2008.04.24　NTTデータ・セキュリティとクォリスPCI関連サービスで提携

News Release

NTTデータ･セキュリティ株式会社
クォリスジャパン株式会社

NTTデータ・セキュリティ株式会社（東京都港区 代表取締役社長 服部武司　以下、NTTデータ・セキュリティ）とクォリスジャパン株式会社（東京都千代田区、代表取締役:菊地昭一、以下クォリスジャパン）は本日、PCIデータセキュリティスタンダード（以下、PCIDSS）にお客様が準拠しているかどうかを確認するPCI関連サービスで提携したことを発表しました。これにより、NTTデータ・セキュリティは、クォリスのSaaS型で提供する脆弱性スキャンサービス「QualysGuard PCI」を標準採用し、日本国内では唯一、PCI認定スキャニングベンダー（ASV）とPCI認定セキュリティ審査機関（QSA）の資格を併せ持つセキュリティ評価会社として、PCI関連サービスを強化していきます。

PCIDSSは、クレジットカード会員の情報を保護し、不正利用やセキュリティ事故を防止する目的で、国際ペイメントカードブランド 5社(American Express、Discover、JCB、MasterCard、VISA)が、共同で策定したクレジットカード情報の保護に関する国際基準です。クレジットカード決済は、従来の店舗からオンラインにも普及し、小売・流通・サービス・運輸業などの様々な業種から公金分野にまで裾野が広がりつつあり、カード情報を扱う企業やオンライン加盟店は、PCIDSSによるコンプライアンスに対応することが求められています。

PCIDSSに準拠しているかどうかの検証は、対象となる企業の規模に応じて、自己問診、脆弱性スキャン、訪問調査の3段階で行われます。自己問診以外は、国際ペイメントカードブランドが設立した推進協議団体「PCI Security Standards Council LLC (PCISSC)」が認定するASVやQSAによって行われなければなりません。クォリスは、PCISSCから認定されたASVであり、お客様はQualysGuard PCIを使うことで、迅速にPCI準拠の自己問診を行って脆弱性スキャンを行い、自動的にセキュリティの脆弱性の識別・除去を行うことができます。NTTデータ・セキュリティは、現時点で国内で唯一ASVとQSAの資格を併せ持つ評価会社であり、すでにPCI訪問調査サービスを展開していますが、今回クォリスのQualysGuard PCIを標準採用することによって、自己問診、脆弱性スキャン、訪問調査の3段階全てに対応したPCI関連サービスを展開していきます。

1.　QualysGuard PCIについて

QualysGuard PCI は、ハードウェアやソフトウェアのインストール、メンテナンスに煩わされることのないSaaS型で提供されるWeb アプリケーションであり、PCI コンプライアンスのテスト、レポーティング、提出を簡単に行える高精度で使いやすいツールです。QualysGuard PCI によって、加盟店やサービスプロバイダはあらゆる検証要件を満たすことができます。QualysGuard PCI では、ユーザが PCI 自己問診票をオンラインで入力/提出し、すべての外部システムに対して定義済みの PCI スキャンを実施し、PCI 基準で要件となるネットワークやシステムの脆弱性を特定することができます。QualysGuard PCI の特性は高精度なスキャニング技術であり、100 万件のスキャンで欠陥がわずか 3.4 件以下のエラー率というシックスシグマレベルの精度を維持しています。この技術は、すべての主要オペレーティングシステム、サービス、アプリケーションに関する既知の脆弱性を網羅した広範な知識を収めた、完全性の高い脆弱性ナレッジベースによって実現しています。

＜主な機能＞

• PCIの自己問診票はオンラインで記入することができ、処理中はいつでもドラフト版を保存して後で完成することができます。また、自己問診票は複数のユーザが共同で閲覧および共有することができます。
• 無制限に PCI スキャンを実施できます。すべての外部システムを四半期に 1 度スキャンすることも、コンプライアンス目的で必要が生じるたびにスキャンすることもできます。
• 詳細な改善指示を提供して、識別されたセキュリティ上の脅威を迅速に除去できます。
• PCI レポートでは、PCI 基準で定義された Executive Report と Technical Report が提供されます。
• オンライン提出機能により、加盟店が PCI コンプライアンスを確立した時点で、アクワイアラに自動通知できます。

2.　PCI訪問調査サービスについて

PCI訪問調査サービスは、PCIDSSを用い、クレジットカード加盟店やサービスプロバイダ、決済代行事業者などクレジットカード情報を保持する企業を対象に、クレジットカード情報の保存・利用状況の調査を行うものです。お客様の社内ルール、運用、システム設定等に、PCIDSSに定められた要件が正しく反映されているか、PCIDSS監査手順に従って網羅的に調査します。これにより、お客様は、専門家による客観的な評価、現状把握と問題点の洗い出し、PCIDSS遵守の証明/認定証の発行等のメリットを得ることができます。

＜訪問調査の概要＞

• インタビュー：各部門の責任者や担当者へセキュリティ対策状況、運用状況、情報の取り扱いについてインタビューを行い、現状を確認します。
• 文書調査：セキュリティポリシー、標準、手順書などの文書や、その文書の示すとおりに運用されていることの証跡として記録文書の確認を行います。
• 観察：業務で、クレジットカード情報を取り扱う区域に立ち入り、物理面でのセキュリティ対策実施状況の確認を行います。
• 設定確認：サーバ、ネットワーク機器について必要なセキュリティ対策が施されていることの確認を行います。

※各規格名、会社名、 団体名は、各社の商標または登録商標です。