2010.02.15クォリスのクラウド型サービスをベースとした「PCI DSS」準拠に最適な脆弱性スキャンサービスを本格展開

News Release

NTTデータ･セキュリティ株式会社

クラウド型で企業ネットワークの脆弱性評価サービスを提供するクォリス ジャパン株式会社（東京都千代田区、代表取締役：　菊地昭一、www.qualys.jp、以下、Qualys）とNTTデータ・セキュリティ株式会社（東京都港区 代表取締役社長： 服部武司、www.nttdata-sec.co.jp、以下、NTTデータ・セキュリティ）は、2008年4月にPCI DSS（Payment Card Industry Data Security Standard）への準拠性を評価するサービスについて提携しましたが、NTTデータ・セキュリティがQualysの「QualysGuard PCI」をベースとしたPCI DSSに準拠した包括的な脆弱性スキャンサービス「NinjaSCAN（ニンジャ スキャン）」を本日2010年2月15日より本格展開することを発表します。

PCI DSSは、クレジットカード会員の情報を保護し、不正利用やセキュリティ事故を防止する目的で、国際ペイメントカードブランド 5社（※1）が、共同で策定したクレジットカード情報の保護に関する国際基準です。クレジットカード加盟店、銀行、決済代行サービス企業のほか、インターネット上でクレジットカード決済を行う小売・流通・サービス・通信・運輸業や水道料金などの公金分野もPCI DSSによるコンプライアンス(法令遵守)が求められています。

PCI DSSに準拠しているかどうかの検証は、対象となる企業の規模に応じて、自己問診、脆弱性スキャン、訪問調査の3段階で行われます。自己問診以外は、国際ペイメントカードブランドが設立した推進協議団体「PCI Security Standards Council LLC (PCISSC)」が認定するASV（※2）やQSA（※3）によって実施されなければなりません。Qualysは、PCISSCから認定されたASVであり、顧客企業はQualysGuard PCIを使うことで、迅速にPCI準拠の自己問診を行って脆弱性スキャンを行い、自動的にセキュリティの脆弱性の識別・除去を行うことができます。

ASVの資格を持つNTTデータ・セキュリティのNinjaSCANは、QualysGuard PCIを完全日本語化したPCI DSS準拠のためのASVスキャン機能に特化した脆弱性スキャンサービスです。企業の各拠点に存在する通信機器やサーバー、パソコンなどに搭載したソフトウェアの脆弱性診断や診断結果からPCI DSS準拠の状況判定などをインターネット経由で実施できます。顧客企業は、自社のセキュリティポリシーに則った一元管理が可能になります。国内外に多数の拠点を保有する企業などは、クラウド型の同サービスを利用することで脆弱性スキャンおよび管理が容易になるため自社社員の業務負担が軽減される上、専門の技術者による年4回以上の訪問診断と比較した場合、大幅なコスト削減を図ることができます。

NTTデータ・セキュリティは、企業規模を問わず小売、流通、サービス、通信といった業界をターゲットに、今後3年間で1億円の売上高を目指します。 一方、Qualysは、引き続きグローバルで培った経験、ノウハウをNTTデータ・セキュリティと共有することで日本市場に合致したサービスを提供していきます。さらに、今回の完全日本語化を皮切りにアジア各国の言語対応を拡大することで企業のPCI DSS準拠に関する包括的な支援をしていきます。

※1 American Express、Discover、JCB、MasterCard、VISAの5社
※2 ASVとは、Approved Scanning Venderの略で、認定スキャンベンダーのこと。
※3 QSAとは、Qualified Security Assessorsの略で、認定審査機関のこと。

【NinjaSCAN】

操作性にも優れたユーザーインターフェースを持つ「NinjaSCAN」は、ASVスキャンに特化した脆弱性スキャンサービスです。このほか、Qualysの大規模な分散型組織向けセキュリティリスクおよびコンプライアンス管理を提供するQualysGuard EnterpriseおよびSMB向けもしくは大規模企業のビジネスユニット向けにセキュリティの脆弱性を除去し、コンプライアンスの確立を支援するQualysGuard Expressを併用した包括的な脆弱性スキャンソリューションを提供します。

【サービスメニュー】

• 脆弱性スキャン（スケジュール実行可）
• 脆弱性スキャン結果からPCI DSS準拠状況判定
• 正式フォーマットのレポートの簡易生成
• 自己問診機能および結果の記録
• 2年間の記録保持（自動）
• アクワイアラ様へのレポートおよび自己問診票提出機能（予定）
• ASVテクニカルサポートリクエスト（誤検知対応等）

【QualysGuard PCIについて】

QualysGuard PCI は、ハードウェアやソフトウェアのインストール、メンテナンスに煩わされることのないクラウド型で提供されるWeb アプリケーションであり、PCI コンプライアンスのテスト、レポーティング、提出を簡単に行える高精度で使いやすいツールです。QualysGuard PCI によって、加盟店やサービスプロバイダはあらゆる検証要件を満たすことができます。QualysGuard PCI では、ユーザが PCI 自己問診票をオンラインで入力/提出し、すべての外部システムに対して定義済みの PCI スキャンを実施し、PCI 基準で要件となるネットワークやシステムの脆弱性を特定することができます。QualysGuard PCI の特性は高精度なスキャニング技術であり、すべての主要オペレーティングシステム、サービス、アプリケーションに関する既知の脆弱性を網羅した広範な知識を収めた、完全性の高い脆弱性ナレッジベースによって実現しています。

【QualysGuard Enterprise （大規模な分散型組織向け）について】

QualysGuard Enterprise は、企業全体の脆弱性管理とポリシーコンプライアンスのプロセスを自動化し、ビジネスリスクに基づいてネットワーク検出とマッピング、資産の優先順位付け、脆弱性評価レポート、改善の追跡を行います。ポリシーコンプライアンス機能により、セキュリティマネージャは社内セキュリティポリシーおよび社外の規制のコンプライアンスを監査、実施、文書化できます。

【QualysGuard Express （小～中小規模の組織または企業のビジネスユニット向け）】

QualysGuard Expressは、ネットワーク全体のすべての IT 資産の識別とカタログ化、セキュリティの脆弱性の識別と改善の優先順位付け、規制コンプライアンスの確実化を自動的に行います。

【NTTデータ・セキュリティについて】

1999年、エヌ・ティ・ティ・データの戦略的子会社として設立。 エヌ・ティ・ティ・データのシステムインテグレーションで培われた経験豊かなシステム構築ノウハウを、安全・堅固なセキュリティ設計・構築に生かすため、セキュリティ専任の企業としてサービス提供を開始する。設立当初より、セキュリティ確保には専門家のアドバイスが重要であるという考えを持ち、製品販売が主力の中で、システムのセキュリティ状態を診断し、脆弱 点の改善を促進する診断サービスや、社外からの不正侵入を検知する不正アクセス監視サービス、それらセキュリティサービスの実施手順となるセキュリティポ リシー策定支援などを中心にサービスを展開している。

【Qualys（クォリス）社について】

Qualys, Inc. は、1999年に設立され米国カリフォルニア州の Redwood Shores に本社を置き、日本、フランス、ドイツ、イギリスおよび香港に支社を展開する、オンデマンド脆弱性管理およびポリシーコンプライアンスソリューションのリーディングカンパニーです。Qualysのクラウド型ソリューションは世界のどの拠点でもわずか数時間で稼働を開始でき、あらゆる規模の企業に対し迅速かつ継続したセキュリティ監査とコンプライアンス体制を提供しています。Qualys の代表的ソリューションである QualysGuard® は、ネットワークをセキュアに保護し、セキュリティ監査を自動化して、コンプライアンスを徹底します。今日、QualysGuard® は、Fortune Global 100のうち42社を含む世界85カ国、4,000を超える組織に利用されており、年間2億IP以上で実行されています。 クォリスジャパン株式会社は、2007年10月に設立されました。詳しくは、www.qualys.jpをご覧ください。

※ 記載されている会社名、製品名、サービス名等は、各社の商標です。