認定支援コンサルティングおよび脆弱性スキャン関連サービスの採用・PCIDSS対応製品の導入- IBM Proventia® Network Anomaly Detection System (ADS)- IBM RealSecure® Server Sensor- IBM Proventia® Management SiteProtector™

Professional Security Services米国における対応事例①



対象業界・業種・企業: クレジットカード情報等を取り扱う美容関連商品小売業者B社

■顧客概要：顧客企業は、主要な美容関連商品を取り扱う業界におけるリーディングカンパニーになります。幅広い商品展開により、世界14カ国において500店舗以上を展開しています。

■案件概要：顧客企業のサービス提供上、クレジットカード情報は必須であり、適切に管理しなければならないデータです。加盟店として、クレジットカード情報の年間取扱件数が600万件以上であるレベル１加盟店となりました。（自己問診（任意）、脆弱性スキャン（必須）、訪問調査（必須））企業のビジネスにおける信頼性および安全性を重視するためにPCIDSS遵守が必要と判断されました。

■選択したソリューション：・主な提供サービスは、認定支援コンサルティングおよび脆弱性スキャン関連サービスの採用・PCIDSS対応製品の導入- IBM Proventia® Network Multi-Function Security appliances

- IBM Proventia Network Intrusion Prevention System appliances - IBM Proventia® Network Anomaly Detection System (ADS)- IBM RealSecure® Server Sensor- IBM Proventia® Management SiteProtector™

Professional Security Services米国における対応事例②



米国及び日本における動向米国の動向（補足）- 法令化の動きマサチューセッツ州、テキサス州、カルフォルニア州、コネチカット州、イリノイ州、ミネソタ州

他ベンダーの動向

- ＮＴＴデータ・セキュリティ株式会社

http://www.nttdata-sec.co.jp/column/security20061101.html

http://japan.zdnet.com/release/story/0,3800075480,00016512p,00.htm

http://www.nttdata-sec.co.jp/service/0302/index.html

- ネットワンシステムズ株式会社

http://www.netone.co.jp/solution/pcidss/vol1/index.html

- 住商情報システム株式会社

http://www.scs.co.jp/event/2007/07-13_pci/index.html

- マクニカ

http://www.macnica.net/pcidss/

- シトリックス・システムズ・ジャパン株式会社

http://www.citrix.co.jp/products/caf.html?gclid=CLTbrJ6A648CFRwlegodl16TMg

その他の動向- “国内クレジットカード会社初”PCIDSS完全準拠認定証発行（三井住友カード株式会社）

http://www.nttdata-sec.co.jp/news/20071106.html



GX4004

IBM ISSが提供する製品（参考情報）

プロテクション製品

統合管理コンソール

ネットワーク異常検出

脆弱性検査ツール

MX1004

不正侵入防御アプライアンス

IBM Proventia Network IPS (Gシリーズ、GXシリーズ)

統合セキュリティアプライアンス

IBM Proventia Network MFS (MXシリーズ)

サーバ・プロテクション

IBM Proventia Server for LinuxIBM RealSecure Server Sensor

デスクトップ・プロテクション

IBM Proventia Desktop Endpoint Security

ネットワークアノーマリ検出アプライアンス

IBM Proventia Network ADS

脆弱性監査・管理システム

IBM Proventia Network Enterprise Scanner

IBM Internet Scanner

PCIDSS

要件1

要件5

要件6

要件7

要件10

要件11

該当製品

PCIDSS

要件1

要件5

要件6

要件7

要件10

要件11

該当製品

統合セキュリティ管理システム

IBM Proventia Management SiteProtector



©Copyright IBM Japan, Ltd. 2008

日本アイ・ビー・エム株式会社

Produced in Japan Jun 2008 All Rights Reserved

●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。

●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありません。効果はお客様の環境その他の要因によって異なります。

●製品、サービスなどの詳細については、[email protected]弊社もしくはビジネス・パートナーの営業担当員にご相談ください。

IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。

Microsoftは、Microsoft Corporationの米国およびその他の国における商標。

Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。

他の会社名、製品名およびサービス名等はそれぞれ各社の商標。

本資料に関するお問合せ

日本アイ・ビー・エム株式会社ITS事業 ISS事業部

パートナーセールス部TEL ： 03-5740-4060E-Mail ： [email protected] ： http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1327874 ※当資料に関するお問い合わせは、担当営業、または上記までご連絡ください。

IBM ISS PCI データセキュリティー評価支援 サービス … ISSが提供するPCIDSS関連サービス: 1.Quarterly...

Documents

IBM ISS PCI データセキュリティー評価支援サービス … ISSが提供するPCIDSS関連サービス: 1.Quarterly...