オンラインサポート \ ログインに関するトラブルシューティング

PCI DSS の概要

• PCI とは何ですか。
• コンプライアンスの対象者を教えてください。
• 認定スキャンベンダとは何ですか。
• 認証レベルとは何ですか。どういう意味がありますか。
• 外部監査人による認証の対象者を教えてください。
• 認定セキュリティ評価者（QSA）と認定スキャンベンダの違いを教えてください。

認定と Qualysguard PCI

• 認定を受けるにあたって、QualysGuard PCI はどのように役立ちますか。
• 認定のために QualysGuard PCI を使用するプロセスを教えてください。
• スキャンはどれくらいの頻度で実行する必要がありますか。
• 自己評価質問表の入力の対象者を教えてください。

QualysGuard PCI について

• QualysGuard PCI へのログイン方法を教えてください。
• ユーザログイン名の変更方法を教えてください。
• パスワードのリセット方法を教えてください。
• 質問表の起動方法を教えてください。
• どの IP アドレスをスキャンすればよいですか。
• 私のアカウントでスキャンできる IP アドレスはいくつですか。
• スキャンする IP アドレスを追加購入する方法を教えてください。
• アカウントから IP アドレスを削除する方法を教えてください。
• PCI スキャンの起動方法を教えてください。
• スキャン設定は変更できますか。
• スキャン結果の確認方法を教えてください。
• PCI レポートにはどのようなものがありますか。
• PCI レポートでコンプライアンスステータスが「Passed」または「Failed」になる基準を教えてください。
• QualysGuard PCI の監査で不合格になった場合、どうすればよいですか。
• QualysGuard PCI の監査で合格した場合、どうすればよいですか。
• アクワイアラにはどのレポートを送信するのですか。
• アクワイアラにレポートを直接提出できますか。
• QualysGuard PCI で改善の支援は提供されますか。
• 脆弱性を理解するための支援を受けるにはどうすればよいですか。
• 受容可能なリスクと見なされる脆弱性が自社に存在する場合は、どうすればよいですか。
• 誤検出と思われる検出結果がある場合はどうすればよいですか。
• IPS でスキャンの許可を設定する方法を教えてください。
• PCI の詳細情報はどこで確認できますか。
• サポートへの連絡方法を教えてください。

PCI（Payment Card Industry）Data Security Standard は、カード保有者データの格納、処理、転送を行うメンバー、加盟店、サービスプロバイダのセキュリティ要件を詳細に定めたものです。加盟店やサービスプロバイダが PCI Data Security Standard のコンプライアンスを証明するには、PCI Security Standards Council の規定に従ってネットワークセキュリティスキャンを定期的に実施する必要があります。

ネットワークセキュリティスキャンは、脆弱性管理プログラムとともに使用する必須ツールです。スキャンは、脆弱性や Web サイトの不適切な設定、また外部に接続している IP アドレスを含む IT インフラストラクチャの識別に役立ちます。

スキャン結果からは、インターネットハッキングに対する保護を強化する、効果的なパッチ管理とその他のセキュリティ対策に役立つ重要な情報が得られます。

ネットワークセキュリティスキャンは外部接続の IP アドレスを持つすべての加盟店とサービスプロバイダに適用されます。Web ベースのトランザクションを行っていなくても、システムがインターネットにアクセスするサービスは他にもあります。E メールや従業員によるインターネットアクセスなどの基本的な機能では、社内ネットワークからインターネットにアクセスします。一見重要でないようなインターネット接続でも、加盟店やサービスプロバイダのシステムへの侵入が可能になることがあるため、適切に制御しなければカード保有者データを潜在的な危険にさらす可能性があります。

すべての PCI スキャンは、コンプライアンスを達成しているサードパーティのネットワークセキュリティスキャンベンダによって実施される必要があります。それらのベンダは https://www.pcisecuritystandards.org/ にある認定ベンダリストから選択します。コンプライアンスを達成しているすべてのスキャンベンダは、定義されている一連の手順に従ってスキャンを実行しなければなりません。これらの手順では、お客様の環境の正常な運用に影響があってはならないこと、またベンダがお客様の環境に侵入や改変を行ってはならないことが定められています。

加盟店のレベルやサービスプロバイダのレベルに関する情報は https://www.pcisecuritystandards.org/ をご覧ください。

レベル 1 の加盟店とレベル 1 および 2 のサービスプロバイダは、年に 1 度の監査を外部監査者に委託する必要があります。詳細情報は https://www.pcisecuritystandards.org/ をご覧ください。

認定セキュリティ評価者（QSA）は、加盟店やサービスプロバイダのために年に 1 度の監査を実施し、PCI のコンプライアンスを記録する権限を持っています。認定スキャンベンダは、四半期に 1 度のスキャンを実施し、PCI Data Security Standard のコンプライアンスを証明する権限があります。認定セキュリティ評価者（QSA）によっては、認定スキャンベンダがソリューションに組み込まれている場合もあります。

Qualys は、PCI Data Security Standard のコンプライアンスを確立するために加盟店やコンサルタントを支援する PCI セキュリティスキャンベンダとして認定を受けています。QualysGuard PCI は Qualys, Inc. のオンデマンドのコンプライアンステストおよびレポーティングサービスです。加盟店は QualysGuard PCI を使用して、PCI コンプライアンススキャンの実行、PCI 自己評価質問表の入力、アクワイアラへのコンプライアンスレポート提出を実行できます。Qualys のオンデマンドの配布モデルにより、QualysGuard PCI はブラウザを問わずいつでも利用でき、ソフトウェアのインストールやメンテナンスも不要です。

QualysGuard PCI を使用して PCI Data Security Standard のコンプライアンスを確立する方法については、『Getting Started with QualysGuard PCI』をご覧ください。

ネットワークセキュリティスキャンは、認定スキャンベンダが 90 日ごとに実施しなければなりません。Qualys は PCI の認定スキャンベンダです。

レベル 2 または 3 のすべての加盟店と、レベル 3 のすべてのサービスプロバイダは、年に 1 度、PCI 自己評価質問表に入力する必要があります。

QualysGuard PCI アカウントを作成すると、“ QualysGuard PCI Registration — Start Now ”という件名の E メールが届きます。この E メールの本文に、QualysGuard PCI サービスの URL とアカウント認証情報への安全なリンクが記載されています。ご自分のログイン名とパスワードで指定の URL から QualysGuard PCI にログインすれば、「ホーム」ページが表示されます。

アカウント作成時にユーザログイン名が割り当てられます。ユーザログイン名はいつでも変更できます。変更するには、左メニューで Users → Manage Users の順に選択します。ご自分のユーザアカウント（太字で表示されます）を見つけて Edit をクリックします。次に、“ Change User Login ”リンクを選択します。表示されたフィールドに現在のログイン名を入力し、“ New User Login ”フィールドに新しいログイン名を入力します。ユーザログイン名は一意で、@ 文字を含むものでなければなりません（例：john@qualys）。新しいユーザログイン名を保存したら、サービスに戻ります。

アカウント作成時、お客様のアカウントには QualysGuard PCI によって“ 強力な ”パスワードがランダムに生成されます。パスワードはいつでも変更できます。変更するには、左メニューで Users → Manage Users の順に選択します。ご自分のユーザアカウント（太字で表示されます）を見つけて Edit をクリックします。次に、“ Change Password ”リンクを選択します。表示されたフィールドに現在のパスワードを入力し、“ New Password ”フィールドに新しいパスワードを入力します。パスワードは最小 6 文字で、アルファベットと数字が混在するものでなければなりません。新しいパスワードを保存したら、サービスに戻ります。

PCI 自己評価質問表は QualysGuard PCI アプリケーションからオンラインで利用できます。新しい質問表を起動するには、左メニューで Questionnaires → New Questionnaire の順に選択します。アクワイアラに提出するには、質問表のすべての質問に回答する必要があります。

PCI コンプライアンスを確立するには、すべての外部　IP アドレスをスキャンする必要があります。

スキャンを起動するたびに、アカウントのすべての IP アドレスがスキャン対象になります。ご自分のアカウントの IP アドレスを確認するには、IP Assets → View IPs の順に選択します。IP アドレスの追加は、アカウントに定められた制限数まで可能です。アカウントで利用可能な IP アドレスの最大数を確認するには、左メニューで“ Account Info ”を選択します。

スキャンする IP アドレスを追加購入するには、営業担当または Qualys の営業部門（sales@qualys.com）までご連絡ください。

アカウントから IP アドレスを削除するには、Qualys のテクニカルサポート（support@qualys.com）までご連絡ください。

PCI スキャンを起動するには、QualysGuard PCI アカウントにログインして左メニューで Scans → New Scan の順に選択します（または「ホーム」ページで New Scan をクリックします）。次に Title フィールドにスキャンの名前を入力し、Bandwidth メニューで帯域幅レベルを選択します。デフォルトの帯域幅レベルである Medium をそのまま使用することをお勧めします。“ OK ” をクリックします。

オプションで、PCI スキャンを後で開始するようにスケジュールを設定することができます。そのためには、“ Schedule for Later ”オプションを選択します。開始日（月、日、年）と開始時刻（時、分）を入力します。グリニッジ標準時の調整は、ローカルのシステム設定に基づいて自動的に行われます。

基本となるスキャン設定は、PCI Data Security Standard へのコンプライアンスをテストするために最適化されています。ユーザが設定できるスキャンパフォーマンス設定は 1 つ（帯域幅レベル）です。これはスキャンの程度と速度に影響します。初めて使用する際には、デフォルトの帯域幅レベルである Medium（15 の IP アドレスの並列スキャンが可能）をそのまま使用することをお勧めします。その他の帯域幅オプションとしては、Low（2 つの IP アドレスの並列スキャンが可能）と High（25 の IP アドレスの並列スキャンが可能）があります。スキャンの起動時に選択してください。

Scans ページには実行中のスキャンと完了したスキャンがすべて表示されます。このページを表示するには、左メニューで Scans → Manage Scans の順に選択します。完了したスキャンごとに PCI Technical Report と PCI Executive Report、またはコンプライアンスを確立するために修正しなければならない重要な脆弱性のみを示すリストを表示できます。

このサービスでは、完了したスキャンごとに PCI Executive Report と PCI Technical Report という 2 種類の PCI コンプライアンスレポートが提供されます。2 つの PCI レポートには同様の情報が含まれていますが、目的とするワークフローが異なります。PCI Executive Report は、PCI コンプライアンスを記録してアクワイアラに提出するために使用します。このレポートには、サマリレベルの情報のみが記載されています。PCI Technical Report は改善の識別と優先順位付けのために使用します。そのため、PCI Technical Report には改善を支援するための技術的な詳細が記載されています。

QualysGuard PCI レポートには、全体の PCI コンプライアンスステータスとして Passed または Failed が記載されています。Passed ステータスはすべてのスキャン対象ホストが PCI Data Security Standard を満たし、PCI スキャンで重大度 3、4、5 の脆弱性や潜在的脆弱性が検出されなかったことを意味します。

完了したスキャンのコンプライアンスステータスは、Scans → Manage Scans の順に選択して表示される Scans ページで確認できます。スキャンのステータスが“ Not Compliant ”になっていたら、Vulnerabilities 列で を選択し、重大度 3、4、5 の脆弱性および潜在的脆弱性のリストを表示します。これらはコンプライアンスを確立するために修正しなければならない重大な脆弱性です。オプションで、実行したスキャンの PCI Technical Report をダウンロードし、検出されたすべての脆弱性の完全なリストを確認できます。

検証済みのソリューションや個々のスキャンのテスト結果などを含む脆弱性情報が提供され、改善に役立てることができます。改善を行った後、PCI スキャンをもう一度実行し、新しいスキャンのコンプライアンスステータスを確認してください。スキャンのコンプライアンスステータスが“ Compliant ”になるまで、これらのステップを繰り返します。

完了したスキャンのコンプライアンスステータスは、Scans → Manage Scans の順に選択して表示される Scans ページで確認できます。スキャンのステータスが“ Compliant ”になっていれば、アクワイアラにスキャン結果を提出する準備が整っています。

アクワイアラへの提出に適しているのは PCI Executive Report です。PCI コンプライアンスを確立するためには、PCI Executive Report で全体の PCI コンプライアンスステータスが Passed になっている必要があります。このステータスが表示されるのは、PCI スキャンで必要な脆弱性が修正され、検証された場合のみです。

銀行は QualysGuard PCI を使用するためにサインアップし、QualysGuard PCI アプリケーションから提出された PCI コンプライアンス文書を表示したり、加盟店の PCI コンプライアンスステータスを追跡したりできます。

アクワイアラが QualysGuard PCI にサインアップしてアカウントを定義している場合、お客様は質問表とスキャンレポートをアクワイアラに直接提出できます。

参加銀行のリストを見るには、左メニューで“ Account Info ”を選択し、Bank Information セクションまでスクロールします。参加銀行は Bank Name メニューに表示されています。

ご利用の銀行が参加銀行でない場合、Bank Name メニューには表示されません。その場合、“ Other ”を選択すれば、QualysGuard PCI アプリケーションから提出された文書に直接アクセスできる銀行はなくなります。提出した文書は PDF 形式でダウンロードし、アプリケーション以外の方法でアクワイアラに送信します。

はい。Qualys はネットワーク管理者が脆弱性を改善できるよう、PCI Technical Report と重要な脆弱性のリストで修正や回避策へのリンクを提供しています。すべての解決策が仕様どおり機能することは、当社の脆弱性ラボでセキュリティエンジニアが検証済みです。

Qualys のテクニカルサポート（support@qualys.com）までご連絡ください。

PCI コンプライアンスの要件を満たすには、重大度 3、4、5 の脆弱性および潜在的脆弱性を改善する必要があります。

以下のガイドラインに従って、脆弱性を修正するための改善ステップを完了します。

• システム管理者と協力の上、Qualys が推奨する解決策を使用してスキャン結果の脆弱性をすべて修正します。脆弱性の詳細に、各脆弱性のカスタム解決策が提供されます。
• 脆弱性を修正した後、スキャンを再実行し、システムに脆弱性が存在しないことを証明します。改善プロセスを追跡するのに必要な回数だけ再スキャンします。
• 誤検出の問題以外のすべての脆弱性を確実に修正します。最後の再スキャンでは誤検出の問題しか表示されないようにします。

前述のガイドラインに従っており、スキャンで誤検出が識別されたと思われる場合、この後のステップに従ってテクニカルサポートの誤検出に関するリクエストを提出します。

1. 左メニューで Scans → Manage Scans の順に選択します。
2. 誤検出を示すと思われるスキャン結果の Vulnerabilities 列で を選択します。検出された重大度 3、4、5 の脆弱性のリストが表示されます。
3. リクエストに含める各脆弱性の左側のチェックボックスをオンにし、Review False Positive ボタンをクリックします。
4. Request False Positives ページで、選択した各脆弱性が誤検出であると考える理由について詳しい説明を入力します。誤検出であることを証明するために取ったステップについても説明してください。
5. リクエストに含める各脆弱性の Request 列のチェックボックスをオンにし、Submit False Positive Request ボタンをクリックします。説明が入力されていない脆弱性を選択すると、エラーが発生します。

検証のために E メールが Qualys のサポートに送信されます。テクニカルサポート担当が Qualys のエンジニアやお客様と協力の上、識別された各問題が本当に誤検出かどうかを判断し、E メールで返信します。

• 誤検出に関するリクエストが認められた（つまりその脆弱性が本当に誤検出であると Qualys が判断した）場合、個々のホストのスキャン結果でその脆弱性が表示されなくなります。
• 誤検出に関するリクエストが却下された（つまりその脆弱性は誤検出ではないと Qualys が判断した）場合、PCI コンプライアンス基準に合格するにはその脆弱性を修正する必要があります。改善ステップは詳細なスキャン結果の Solution セクションにあります。

PCI のスキャン手順仕様の要件に定められているとおり、IPS でスキャンが遮断されないように設定する必要があります。このサービスでは外部（ペリミター）スキャンのため複数のスキャナが提供されます。それらは Qualys セキュアオペレーションセンタ（SOC）にあります。スキャナの IP アドレスは 167.216.252.1 ～ 167.216.252.63 です。ネットワークによっては、スキャン処理中にお客様のアカウントの IP アドレスを綿密に調べられるよう、信頼できる IP アドレスにスキャナの IP アドレスを追加することが必要なこともあります。

セキュリティスキャン手順は PCI Data Security Standard の中で定められています。PCI Security Standards Council が発行する関連文書については、https://www.pcisecuritystandards.org を参照してください。

PCI の詳細情報については、以下のサイトをご覧ください。

https://www.pcisecuritystandards.org/

https://sdp.mastercardintl.com/

http://www.mastercardsecurity.com

http://corporate.visa.com/st/programs.jsp

QualysGuard PCI アプリケーションに、PCI コンプライアンスプログラムのサイトへの直接リンクもあります。左メニューで“ PCI Sites ”を選択し、リンク先のサイトを選択します。

カスタマーサポートへのお問い合わせは E メールで support@qualys.com までお送りください。