SOLUTIONS BRIEF: ベライゾンペイメントカード業界(PCI) コンプライアンス管理プログラム PCI のコンプライアンス基準への対応に 苦慮していらっしゃいませんか? ハッカーその他の犯罪者は、できるだけ多くの貴重なクレジットカードデータを手に入れよう と狙っており、そうしたデータにアクセスするためなら何でも利用します。ペイメントカード 業界セキュリティ基準審議会は、この残念な状況に対処すべく、カード会員データを保護する ために考案されたテクノロジと業務に関する要件である PCI デー タセキュリティ基準 (PCI DSS) を定めました。この基準は、 対象となるデータの保存、処理、伝送を行う全世界のすべて の加盟店や組織に適用されます。PCI 基準の遵守は各利害 関係者に義務付けられ、ペイメントカード業界セキュリ ティ基準審議会を設立した主要クレジットカードブランド によって実施されています。PCI DSS の 12 要件は、 次の 6 つのカテゴリに分類されます。 • 安全なネットワークの構築と維持 • カード会員データの保護 • 脆弱性管理プログラムの整備 • 強固なアクセス制御手法の導入 • ネットワークの定期的な監視およびテスト • 情報セキュリティポリシーの整備 ベライゾン ビジネスの PCI コンプライアンス管理プログラムは、 カード会員データの保護に取り組む 企業に対する長年の支援から 生まれました。 1 ベライゾンペイメントカード業界(PCI)コンプライアンス管理プログラム PCI コンプライアンスは、企業の業務に関する重要な要件の 1 つですが、それを実現するプロ セスは、ともすれば年 1 回の火災避難訓練のようなものになりがちです。企業は、次のような 問題を抱えている可能性があります。 関心の欠如。PCI コンプライアンスは継続的なプロセスですが、多くの企業は年 1 回の評価す なわち自己問診票の提出期限が迫るまで関心を示しません。残念なことに、こうした状況は、 コンプライアンス報告書 (ROC) の提出期限までに急いで情報収集が行われギャップの修正が 試みられる事態につながります。このサイクルは、スタッフの業務に大きな混乱をもたらし、 生産性に悪影響を及ぼします。 修正するための時間の欠如。PCI 管理策のギャップが特定された場合は、それに対処し解消し なければなりません。ギャップが特定されてからコンプライアンス報告書の提出期限までに十 分な時間がないことも多く、その結果、代替管理策を増やさざるを得なくなるか、あるいはコ ンプライアンス違反を理由に罰金が科されることになります。 リソースの不足。多くの企業がそうであるように、貴社も、特定されたギャップを要求された 時間枠内で修正するために必要な特別な能力や専門知識を備えたリソースを持ち合わせていな いのではないでしょうか。その場合は、ぎりぎりになってから実施されるプロジェクトに多額 のコストが発生するおそれがあり、手当たりしだいに真っ先に利用できるベンダーを採用して しまうことにもなりかねません。そうしたベンダーは、必ずしも最も質の高いベンダーとは限 りません。 PCI コンプライアンス管理プログラム ― 賢明なアプローチ ベライゾン ビジネスは、ぎりぎりになってから大急ぎで取り組むというアプローチに伴う問題 を認識しているため、そのような事態に対処する企業の力になることができます。ベライゾン ビジネスは、年 1 回実施される PCI コンプライアンス審査に対する準備、そのプロセスに付 随するストレスの軽減、意図された PCI 管理策に対応し必要な代替管理策の数を少なくする機 会を実現する総合的なアプローチをマーチャント(加盟店)に提供します。 ベライゾン PCI コンプライアンス管理プログラムは、PCI コンプライアンス要件の管理、企業 のネットワークとカード会員データを保護するシステムの評価に関して企業を支援するために、 継続的なパートナーシップを確立します。企業の PCI コンプライアンスプログラムを監視する ためにPCI 認定セキュリティ審査機関 (QSA) としてのリソースを提供するよう設計されてい るベライゾンコンプライアンス管理プログラムは、PCI セキュリティ基準協議会によって義務 付けられている年 1 回の PCI 審査に備える体制作りを支援します。 プログラムの一環として、ベライゾン ビジネスは企業のセキュリティ管理とPCI デー タのセキュリティを評価し、PCI データセキュリティ基準 (DSS) の要件によって義務 付けられている年 1 回のペネトレーションテストを実施します。このプログラムには、 PCI 評価が含まれます。PCI 評価は、すべてのレベル 1 マーチャント(加盟店) およびサービスプロバイダーに実施が義務付けられ、レベル 2の加盟店にも実施 するメリットがあります。 一連の PCI 管理策レビューと修正は 1 年間の期間を対象として実施され、義務 付けられているペネトレーションテストを含みます。四半期ごとに一連の PCI 管理策が評価され、すべての修正すべきギャップが特定されます。修正に最も時 間がかかる管理策については、最初の 2 回の四半期評価において評価が行われる ため、PCI 基準に適合する可能性が高くなります。ベライゾン ビジネスのプログ ラムには、対象範囲に含まれる外部ネットワーク、内部ネットワーク、アプリ ケーションのペネトレーションテストも含まれます。 ベライゾン ビジネスは、 グローバルに展開する加盟店や サービスプロバイダーの PCI コンプライアンス評価を 毎年数百件実施しています。 2 ベライゾンペイメントカード業界(PCI)コンプライアンス管理プログラム ベライゾン PCI コンプライアンス管理プログラムは、チェックリストによる手軽なレビューで はなく、経験豊富な PCI 認定セキュリティ審査機関 (QSA) による集中的な分析です。PCI コ ンプライアンスを実現するカギは、管理策の有効性とそれを裏付ける証拠にあります。PCI コ ンプライアンスに対するベライゾン ビジネスの専門的なアプローチは、以下の 4 つの分野に よって特徴づけられています。 PCI コンプライアンス支援コンサルティング QSAリソースを提供することで、貴社の P C I コンプライアンス状態の査定と監 視、ならびに企業が年 1 回の PCI審査に 備えるための体制作りをします。 • 四半期オンサイト PCI コンプライアン ス支援ミーティング • PCI コンプライアンス支援ドキュメン テーション • 月1回の PCI コンプライアンス電話会議 • P C I コンプライアンス電子メールサ ポート PCI データ管理レビュー カード会員データの保存と処理が行われ る場所を確認するとともに、カード会員 データの保護に使用されるセキュリティ 管理を評価します。 • PCI データフローレビュー • PCI データ検索 • PCI データ保持レビュー • PCI データロギングレビュー セキュリティアーキテクチャレビュー カード会員データの保護に使用されてい るセキュリティアーキテクチャを評価 し、監査ロギング機能がフォレンジック 調査をサポートすることを確認します。 • セキュリティアーキテクチャ設計レ ビュー • ファイアウォール規則レビュー • IDS / IPS レビュー • セキュリティロギングレビュー • リモートアクセスレビュー : ペネトレーションテスト ネットワーク、ワイヤレス、アプリケー ションのセキュリティ管理を危うくしよ うとする悪意の人物が行動を起こしたと 仮定することによって、セキュリティ アーキテクチャとシステム制御の有効性 を検証します。 • 外部および内部ネットワークペネト レーションテスト • 外部および内部アプリケーションペネ トレーションテスト • ワイヤレスペネトレーションテスト 管理性が高く時間を節約できる効率的なソリューション 管理性の高いコンプライアンスプロセス。ベライゾン PCI コンプライアンス管理プログラムは、 PCI セキュリティ基準に関するギャップの特定、修正、およびコンプライアンスを構造化された 継続的なプロセスで実行するよう設計されています。PCI コンプライアンス評価および修正措置 は年間を通して実施されるため、管理性の高いプロセスであり、ぎりぎりになってからの取り組 みほど業務への支障はありません。 修正するための時間の余裕。ベライゾン PCI コンプライアンス管理プログラムは、すべての PCI-DSS 管理策をグループ化し、年 4 回の四半期オンサイトミーティング中にレビューします。 このプログラムは、通常は修正に最も長時間を要する PCI 管理策を最初にレビューします。 こうした管理策のギャップは、特定されるのが早ければ早いほど、選択肢の調査、計画の策定、 適切な解決策の導入に時間をかけることができます。 代替管理策の削減。 要求される PCI 管理策が実現できない場合は、代替管理策を使用しなけ ればなりません。ベライゾン PCI コンプライアンス管理プログラムは、ギャップの早期特定を 支援するため、修正により多くの時間をかけることができ、PCI DSS に対応するために必要と なる代替管理策を削減できます。 貴社担当QSA。 ベライゾン PCI コンプライアンス管理プログラムのお客様は、それぞれ経験 豊富な QSA が担当し、PCI コンプライアンスの実現を支援するために必要な一貫性と継続性を 提供します。個人の専門知識に加えて、ベライゾン ビジネスの QSA は、ベライゾンの PCI 業 務担当部門が持つ大規模な知識基盤 (ナレッジベース) を利用できます。 3 ベライゾン ビジネスが選ばれる理由 • ベライゾン ビジネスは 2008 年に 1200 件超の案件でセキュリティ業務 を提供し、その結果として、有効である ことが実証されているベストプラクティ スに関する知識を企業に伝えました。 • ベライゾン ビジネスは、社内に確保す る専門家 (フォレンジックチーム、マ ネージドセキュリティサービス、ネッ トワークインテリジェンス、リスクイ ンテリジェンスなど) はもちろん、複数 のデータ漏洩防止に関する専門家との 強固な関係を通して外部の人員もご提 供可能です。 • ベライゾン ビジネスは、複数の重要な セキュリティ関連業務分野にわたって グローバルに事業を展開しています。 そして当社は、お客様がビジネスを展 開する場所で実際に業務を行い、18 種 類の言語に対応する 265 名超の専任セ キュリティコンサルタントを世界17カ 国に配置しています。 • 当社のソリューションは、企業の既存 の資産、人材、テクノロジを活用し、 コストの抑制を支援します。 • コンセプトの証明に関する開発と実証 のための研究訓練施設を持っているた め、企業に導入する前に作業用ソリュー ションを作成することができます。 • 複数のベンダーのテクノロジに精通して いる当社のコンサルタントが、目前のリ スクを軽減するための最も費用対効果 が高く実行可能性の高い手段に相当す るソリューションの特定を支援します。 • 2008 年だけでも、当社は 2 億 8500 万件を超えるレコードについて データ漏洩/侵害の調査を行いました。 • 英国規格協会 (BSI) は、情報セキュリ ティ管理 (ISO 27001) のアソシエー トコンサルタントプログラム (ACP) に おいてベライゾン ビジネスを認証しま した。 • ベライゾン ビジネスは、PCI セキュリ ティ基準審議会によって 認定スキャニ ングベンダー (ASV),認定セキュリティ 審査機関 (QSA)、ペイメントアプリケー ションセキュリティ審査機関 (PA-QSA) として認定されています。 ベライゾンペイメントカード業界(PCI)コンプライアンス管理プログラム ベライゾンの PCI コンプライアンス管理プログラムが選ばれる理由 経験と専門知識 ベライゾン ビジネスは、グローバルに展開する加盟店やサービスプロバイダーの PCI コンプ ライアンス評価を毎年数百件実施しています。ベライゾン ビジネスの QSA は、セキュリティ フォーラムに積極的に参加し、セキュリティ調査を行います。QSA は、セキュリティ関連の膨 大なリソースと専門知識を利用できます。 実証済みの構造化されたアプローチ ベライゾン ビジネスの PCI コンプライアンス管理プログラムは、カード会員データの保護に 取り組む企業に対する長年の支援から生まれました。このプログラムは、企業が遭遇する最も 一般的な PCI コンプライアンス関連の課題に基づいて、管理策ギャップにタイムリーかつ総合 的に対処するよう注意深く構造化されています。ベライゾン ビジネスは、管理策の実効性を裏 付ける証拠を整理し文書化する作業を支援します。PCI コンプライアンス管理プログラムのサ イクル終了時には、企業は公式な PCI コンプライアンス評価を実施する準備が整い、 QSA に あわてて情報を提供したり、代替管理策によってセキュリティギャップに対応したりする必要 はなくなります。 知識の共有 セキュリティ プラクティスを支える基礎の 1 つとして、ベライゾン ビジネスの QSA が最善 の PCI コンプライアンスを実現する費用対効果の高い方法についてガイダンスを提供します。 ベライゾン ビジネスは、カード会員データが露出するリスクを削減し、コスト抑制に寄与する PCI 環境の対象範囲縮小に向けて、クライアントと頻繁に共同作業を行います。 ベライゾン ビジネスのセキュリティソリューション ベライゾン ビジネスは、企業がコスト抑制と生産性向上に向けて現在のシステムを最大限に活 かす取り組みを支援し、その企業のビジネスにかかわる第 3 者を含むエクステンディド・エン タープライズ全体でセキュリティリスクを軽減できる総合的なプログラムの策定を支援します。 ベライゾンのプロフェッショナル セキュリティサービスは、リスクの評価、脅威の管理、 セキュリティコンプライアンス要件への準拠に対する支援、複雑性の低下を、企業を取り巻く 状況においてすべて実現するインテリジェンス主導の対応能力を企業にもたらします。 ベライゾン ビジネスは、15年以上の実績があるセキュリティインテリジェンスと、世界最大規 模のIP ネットワークから収集した知識を組み合わせて、お客様を支援します。当社は世界最大 のマネージドセキュリティサービスプロバイダーの 1 つであり、マネージドセキュリティサー ビスの顧客数は全世界で 2,000 社超を数えます。当社はフォーチュン 1000 やグローバル 2000 企業ランキングの上位企業多数をはじめとして、全世界に数千社の顧客を擁しています。 そして業界初のセキュリティ認証プログラムであるセキュリティ管理プログラム (SMP) を 1997 年から提供しています。 verizonbusiness.com/jp © 2010 Verizon. All Rights Reserved. SB13748 GB 3/10 Verizonのプロダクトおよびサービスを示すVerizonおよびVerizon Businessの名称およびロゴ、その他の名称、ロゴ、スローガン等は、Verizon Trademark Services LLCまたは米国もしくはその他の国における同社関連会社の商標、標章、もしくは登録商標、標章です。本カタログ中のその他の社名、プロダクト名、 サービス名等は、各社の商標または標章です。 4 詳細 ベライゾン ビジネスのセキュリティサービス の詳細については、ウェブサイト (verizonbusiness.com/jp) をご覧になるか、 またはアカウントマネージャーまで お問い合わせください。
© Copyright 2024 ExpyDoc
