今回のベンダー部会は、「PCIDSS要件11、セキュリティシステムとプロセスの定期的テスト」をテーマに開催しました。 外部ネットワークの脆弱性スキャンは、PCISSC認定スキャンベンダー（ASV）によって実施される必要があるとされています。 今回は、国内のASV事業者の多くが参加して、自社のサービス内容を紹介して質疑応答。日本国内初の有益な会合となりました。

カード会社からのオブザーバー参加も加え、50名が参加。

日時：2012年1月26日（木）　14：30〜17：30

会場：京セラコミュニケーションシステム株式会社（東京都港区三田）

【内容】

1) ASVの要件について：事務局・森（日本オフィス・システム�梶j 【 資料】

PCISSCでは「ASVプログラムガイド」により、ASVによる外部N/Wスキャンの実施基準を定めて、ASVの認定を得るための、検査内容の品質について定めています（Ver1.2・英語版のみ）。
・ASVは、顧客が依頼したIPアドレスやドメイン以外でも、クレジットカード情報に関係するものがないかを、充分に確認する必要がある。
・顧客がインターネット・サービス・プロバイダ（ISP）やホスティング・プロバイダーを利用している場合、ASVがスキャンできるよう、調整をする必要がある。
・スキャンは、顧客のシステム環境に影響を与えないようにしなければならない。
・顧客のシステム環境を故意に変更したり、侵入したりしてはいけない。
・ Denial of service (DoS攻撃)や、 Buffer overflow exploit（バッファ・オーバーフロー）など、破壊的・暴力的な検査手法は行わない。
などが定められており、ASVはこうしたガイドラインに適合している事業者です。
続いて、ASV企業から、各社15分ずつサービス紹介を行いました。

2) 京セラコミュニケーションシステム(株)様

脆弱性スキャンとペネトレーションテストの違いにもふれながら、nCircle Network Securityの説明をする佐藤様

3) NTTデータ先端技術(株)様

Scanning Service-NinjaSCANを説明する諸橋様

4) 三和コムテック�蒲lとトッパンエムアンドアイ�蒲l

マカフィーセキュア（ハッカーセーフ）と、IBM AppScan

5) TIS�蒲l

説明する中村様（右）と三木様

6) 日本オフィス・システム�蒲l 【 資料】

ControlCase GRC

7) ベライゾン ビジネス様

Cybertrust Vulnerability Assessment Servicesを説明する岡田様

8) NRIセキュアテクノロジーズ�蒲l

Security Assessment for PCIを説明する矢野様

9) SCSK�蒲l

Retinaを説明する富田様

10)質疑応答およびその他情報交換

今回は事前に参加各社から寄せられてあった質問を含め、回答が交わされました。
・ネットワークスキャンは、ペネトレーションテストのうちのどのくらいの範囲を占めるのか。
・スキャン中はシステムを通常サービス稼働中でもだいじょうぶか。これまでの実績で、受診側のサービスに支障が出たことはあるか。
・検査するグローバルIPアドレスが3個程度の場合、スキャン実施は何時間くらいか。
・診断された結果、発見された脆弱性に対して、解決策の相談や改善の提案もしていただけるか。

意見交換の様子

以上