NTTデータ先端技術は2022年6月27日、PCI DSS準拠支援サービス「PCI DSSトータルサービス」を刷新した。新たに、同年3月31日に公開になった最新版の規格「PCI DSS Version 4.0」への準拠を支援できるようにした。PCI DSS v4.0で新たに追加した64要件のうち13要件は直ちに適用になり、残りの51要件は2025年3月31日以降に要件(それまではベストプラクティスの位置づけ)となるので、期限までの対応が必要になる。
NTTデータ先端技術の「PCI DSSトータルサービス」は、PCI DSSへの準拠を支援するサービスである。PCI DSSは、クレジットカード情報を扱う情報システムが備えるべきセキュリティ要件を定めたガイドライン。同サービスでは、現状把握や計画策定のコンサルティングから、改善のための製品の提供、認定審査、準拠状況の確認といった全体のプロセスを網羅する(図1)。
図1:PCI DSSトータルサービスの概要(出典:NTTデータ先端技術)拡大画像表示
今回、同サービスを刷新して、同年3月31日公開の規格「PCI DSS Version 4.0」への準拠を支援する。
PCI DSS v4.0で新たに追加された64要件のうち、13要件は直ちに適用になる。残りの51要件は、2025年3月31日以降に要件となるので(それまではベストプラクティスの位置づけ)、期限までの対応が必要になる。
コンサルティングサービスでは、適切な計画の下でPCI DSSに準拠できるように、計画段階から審査前の最終確認までを総合的に支援する。
- 準拠計画策定支援:現時点での人員計画や開発/運用状況、システム更改、予算などを踏まえて、全体計画策定を支援
- ギャップ分析:本審査と同様の手法と観点で現状を把握、PCI DSS非準拠部分の洗い出し
- テスト:Webアプリケーション診断、無線スキャン、脆弱性スキャン、ペネトレーションテストを実施
- 是正計画策定支援:ギャップ分析で洗い出された非準拠の部分に関する是正計画を策定する段階で、その対策方法が適切か、不足もしくは過剰な対策にならないかを評価
- 対策実施後評価:対策を実施した後、計画通りに対策が施されたかどうかを確認
ギャップ分析やシステムのテストで洗い出した課題を改善するための、各種の製品・サービスを提供する。例えば、WAF(Webアプリケーションファイアウォール)、脆弱性管理、変更管理、ログ統合管理、デバイス制御・証跡保管、セキュリティ情報配信サービスなどがある。
