• DDoSプロテクションサービス

Tenable™とPCIセキュリティ

 

Tenableが提供するさまざまな企業向けソリューションは、PCI DSS要件への準拠、セキュリティとコンプライアンスを維持するためのカード会員データ環境の監視、重要なセキュリティプロセスの確実な実施、および年次検証評価のためのコンプライアンスの証拠の提示に向けて、企業をサポートします。本ドキュメントでは、PCI DSS要件や、これらの要件を満たすために必要なテクノロジとソリューション、および企業が要件に準拠できる (そしてさらにその上を行ける) ようにサポートするTenableサービスについて、説明します。PCI DSSの詳細については、pcisecuritystandards.orgをご覧ください。

 
PCI DSS要件

要件1:カード会員データを保護するために、ファイアウォールをインストールして維持する
要件2:システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない
要件3:保存されるカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを転送する場合、暗号化する
要件5:マルウェアに対してすべてのシステムを保護し、ウイルス対策ソフトウェアを定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:システムコンポーネントへのアクセスを識別、認証する
要件9:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティシステムおよびプロセスを定期的にテストする
要件12:すべての担当者の情報セキュリティに対応するポリシーを維持する

 

必要なテクノロジとソリューション (および必要な理由)
 
ファイウォール、ルーター、スイッチ:ネットワーク境界を保護し、多層的セキュリティ保護 (セグメンテーション) を提供します。
 
サーバー、ワークステーション、仮想化アプライアンス、VPN:アプリケーションサービスを提供、データを保存、リモートアクセスを提供します。
 
ファイル/ディスク暗号化、暗号化データベース:サーバーまたはデータベースに電子的に保存されるカード会員データを保護します。
 
VPN、TLS Certs、DLP:カード会員データを電子メールまたはその他のエンドユーザテクノロジを使用して安全に送信します。
 
ウイルス対策、マルウェア対策、ホワイトリスト:ウイルス、トロイの木馬、マルウェアの検出や阻止を行い、データ盗難を防ぎます。
 
Webアプリテストツール、WAF
 
アクセス制御システム:機密データやシステムへのユーザアクセスを制御し、ユーザIDおよびパスワードメカニズムを提供します。
 
安全なリモートアクセス、SSH、VPN、2FA、認証メカニズム:ユーザおよびそのユーザアカウントを管理し、ユーザアカウントが安全に使用されていることを確認します。
 
キーパッド/PINエントリ、バッジリーダー、オフサイトストレージ:適切な物理的セキュリティ制御や、過去の映像のアーカイブを含む監視機能を提供します。
 
一元化ログソリューション、ログパーサー、SIEM、NTP:セキュリティに関連するすべてのイベントおよび活動を常に監視し、記録します。
 
ワイヤレス検出、ペンテスター、脆弱性スキャナ、ASV、FIM、IDS/ IPS:スキャン、ペンテスト、不正ワイヤレス検出、ファイル整合性監視などの基本的なセキュリティ活動です。「未知」のハッカー活動を監視するには、ここが最も重要な部分となります。
 
リスク評価プロセス、インシデントレスポンストレーニング、セキュリティ認識トレーニング:組織内での健全なセキュリティ実施のための管理方法および体制を提供します。

 
 
Tenableによるサポート

SecurityCenter Continuous View™ (SecurityCenter CV™) は、ファイアウォール設定制御を補完します。継続的かつ定期的なスキャン結果により、組織の設定ポリシーと実際の設定を比較できます。管理者は、コンプライアンスの状態を監視し、問題が特定された場合には是正措置を取ることができます。また、事前設定されたPCIコンプライアンスポリシーと組織固有のポリシーを使用して、Webベースのダッシュボードを備えたSecurityCenter CVレポーティングを活用できます。これにより、ネットワークが可視化され、コンプライアンスパラメータが維持されていない場合や、カスタマイズ設定した脆弱性しきい値を超えた場合には、管理者に警告が通知されます。
対象製品:SecurityCenter CV、Nessus® / Nessus ManagerまたはNessus Cloud*

 

SecurityCenter CVは、設定ポリシーと実際の設定を継続的かつ定期的にスキャン/監査することで、管理の実装プロセスおよび制御を補完します。これにより、管理者は、コンプライアンスの状態を監視し、必要に応じて是正措置を取ることができます。Nessusは、使用されているSSL/TLSのバージョンを認識し、安全な通信を保証します。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*
 
SecurityCenter CVは、暗号化されていないPAN (プライマリアカウント番号) を検知し、暗号化キーの保護を監視します。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*

 

SecurityCenter CVを使用することで、組織は、クレジットカードデータを受け取るすべてのWebポータルまたはインターネットの入口点をスキャンして、許可されているプロトコルおよびその他の暗号化パラメータに関する情報を収集することにより、オープンな公共ネットワークでカード会員機密データが送信されている間に、非暗号化データを検出することができます。Nessusは、使用されているSSL/TLSのバージョンを認識し、安全な通信を保証します。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*
 
SecurityCenter CVは、継続的なコンプライアンスを保証するための取り組みをサポートすることで、包括的なマルウェア対策プログラムを補完します。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*

 

この要件において重要なのは、ネットワーク内の新しい脆弱性を特定できるプログラムを使用することです。Tenableは、新しい脆弱性に対応するため、Nessus製品およびPassive Vulnerability Scannerを定期的に更新しています。SecurityCenter CVは、これらのツールにより提供される情報を使用して、その他の脆弱性およびパッチ管理プロセスをサポートできます。これは、継続的なネットワーク監視に基づくレポートおよびダッシュボードの提供を通じて実現され、それにより、新しい脆弱性がネットワークで発生してもこれを特定することができます。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*

 

NessusコンプライアンスチェックおよびSecurityCenter CVのLog Correlation Engineは、組織のアクセス制御プロセスおよび手続きを補完します。これらにより提供される情報を使用することで、コンプライアンスを評価し、アクセス制御プロセスが不十分、またはコンプライアンスに違反している可能性があるときに、管理者に警告できます。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*
 
SecurityCenter CVおよびTenableのスキャンツールを使用して、アカウントおよびパスワード設定パラメータを監査し、ログレコードでコンプライアンス状況を監査することで、ID管理手続きを補完できます。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*

 

物理的なアクセス制御によってアクセスログが提供される場合、SecurityCenter CVのLog Correlation Engineを使用して、ログデータをまとめ、アクセスレポートの準備をすることができます。
対象製品:SecurityCenter CV


 
 

SecurityCenter CVのLog Correlation Engineは、PCI DSSの要件10を直接サポートし、ハイパーバイザおよび仮想マシンの両方で制御要件を追跡および監視できます。SecurityCenter CVは、フロントエンドを組織のログサーバーに提供し、広範囲に及ぶレポーティングおよび解析ツールを提供できます。これらのツールにより、ログの監視や、PCI DSSで要求されるログを取得できるようサーバーが適切に設定されているかの確認を、行うことができます。
対象製品:SecurityCenter CV


 
 

ASVサービスを備えたNessus Cloudは、外部脆弱性スキャンを実行してこの要件を満たします。Nessus、Nessus ManagerおよびSC/SC CVは、内部脆弱性スキャンをサポートしてこの要件を満たします。また、SecurityCenter CVは、Nessus製品とPVSスキャンおよびテスト活動のための単一インターフェイスを提供し、ログを監視してこれらをサポートするLog Correlation Engineを提供することができます。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*


 
 

Nessus、PVSの継続的監視およびLog Correlation Engineから収集した情報は、SecurityCenter CVのダッシュボードおよび高度なレポードによって提示されます。これにより、組織のネットワークおよびカード会員データ環境の状態に関する重要な情報が提供され、管理部門のリスク管理活動、サードパーティプロセッサ監視活動およびインシデントレスポンス計画をサポートします。
対象製品:SecurityCenter CV、Nessus / Nessus ManagerまたはNessus Cloud*


 
 

*四半期ごとの外部スキャンを実行してPCI要件を満たすことのみを目的とする場合でも、TenableのNessus Cloudを使用して、これらの要件を満たすことができます。Nessus Cloudは、PCI認定のApproved Scanning Vendor (ASV) ソリューションです。

 
 

TenableのPCIソリューションの詳細については、tenable.com/industries/pciをご覧ください。詳細情報:tenable.comをご覧ください。お問い合わせ:subscriptionsales@tenable.comまで電子メールでお問い合わせいただくか、tenable.com/contactにアクセスしてください。Copyright © 2015. Tenable Network Security, Inc. All rights reserved. Tenable Network SecurityおよびNessusは、Tenable Network Security, Inc.の登録商標です。SecurityCenterおよびPassive Vulnerability Scannerは、Tenable Network Security, Inc.の商標です。その他すべての製品またはサービスは、それぞれの所有者の商標です。EN-JUN022015-V9

  
 

原文はこちらです。