NTTデータ・セキュリティ、PCIDSS準拠の脆弱性スキャンサービスを開始

NTTデータ・セキュリティ、ソリューション本部の高橋典子氏

　NTTデータ・セキュリティ株式会社は2月15日、クォリス・ジャパン株式会社（以下、クォリス）とともに、PCIDSSに準拠した脆弱性スキャンサービス「NinjaSCAN」の本格提供を開始した。

　両社はともに、PCIDSSにおける認定スキャンベンダー「ASV」の資格を持つ企業。2008年にPCIDSS分野で提携しており、クォリスの脆弱性ツール「QualysGuard PCI」を基にした脆弱性スキャンサービスを、今回、NTTデータ・セキュリティが本格提供するに至った。

　新サービスの名称は「NinjaSCAN」。SaaS型のQualysGuard PCIを完全日本語化し、ASVスキャンに機能特化したのが特長。PCIDSSでは要件11.2で、ASVによる外部からのスキャンを義務付けている。NinjaSCANを利用すると、企業内の機器に搭載されたソフトウェアの脆弱性診断を実施し、その結果からPCIDSS準拠状況をインターネット経由で判定できる。

　「Webポータルからユーザー自ら脆弱性スキャンを実行可能。ユーザーの業種・業態に合わせてスケジュール設定できるほか、ASVスキャンに必要な機能のみに絞られているため、コンプライアンスソリューションとして非常に使いやすくなっているのが特長」とNTTデータ・セキュリティ、ソリューション本部の高橋典子氏。「こうしたセルフアセスメント方式であるのが最大のメリット」とした。

　また、診断の結果からPCIDSS準拠状況を判定できるほか、レポートや自己問診票を生成することも可能。記録は2年間保持され、将来的にはアクワイアラ（カード加盟店開拓事業者）へのレポート提出機能も搭載する予定という。

QualysGuard PCIは、PCIDSSのASVスキャンツールとしてはデファクトスタンダードという。NinjaSCANは、クォリスのグローバルSaaSインフラを活用する

　スキャンは、ユーザー自らがWebポータル画面上でのワンクリックで実施可能。日本語化され、機能も絞られた使いやすい画面上で、診断の合否（PASS/FAIL）の確認まで一貫して行えるという。外部からのペネトレーションを行うASVスキャンのためのサービスなので、スキャン対象はDMZ（非武装地帯）など外部からアクセスできる領域まで。別途、オンプレミス型の「QualysGuard Express/Enterprise」を導入すれば、内部/外部を問わずに脆弱性を管理することも可能となる。

　NTTデータ・セキュリティは、同ツールを中核に、導入支援サービスやテクニカルサポートなどの有人サポートを提供。この中で、誤検知の判定やセキュリティ代替策の提案といった「ASVサポート」も提供する。また、PCIDSSにおいて訪問審査を担うQSAの資格も持つことから、必要に応じて別途、QSAに関するコンサルティングも提供するとのこと。

　価格は、3IPで20万円から。

NinjaSCANの構成図	シンプルな操作性を実現したポータル画面	準拠状況の判定も容易