TISは10月10日、クレジット業界におけるグローバルセキュリティ基準であるPCI DSS1v4.0への準拠対応を支援する「PCI DSS対応認証スキャンサービス」の提供を開始すると発表した。

同サービスの特徴は、特権アクセスを検査に組み込むことで、これまでの非認証スキャンでは見つからない脆弱性をチェック・検出できる点。

  • 「PCI DSS対応認証スキャンサービス」の特徴

PCI DSSv4.0準拠に対応する前の従来方式の非認証スキャンでは、スキャン対象サーバにログインせず、ポートスキャンにより対象サーバが外部に公開しているサービスを調査し、サービスごと毎に脆弱性の有無の確認を行っていた。

これに対し、新サービスで提供する認証スキャンにおいては、対象サーバにログイン後、サーバ内部からスキャンを実施し潜在的なリスクを可視化することで、他システムと連携していないソフトウェアの脆弱性も検出できる。

同社は、ASV・QSA資格を保有しており、導入・運用面でのハードルを最小限に抑える形で、2025年4月までの対応が必須となる認証スキャンの導入を支援する。

  • PCI DSSv4.0対応期限のマイルストーン