サイバートラストは2021年2月16日、同社の「脆弱性診断サービス」の新たなメニューとして「PCI DSS ペネトレーションテスト」を提供開始した。PCI DSS準拠のセキュリティレベルを要するすべての事業者に向けて、セキュリティの向上を支援する。対象のシステムに対し、実戦的な攻撃手法を用いて、脆弱性やセキュリティ耐性などを調査する。
脆弱性診断サービスは、情報システムの脆弱性を診断するサービスである。攻撃者の視点から、様々な手法によってシステムに内在する脆弱性を調査し、検出した問題に対する対策を提案する。
サイバートラストが提供する脆弱性診断サービスの診断項目は、IPA(情報処理推進機構)など各種セキュリティ機関による勧告と、サイバートラストの脆弱性診断の実績に基づいて選定している。広く脆弱性を網羅した診断を実施する。
今回、同サービスの新メニューとして、PCI DSSに準拠しているシステムに対するペネトレーションテストを用意した。PCI DSSとは、クレジットカード情報を扱う事業者が準拠すべきセキュリティのガイドラインである。
PCI DSSでは、新しい攻撃手法や、ソフトウェアやシステムの変更に伴って発生しうる新たなリスクなどを、識別・検知・修正するために、定期的なテストの要件を記載している。四半期に1度の内部および外部からの脆弱性スキャンと、ネットワーク層およびアプリケーション層に対するペネトレーションテストを求めている。
PCI DSSペネトレーションテストでは、考えられる攻撃箇所に対して、実際にハッカーが用いる手法で疑似攻撃を行い、システムへの侵入を試み、特権取得やデータ漏洩の可能性を検査する。PCI DSS 要件 11.3などのガイドラインに基づくペネトレーションテストを実施する。見つかった脆弱性を用いてシステム権限の取得を試みるテストも実施する。
なお、同サービスは MSP(Managed Service Provider)事業を主軸とした各種サービスを提供するアイティーエムの調査技術を採用している。
サイバートラスト / ペネトレーションテスト / PCI DSS / 脆弱性検査
