VRA (Vulnerability Risk Analyzer) は継続的に PCI DSS に準拠します


クレジットカード会員情報の支払い処理、保存、または送信する場合は、PCI DSS に準拠する必要があります。

規範的な 12の要件セクションは、実装する必要のあるセキュリティ保護の最小レベルを定義します。

また、コンプライアンスに準拠していない場合は、罰金や罰則を科されます。

PCI コンプライアンスと IT リスク管理の目標:

重要なシステムを脅威リスクとセキュリティの脆弱性から保護します。

  • 脅威インテリジェンス・ソースの整合性を検証して提供します。
  • セキュリティ要件のギャップを補う制御サポートを提供します。
  • 脆弱性の優先順位付けプログラムがリスク軽減の目標と一致していることを証明します。
  • パッチの強化とコンテキストを自動化して、レポート要件を監査します。

* IntSights の Vulnerability Risk Analyzer は継続的なコンプライアンスを実現し、リスクの優先順位付けを自動化します。

クレジットカード会員情報の支払い処理、保存、または送信する場合は、PCI DSS に準拠する必要があります。規範的な 12の要件セクションは、実装する必要のあるセキュリティ保護の最小レベルを定義します。 また、コンプライアンスに準拠していない場合は、罰金や罰則を科されます。

IntSights の脆弱性の優先順位付けとリスク強化ソリューションである Vulnerability Risk Analyzer (VRA) は、業界標準の CVSS スコアのみに基づいて脆弱性のパッチと軽減を行うという基本的なコンプライアンス要件を十分に満たしています。

CVSS スコアは、多くの場合、重大なセキュリティ・ギャップを見逃し、組織のセキュリティ体制を危険に晒し、企業を攻撃リスク増大の状況に招きます。

VRA は、PCI 評価プロセスに脅威とリスクの対策を追加し、継続的なコンプライアンスの維持を可能にします。

* VRA により、 PCI DSS 要件 6.1 に組み込まれている 3つの重要な規定を解決できます。

**新たに発見されたセキュリティの脆弱性を特定し、リスク・ランキング付けを割り当てます。

IntSights VRA は、CVSS ランキング・スコアによって、セキュリティ脆弱性の現実的なリスクに沿った、ポイント・イン・タイムの優先順位付けされた脆弱性検査を提供します。

** 脆弱性情報のソース(ベンダーのウェブサイト、業界ニュース・グループ、メーリング・リスト、RSS フィードなど)が信頼できるものであることを確認してください。

IntSights VRA は、セキュリティの脆弱性情報をサポートして信頼性を検証し、緩和策の決定をサポートするための包括的なコンテキストを提供します。

** 脆弱性情報について業界の情報源を積極的に監視するプロセスを経ることで、脆弱性を継続的に評価し、リスク・ランキングを割り当てます。

IntSights VRA は、コンテキストが豊富な脅威インテリジェンスを使用して脆弱性のリアルタイムまたはポイント・イン・タイムの評価を提供します。

また、調査結果は、企業内の独自のビジネス・プロセスやギャップ(重要なビジネスをサポートするパッチ不可能な EOL システムなど)の中にある本当のリスクを特定します。

PCI DSS 要件 6.1

  • 安全なシステムとアプリケーションを開発および維持します。
  • 新たに発見されたセキュリティの脆弱性とファイル資産にリスク・ランキングを特定して割り当てるプロセスを確立します。
  • この要件の目的は、組織が環境に影響を与える可能性のある新しい脆弱性を最新の状態に保つことです。
  • 脆弱性情報のソースは信頼できるものでなければならず、多くの場合、ベンダーのウェブサイト、業界ニュースグループ、メーリングリスト、または RSS フィードが含まれます。
  • 組織が環境に影響を与える可能性のある脆弱性を特定したら、その脆弱性がもたらすリスクを評価してランク付けする必要があります。
  • 従って、組織は、脆弱性を継続的に評価し、それらの脆弱性にリスク・ランキングを割り当てるための方法を整備する必要があります。これは、ASV スキャンや内部脆弱性スキャンでは達成されません。むしろ、脆弱性情報について業界の情報源を積極的に監視するプロセスが必要です。



主なメリット

PCI 脆弱性要件に対する VRA:

  • 重大度に基づいた PCI スコープシステム CVE の即時スコアリングにより、アラートの信頼性が劇的に向上し、実証済みの重大な脆弱性に対するパッチ適用時間が短縮されます。
  • クリア、ディープ、ダークウェブから関連するインテリジェンスを表面化する機能。これにより、監査人と QSA は、コンプライアンス・リスク基準とスコアリングを確認、確認、検証できます。
  • 関連するテクノロジー、BAU、業界セクターなどに焦点を当てた完全な CVE ライフサイクル管理により、PCI の四半期監査サイクルを加速できます。
  • コンプライアンス・スタックと監査プロセスへの実装を容易にする、主要な脆弱性管理ソリューションと高度な API との堅牢なインテグレーション。
  • 個々の CVE トレンドラインは、アクティビティが時間の経過とともに増加しているか減少しているかを示し、PCI スコーピング、ギャップ分析、および脅威軽減計画の有効性を強化します。
  • PCI DSS 要件 6.1

IntSights VRA を使用して継続的なコンプライアンスを取得し、 PCI DSS 要件に適合させます。


  • 悪意のあるソフトウェアや標的型攻撃に起因するセキュリティの脅威を阻止します。
  • スコープ内およびスコープ外のシステムを保護および保護します。
  • セキュリティの脆弱性を特定し、リスクランク付けの優先順位を割り当てるプロセスを確立します。
  • 重要な資産ポリシーを作成して、分析するデータの量と関連する管理作業を削減します。
  • 重要なデータと資産をすべて保護する、ターゲットを絞ったリアルタイムのアラートを受信します。

セキュリティ・インフラにギャップを生じさせるシステムの脆弱性の修復に優先順位を付けることは、コンプライアンス・プログラムの重要な要素です。 優れた脆弱性強化および優先順位付けプログラムは、適切な管理がサポート・インテリジェンスのコンテキストで実施されているという証拠を監査人に提供する必要があります。

予防的な脆弱性の特定とリスクのランク付けは、現在のバージョンの PCI DSS(v.3.2.1)の要件であり、パッチ緩和計画、拡大する PCI DSS 補正制御、およびテイクダウンをサポートします。 PCI DSS のバージョン 4.0 では、セキュリティ緩和計画に情報を提供するインテリジェンスの更なる強化と検証が求められるため、これは近い将来さらに重要になります。 組織は、IntSights VRA によって提供される、プロアクティブな脆弱性の識別とインテリジェンス・ベースの優先順位付けプロセスを採用する必要があります。