シーイーシーでは、ISO27001/ISMS やプライバシーマークの取得支援を通して培ってきたノウハウを活かし、PCI DSS準拠を希望されるお客様向けに、現状分析などのコンサルティングから、PCI DSSへの幅広い対応が可能な『Trend Micro Deep Security』の設計・導入・運用まで、ご支援を行っています。
また、QSA(Qualified Security Assessors:認定審査機関)の資格を有する株式会社インフォセックと提携し、お客様向けに検査を提供することによって、PCI DSS準拠における各工程別のご支援だけでなく、コンサルティングから対策の実施、実務運用の支援にいたるまで、強力にサポートいたします。
PCI DSS(Payment Card Industry Data Security Standard)は、加盟店・決済代行事業者が取り扱うカード会員のクレジットカード情報・取引情報を安全に守るために、JCB 、アメリカンエキスプレス、Discover 、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
- ・現状分析とギャップ分杯の実施
・分析結果に基づき、必要性が認められた改善事項に対する適切な実装、設定、運用、文書作成などの支援を実施 
- ・米国で多数の実績がある『Trend Micro Deep Security』などを対象のシステムへ導入し、主要なセキュリティ対策を実装
- ・『Trend Micro Deep Security』などの各種システムに関するオペレーション/モニタリング/レポートサービスを提供
- ・PCI DSSに対応しているかをQSAの観点で適合状況のチェックを行い、適合状況の確認と同時に、不適合事項の改善を提案
| PCI DSS準拠 支援コンサル ティング サービス |
PCI DSS準拠 コントロール 支援(実装) サービス |
PCI DSS準拠 運用支援 サービス |
PCI DSS準拠 適合確認試 験・改善事項 報告サービス |
||
|---|---|---|---|---|---|
| 要件1 | 安全なネットワークの構築と維持 |  |
 |
 |
|
| 要件2 | パスワードなどの初期値変更 | |
|
||
| 要件3 | カードデータの保護 | |
|
||
| 要件4 | 送信時の暗号化 |
|
|
||
| 要件5 | ウイルス対策 | |
|
|
|
| 要件6 | セキュアな開発と保守 |
|
|
||
| 要件7 | カードデータへのアクセス管理 | |
|
||
| 要件8 | ユーザIDの管理 | |
|
||
| 要件9 | カードデータへの物理アクセス制限 | |
|||
| 要件10 | アクセスログの取得と監視 | |
|
|
|
| 要件11 | セキュリティの定期的なテスト | |
|
|
|
| 要件12 | 情報セキュリティポリシーの整備 | |
|
||
○ … 方針や規程、スケジュールの策定
★ … ツールによる自動化・実装
● … セキュアな運用による準拠
『Trend Micro Deep Security』は、PCI DSS認証を取得するための準拠支援ツールとして、第3者機関からの認証を受けている統合サーバセキュリティソリューションです。
Deep Security導入のメリットは、6つのセキュリティ機能を実装することで、PCI DSSの7要件を1つの製品で準拠することができるという点です。
通常、PCI DSS準拠には複数のセキュリティ製品の導入が不可欠ですが、Deep Securityであれば、セキュリティ製品の導入コストの削減も可能です。
 |
OS、アプリケーションの脆弱性を攻撃する既知、未知の攻撃を阻止、また、「仮想パッチ」により必要なサーバに必要なセキュリティを提供 |
|---|---|
 |
|
 |
ホスト型ファイアウォールとして、プロトコル、ポートなどのきめ細かいルール設定によってサーバを制御 |
|
|
 |
SQLインジェクション、クロスサイトスクリプション(XSS)などのWebアプリケーションに対する攻撃を阻止 |
|
|
 |
ファイル、レジストリなどOSやアプリケーションの変更を監視し、システムへの不正な変更を監視 |
|
|
 |
重要なセキュリティイベント、インシデントを可視化。SIEMツールとの連携によるイベント情報の統合管理 |
|
|
 |
仮想アプライアンスによる、ゲストOSに対するエージェントレスウイルス対策機能 |
