PCI DSS 3.2.1では、アクティビティログの保管と分析が取り組まなければならない課題として要件になっています。実務において、自動化できるログ保管は比較的対応が容易ですが、分析は高レベルの技術力を必要とするため大きな障壁となっています。BBSecの「日々ログ」は、収集されたログを分析し、セキュリティリスクの可能性があるログを抽出するサービスです。本サービスのご利用によりPCI DSSへの準拠が可能となるだけでなく、効率的な業務推進を実現できます。
不正な兆候(アノマリー)を見つけだすことで、組織の損害に直結するインシデントが起きる前のプロアクティブな対応を支援いたします。
ログの抽出まではBBSecの技術者が対応。お客様は分析と結果に対するアクションに集中でき、業務の効率化に役立ちます。
分析時のリスク項目への対応は、当社コンサルタントのアドバイスを受けることで、PCI DSS準拠に適合した対策を打つことができます。(オプション)
幅広いサービスラインナップにより、PCI DSS準拠や運用に対する疑問からインシデント発生時の対応支援まで、トータルなお客様サポートが可能です。
PCI DSS 3.2.1ではBusiness as Usual (BAU、日々のセキュリティ運用業務)が重視されており、その根幹となるアクティビティログの保管と分析が要件として記載されています。。
要件 | 数値要件を含む要件項目概要の抜粋 | 数値基準 |
---|---|---|
8.2.4 | パスワードの変更間隔 | 90日に1回以上 |
10.6.1 | セキュリティイベントや重要なコンポーネントのログレビュー | 1日に1回以上 |
11.1 | ワイヤレスアクセスポイントの検出 | 4半期ごと |
11.2 | 外部および内部のネットワーク脆弱性スキャン | 4半期に1回以上 他 |
11.3 | 外部および内部のペネトレーションテスト | 1年に1回以上 他 |
11.5 | 重要ファイルの不正変更検知 | 1週間に1回以上 |
12.2 | 脅威と脆弱性を特定したリスク評価 | 1年に1回以上 |
パスワードの変更間隔
数値基準:90日に1回以上
セキュリティイベントや重要なコンポーネントのログレビュー
数値基準:1日に1回以上
ワイヤレスアクセスポイントの検出
数値基準:4半期ごと
外部および内部のネットワーク脆弱性スキャン
数値基準:4半期に1回以上 他
外部および内部のペネトレーションテスト
数値基準:1年に1回以上 他
重要ファイルの不正変更検知
数値基準:1週間に1回以上
脅威と脆弱性を特定したリスク評価
数値基準:1年に1回以上
クレジットカード業界の国際的セキュリティ基準 “PCI DSS” “PCI P2PE” “PCI 3DS”への準拠をめざす企業を支援しています。
“PCI DSS” “PCI P2PE” “PCI 3DS”の準拠維持におけるコンサルティングサービスを提供しています。
“PCI DSS” への準拠及び維持に役立つ各種ソリューションを提供しています。