PCI DSS準拠診断サービス

概要

14年の診断実績をベースにPCI DSS準拠を支援

Webシステム開発のノウハウをベースにした、セキュリティ診断サービスの黎明期からサービス展開している信頼性の高いWeb脆弱性診断や、 PCI SSCに認定されたTripwire社(ASV)によるネットワーク脆弱性診断、PCI DSS準拠のためのセグメンテーションの有効性確認、これらPCI DSSで必要な診断サービスをセットで提供します。診断後にも当社セキュリティ・スペシャリストによるアフターサポートご提供します。

特長

1. 信頼性の高いきめ細かな診断

要件6.5/6.6への準拠にあたって実施が必要な、Webアプリケーションに対するマニュアル診断ではすべての診断項目を手作業で診断し、特に信頼性を求められるWebアプリケーションに潜在する脆弱性を発見します。

PCI DSSの要件で規定されている脆弱性やセキュリティ業界のベストプラクティスに沿った脆弱性の有無を確認します。

要件11.2への準拠にあたって実施が必要なネットワーク診断については、ASVであるTripwire社からの診断結果レポート(英語)と診断結果をまとめた日本語レポートの2種類を提供します。
また、四半期の診断スケジュールを管理し、担当者様へ定期診断の連絡(メール)をすることでPCI DSSへの継続的な準拠を支援します。

主な診断項目

検査区分:サーバ設定
プラットフォームの設定や実装方法に不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
不要なメソッド/サービスの稼動 Best Practice
バナーチェック
プラットフォームの既知の脆弱性
ディレクトリ・リスティング
強制ブラウジング
検査区分:アプリケーション
Webアプリケーションの実装方法に不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
エラー処理状況 6.5.5
ロジック流出 6.5.5
バックドア、デバックオプションの存在 Best Practice
ファイル機能(アップロード、ダウンロード) Best Practice
クロスサイト・リクエスト・フォージェリー 6.5.9
アプリケーション・ログの取得 Best Practice
セキュア・プログラミング状況 6.5.3
レースコンディション(マルチスレッド) Best Practice
検査区分:通信
Webアプリケーションとサーバ間の通信に関して不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
キャッシュ制御 Best Practice
通信の暗号化強度 6.5.4
リファラ情報 Best Practice
検査区分:セッション管理
セッションIDの取り扱いに不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
セッションID使用状況 6.5.10
Cookie使用状況 6.5.10
ログアウト機能 6.5.10
検査区分:認証
ログインなどの認証時に不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
ユーザ認証処理 6.5.8
アカウントロック機能 Best Practice
ブルートフォース攻撃(辞書攻撃)耐性 Best Practice
アクセス権限 6.5.8
検査区分:アカウント管理
ログインアカウントの取り扱いに不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
権限昇格 6.5.8
情報管理 Best Practice
パスワード使用状況 Best Practice
検査区分:パラメータ操作
Webアプリケーションから送信されるパラメータを改変することで脆弱性が発生しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
HTTPヘッダ・インジェクション 6.5.1
メールヘッダ・インジェクション 6.5.1
クロスサイト・スクリプティング 6.5.7
SQLインジェクション 6.5.1
OSコマンド・インジェクション 6.5.1
パス・トラバーサル 6.5.8
バッファ・オーバーフロー 6.5.2
LDAPコマンド・インジェクション 6.5.1
その他パラメータ操作 6.5.1
検査区分:クライアント側スクリプト
Webアプリケーションで使用されているスクリプトに不備が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
JavaScript許可状況 Best Practice
VBScript許可状況
JScript許可状況(IE限定)
カスケーディング・スタイル・シート許可状況
JavaApplet使用状況チェック
Ajax API実装チェック
クライアント側コメント
検査区分:モバイル固有の問題
モバイル端末に起因する脆弱性が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
アクセス制御機能(ゲートウェイに依存する問題) Best Practice
携帯固有番号に依存する問題
文字コードに依存する問題
フルブラウザ許可状況
検査区分:その他
上記以外に脆弱性が存在しないか検査します。

診断項目はこちら

項目名 PCI DSS要件
クライアント・アプリケーションに関する問題 Best Practice
その他、HTTPプロトコルに依存する問題

2. 充実した診断結果レポート

診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、お客様専用の報告書を提出します。

レポートサンプル

サービスフロー

ネットワーク診断(外部):お客様 お問い合わせ・お申し込み→KCCS ヒアリングシート送付→お客様 ヒアリングシート記入→KCCS 初回診断※1 ご報告 ヒアリングシートを基に診断し報告→お客様 診断結果確認脆弱性対処(KCCSによる質問サポート)→KCCS 再診断 初回診断で検出した脆弱性を対処後、再診断し報告→KCCS 四半期ごとの診断※2 第2四半期~第4四半期の診断実施時期に担当者様へメールで連絡 Web脆弱性診断:お客様 お問い合わせ・お申し込み→KCCS 診断対象の規模から見積もりを算出。キックオフにて診断内容を確認。→KCCS 診断実施・速報負荷を迎えた診断と速報→お客様 診断結果確認 脆弱性対処(KCCSによる質問サポート)→KCCS 再診断※3 診断で検出した脆弱性を対処後、再診断し報告→KCCS 報告会 報告書を基に対策方法を報告

価格

「お問い合わせ・資料請求」より、お問い合わせください。

お問い合わせ・資料請求別ウィンドウで開きます

カタログダウンロード

京セラコミュニケーションシステム(KCCS)は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。