FUJITSU Security Solution PCI DSS ASV認定スキャ …...2013/08/16 · 「PCI DSS...
Transcript of FUJITSU Security Solution PCI DSS ASV認定スキャ …...2013/08/16 · 「PCI DSS...
Copyright FUJITSU LIMITED
富士通株式会社クラウドセキュリティ事業部2013年8月
FUJITSU Security SolutionPCI DSS ASV認定スキャンサービス操作手順 1.2版
Copyright FUJITSU LIMITED
はじめに
操作の流れ
ホーム画面の構成
1.ログイン
2.IPアドレスの登録
3.スキャンの操作
4.スキャンの結果確認
5.フォールスポジティブのリクエスト
6.PCI DSS認定用レポートの作成・提出
<ご参考>
・新規ユーザアカウントの作成
・IPアドレスの削除
・アクワイアラへ提出
・スキャンの帯域幅の設定について
・問診票の選択と作成
・ログイン名とパスワードの変更
「PCI DSS ASV認定スキャンサービス」をすぐに導入いただけるように、QualysGuard® PCI へログインしてスキャンを実施、フォールスポジティブのリクエスト、PCI DSS認定用レポートの作成・提出する方法をご説明します。
〔目次〕
3
4
5
6
13
16
17
23
32
35
37
39
40
45
1
Copyright FUJITSU LIMITED
変更履歴
版数 発行日 変更内容
1.0版 2011年4月4日 初版
1.1版 2012年4月20日 P.6~12 IPアドレスの登録を追記変更、目次の修正
1.2版 2013年8月16日 タイトル、操作の流れの修正、全体のカラーとフォントの統一
2
Copyright FUJITSU LIMITED
操作の流れ
お客様 富士通(ASV*)
スキャン
フォールスポジティブのリクエスト
認定用レポート作成・提出
問診票
フォールスポジティブをリクエスト
受付
確認・判定
回答認定用レポート作成へ承認
再検討・対処却下
提出 受付
確認・合否判定
回答アクワイアラに提出
不備の修正却下
認定用レポート作成
ログインQualysGuard® PCIの初期アカウントの提供
結果レポート参照
スキャン操作
テクニカルサポート
(23ページ) 6.PCI DSS認定用レポートの作成・提出
(17ページ) 5.フォールスポジティブのリクエスト
(5ページ) 1.ログイン
(6ページ) 2.IPアドレスの登録(13ページ) 3.スキャンの操作
(11ページ) 4.スキャンの結果確認
問診票の選択と作成
承認
*Approved Scanning Vendor :PCI SSCにより認定されたスキャンベンダ。富士通は、PCI SSCから認定番号:5027-01-01としてASVの認定を受けています。
(40ページ) <ご参考>問診表の選択と作成
3
Copyright FUJITSU LIMITED
ホーム画面の構成
ホームの画面は、大きく4つ(①~④)のエリアに分かれています。
各エリアについては、以下「図1:ホーム」画面、「表1:ホーム画面の説明」の構成になっています。
① 左メニュー ② ③
④
図1:ホーム
* 日本国内では送付することができません。表1:ホーム画面の説明
画面エリア メニュー 説明
①
左メニュー
ネットワーク
検出 現在インナーネットに接続されているIP資産の調整
新規スキャン スキャンの実行
スケジュールスキャン スケジュール設定しているスキャンの表示
スキャン結果 スキャン結果のダウンロード
脆弱性 誤検出、非該当の脆弱性リクエスト
誤検出履歴 誤検出、非該当の脆弱性リクエスト履歴
コンプライアンスコンプライアンスステータス 認定状況の表示、PCI DSS認定用レポートの作成
送付済みレポート 認定用レポートの保管、レポートのステータス確認
問診票
保存済みの問診票 問診票の保存、編集、ダウンロード、削除、送付*
新しい問診票 問診票の選択、作成
証拠 問診票に添付された証拠ファイルの管理
アカウント
設定 加盟店に関する情報、連絡先
IPアセット IPアドレスの登録、削除
ユーザ 新規ユーザの作成
サポート問い合わせ ご意見、ご要望、ご質問の受付
リソース FAQへのリンク、PCI DSSへのリンク、各種決済ブランドへのリンク
②
ネットワークスキャン
スキャンの開始 スキャンの実行
アセットウィザード IPアドレスを登録する際のウィザード
最終送付日 前回の認定用レポートの作成日
次の期限 レポートの有効期限(最終送付日の90日後)
自己評価問診票
SAQウィザード 自己評価問診票の選択、作成
最終送付日 問診票を送付した日付
次の期限 問診票の有効期限(最終送付日の1年後)
③ FAQ よくある質問とその回答
④ヘルプ オンラインヘルプへのリンク
ログアウト QualysGuard®PCIのログアウト
4
Copyright FUJITSU LIMITED
1.ログイン
QualysGuard® PCI のログインURL https://pci.qualys.com/merchant/へアクセスすると、「図2:ログイン」画面が表示されます。
図1:ホーム
ログイン名とパスワードを入力し、「Login」ボタンをクリックします。1
以下の「図1:ホーム」画面へ遷移します。2
図2:ログイン
5
Copyright FUJITSU LIMITED
2.IPアドレスの登録
スキャン対象のIPアドレスをウィザード形式で登録を行います。
左メニューから「アカウント」->「IPアセット」をクリックすると、「図3:IPアドレス/範囲:」画面が表示されます。
「詳細説明ウィザード」ボタンをクリックすると、「図4:システムコンポーネントウィザー
ド 開始」画面が表示されます。
図3:IPアドレス/範囲:
1
2
図4:システムコンポーネントウィザード 開始
6
Copyright FUJITSU LIMITED
「新しいIPを追加」ボタンをクリックすると、IPアドレス追加欄が表示されますので、スキャン対象とするIPアドレスを入力します。
3
図5:アカウントのIPアドレス
スキャン対象のIPアドレスを入力
スキャン対象となるIPアドレスは?
カード情報を取り扱う
DMZを構成するルータ、ファイアーウォールも対象
インターネットに接続されている全てのシステムコンポーネント
全てのグローバルIPアドレスが対象
ただし、カード情報を取り扱うシステムコンポーネントが、ネットワークセグメンテーションにより、物理的/論理的に分離されている場合は対象外とすることが可能(PCI DSSによる要件)
重要!
(※1)
※1カード会員データであるPAN
(プライマリアカウント番号)を保存、処理、伝送すること
7
Copyright FUJITSU LIMITED
スキャン対象とするIPアドレスの既存ドメインが一覧で表示されますので、他にスキャン対象となるドメインがある場合は「新しいドメインを追加」ボタンを押し追加を行います。
4
図6:アカウントのドメイン
既存以外の対象ドメインを追加
8
Copyright FUJITSU LIMITED
スキャン対象ドメインの追加を行うと、新たに検出されたIPとドメインがリストアップされますので、リストから関連のあるIPにチェックします。
5
図7:関連するIP/ドメインの検出
図8:関連するIP/ドメインの選択
全てのIPを対象とする場合はここにチェック
9
Copyright FUJITSU LIMITED
ロードバランサの使用について問われる画面に進みますので、状況に応じて“はい”
か“いいえ”を選択します。
6
図9:ロードバランサの使用―“いいえ”選択
スキャン対象としてロードバランサを使用しているかどうかを選択する
“いいえ”の場合
ロードバランサを使用していない場合は、いいえを選択し次に進むと、『干渉なくスキャンを実行できるか確認』の画面に移ります。 ⇒操作手順 P.12
10
Copyright FUJITSU LIMITED
ロードバランサの使用について、“はい”を選択すると次の設問が表示されます。7
図10:ロードバランサの使用―“はい” “はい”選択
図11:ロードバランサの使用―“はい” “いいえ”選択
ロードバランサ配下のサーバのシステム設定が、全て同期化されていることが明記されます。
いいえの場合は、同期化の検証ができない為、内部スキャンの一部としてスキャンが実行される位置づけとなります。
重要!
11
Copyright FUJITSU LIMITED
ロードバランサの使用状況を選択後、干渉なくスキャンが実行できる環境であるか確
認の画面が表示されます。
8
図12:干渉なくスキャンを実行できることを確認
ここに記載しているIPアドレスから、スキャンのパケットが送信されます。侵入検知システム/侵入防止システムによるパケットのブロックが無いように、設定変更等の調整をして下さい。
重要!
12
Copyright FUJITSU LIMITED
3.スキャンの操作
登録したIPアドレスに対し、スキャンを行います。スキャンは、「今すぐ開始」もしくは希望日時にスケジュール設定することも可能です。
図5:スキャン設定
左メニューから「ネットワーク」->「新規スキャン」をクリックすると、「図5:スキャン設
定」画面が表示されます。
1
図1:ホーム
13
Copyright FUJITSU LIMITED
【画面表示・入力項目】
○タイトル:
タイトル(スキャンが分かる名前)を任意で入力します。
○帯域幅:
スキャンパフォーマンスに影響する帯域幅のレベルを、「高」「中(推奨)」「中-HTTPへの影響が低い」「低」「最低」から、選択します。
帯域幅の説明は、 34ページを参照。
○対象IP:
スキャンするIPアドレスを選択します。登録したすべてのIPアドレスをスキャンする場合は、「すべてのIP」を選択します。登録したIPアドレスの中から選択してスキャンする場合は、「IPを選択」を選択します。
○開始:
今すぐスキャンを開始する場合は、「今すぐ開始」を選択します。
希望の日時にスキャンを設定する場合は、「後で開始」を選択します。
2 「図5:スキャン設定」画面で、スキャン内容の設定をします。
(1)タイトルを任意で入力します。
(2)帯域幅を選択します。(「中」を推奨)
(3)対象IP(スキャンするIPアドレス)で、「すべてのIP」か「IPを選択」を選択します。「IPを選択」の場合、2-1 を参照
(4)「今すぐ開始」か「後で開始」を選択します。
「後で開始」の場合、2-2 を参照
(5)(1)~(4)の設定が完了したら、「OK」ボタンをクリックします。「今すぐ開始」を選択の場合、「OK」ボタンをクリック後、スキャンを開始します。
図5:スキャン設定
IDS/IPS等により、スキャンパケットをブロックする機能を使用している場合、スキャン中は無効にしていただかなければなりません。(PCI DSSによる要件)
14
Copyright FUJITSU LIMITED
2-1 対象IP: で、IPを選択をクリックすると、「IPを選択」リンクが表示されます。「IPを選択」リンクをクリックすると、「図6:IP選択」画面が表示されます。スキャンするIPを選択し、「追加」ボタンをクリックします。
図6:IP選択
【画面表示・入力項目】
○開始日:
スキャンを開始する日付を設定します。
○開始時刻:
スキャンを開始する時間を設定します。
○繰り返し:
○日ごとに、○週ごとに~設定したスケジュールを繰り返す場合に選択します。
2-2 開始: で、「後で開始」を選択すると、「図7:スケジューラ」設定が表示されます。
開始日、開始時刻、(繰り返し設定)を設定し、「OK」ボタンをクリックします。
(=設定日時に自動でスキャンされます)
「ネットワーク」->「スケジュールスキャン」に設定したスキャンが表示されます。
***.***.***.***
***.***.***.***
***.***.***.***
***.***.***.***
***.***.***.***
***.***.***.***
選択
図7:スケジューラ
15
Copyright FUJITSU LIMITED
4.スキャンの結果確認
左メニューから「ネットワーク」->「スキャン結果」をクリックすると、「図8:スキャン結
果」画面が表示されます。スキャンステータスが「終了」になっていると、スキャンが完
了しています。「ダウンロード」ボタンで結果レポートをPDF形式でダウンロードします。
図8:スキャン結果
1
PDFダウンロード
表2:「図8:スキャン結果」 画面の説明 (オンラインヘルプ「ネットワークスキャン結果の表示」参照)
16
Copyright FUJITSU LIMITED
5.フォールスポジティブのリクエスト
スキャンにより検出した脆弱性が、誤検出や代替策による対処済みの脆弱性がある場合、
ASVにリクエストをします。ASVは、リクエストされた脆弱性を検証し、承認/却下します。承認された脆弱性は、90日間、非該当になります。
左メニューから「ネットワーク」->「脆弱性」をクリックすると、「図9:現在の脆弱性」画面
が表示されます。「図9:現在の脆弱性」画面の説明は、16,17ページを参照1
図9:現在の脆弱性
図1:ホーム
17
Copyright FUJITSU LIMITED
誤検出や代替策による脆弱性でリクエスト対象とする脆弱性のチェックボックスを
選択します。(複数選択可)
2
「誤検出を確認」ボタンをクリックすると、「図10:誤検出リクエスト」画面に遷移します。3
図10:誤検出リクエスト
***.***.***.***
図9:現在の脆弱性
18
Copyright FUJITSU LIMITED
4
5
「図10:誤検出リクエスト」画面で、理由を入力し、「誤検出リクエストを送信する」
ボタンをクリックします。(=ASVに送信されます)
「図9:現在の脆弱性」画面で、リクエストした脆弱性にリクエスト済みマークが付いて
います。
図10:誤検出リクエスト
本脆弱性が非該当のバージョンのWebサーバを利用しているためApache2.*.*
***.***.***.***
図9:現在の脆弱性
19
Copyright FUJITSU LIMITED
左メニューから「ネットワーク」->「誤検出履歴」をクリックすると、「図11:誤検出履歴」
画面が表示されます。ステータス欄で、ASVにリクエスト送信した脆弱性の現在のステータスを確認することができます。
6
ステータス 説明
リクエスト済み 誤検出リクエストをASVに依頼中
承認済み リクエストが承認された状態(承認済みの誤検出の有効期間は承認日から 90 日間です)
却下 リクエストが却下された状態
有効期限切れ 誤検出リクエストが承認されましたが、90 日経過後に有効期限が切れた状態。
誤検出が有効期限切れになった後、次回 スキャンを実行し、同様の脆弱性が検出された場合、PCI コンプライアンスに不合格となります。その脆弱性について、新しい誤検出リクエストを送信する必要があります。
表3:「図11:誤検出履歴」 画面のステータス欄の説明
ステータスが却下の場合
図11:誤検出履歴
***.***.***.***
20
Copyright FUJITSU LIMITED
「図9:現在の脆弱性」画面の説明
①フィルタ設定 : IPアドレスや脆弱性ごとの検索が可能です。図9:現在の脆弱性
表4:「図9:現在の脆弱性」 画面の①フィルタ設定の説明
①フィルタ設定
②リスト★
①-1 ①-2
①-3
①-4
①-5
①-6
②-5②-4②-3②-2②-1
①フィルタ設定 説明
①-1 IPアドレスによる検索 1つまたは複数のIPアドレスやIP範囲を入力し、「IPアドレスを検索」をクリックすると、入力したIPのみの脆弱性が表示されます。
①-2 結果のフィルタ
・QID、脆弱性タイトル、ホスト名を入力すると④エリアに神作結果が表示されます。
・PCI非準拠の脆弱性のみ表示にチェックを入れると、修正が必要な脆弱性のみが表示されます。
①-3 誤検出
リクエスト済み(REQ) ASVにリクエストした脆弱性
却下(REJ) ASVにより却下された脆弱性
有効期限切れ(EXP) ASVにより承認された90日経過した脆弱性
①-4 潜在的な脆弱性の重大度 高・中・低
選択した脆弱性の重大度が表示されます。①-5 確認済みの脆弱性の重大度 高・中・低
①-6 アカウントのサマリすべての診断対象の脆弱性(赤・黄)の合計数が重大度(高・
中・低)ごとに表示されるグラフです。
「図9:現在の脆弱性」画面は、最後に実行したスキャンで検出された脆弱性がすべて表示
されます。①フィルタ設定、②リストの詳細については、表4と表5をご参照下さい。
21
Copyright FUJITSU LIMITED
②リスト : ①フィルタ設定が選択されていない場合は、アカウントの全IPアドレスのすべての脆弱性が表示されます。フィルタ設定が選択されている場合、検索条件に一致する脆弱
性のみが表示されます。
②-1
②-2
②-3
②-4
②-5
★「フィルタを非表示」をクリックすると、②エリアの表示領域を最大化できます。
★②-5②-4②-3②-2
②-1
図9:現在の脆弱性
表5:「図9:現在の脆弱性」 画面の②リストの説明
22
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出
左メニューから「コンプライアンス」->「コンプライアンスステータス」をクリックすると、
「図12:コンプライアンスステータス」画面が表示されます。
「Generate」ボタンをクリックすると、レポート生成ウィザードが起動されます。
図12:コンプライアンスステータス
図13:レポート生成ウィザード
2 「図13:レポート生成ウィザード」画面の「次へ」ボタンをクリックします。
1
23
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出レポート生成ウィザード 開始
3
図14:スキャンのコンプライアンス証明書
【画面表示・入力項目】
○名前:
名前を入力します。
○役職:
役職を入力します。
以下の「図14:スキャンのコンプライアンス証明書」画面へ遷移します。
「名前:」と「役職:」を入力し、「次へ」ボタンをクリックします。
24
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出レポート生成ウィザード 非準拠のIPアドレス
【画面表示・入力項目】
○非準拠の各IPについて個別のコメントを入力します:診断対象の各IPアドレスに対して、非準拠である理由を入力します。
○非準拠のすべてのIPについて共通のコメントを入力します:すべての診断対象のIPアドレスに対して、非準拠である理由を入力します。
4 スキャン結果が非準拠の場合は、「図15:非準拠のIPアドレス」画面へ遷移します。各IPについて個別および共通のコメント(非準拠の理由)を入力し、「次へ」ボタンをクリックします。
スキャン結果が準拠している場合(「ネットワーク」-「スキャン結果」で最新のスキャン
のコンプライアンスが「PASS」になっていること、フォールスポジティブのリクエストの必要がある脆弱性がないこと)は、「図16:サマリ」画面へ遷移します。
図15:非準拠のIPアドレス
***.***.***.2
***.***.***.1
25
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出レポート生成ウィザード レポート生成
2 以下の「図16:サマリ」画面へ遷移します。
レポートの送付タイトルを入力し、「レポートの生成」ボタンをクリックします。5
図16:サマリ
【画面表示・入力項目】
○送付タイトル:
レポートのタイトルを任意で入力します。
26
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出レポート生成ウィザード 生成完了
以下の「図17:レポート生成中」画面へ遷移します。
「図18:レポート生成完了」画面になったら、「次へ」ボタンをクリックします。6
図17:レポート生成中
図18:レポート生成完了
27
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出レポート生成ウィザード 提出
以下の「図19:提出」画面へ遷移します。
「今すぐ確認をリクエスト」をクリックします。(=ASVに送信されます)
図19:提出
7
28
Copyright FUJITSU LIMITED
6.PCI DSS認定用レポートの作成・提出送信済みレポート
左メニューから「コンプライアンス」->「送付済みレポート」をクリックすると、
「図20:提出レポートのステータス確認」で、ASVに提出したレポートのステータスを確認します。ASVが承認すると、ステータスが「証明済み」になります。
8
図20:提出レポートのステータス確認
表6:「図20:提出レポートのステータス確認」 画面の説明 (オンラインヘルプ「送付済みレポート」参照)
29
Copyright FUJITSU LIMITED
ASVによりレポートが「却下」された場合は、ステータスが「却下」となります。「次のアクション」欄の「再確認のリクエスト」をクリックすると、再度ASVにレポートを提出することができます。
以下のエグゼクティブレポートとテクニカルレポートのダウンロードボタンをクリックす
ると、PDF形式でダウンロードすることが可能です。9
図20:提出レポートのステータス確認
図20:提出レポートのステータス確認
6.PCI DSS認定用レポートの作成・提出再提出とレポートのダウンロード
提出用レポートの種類 内容
エグゼクティブレポートエグゼクティブサマリ(IPアドレス、スキャン設定、総合的なPCIステータス(PASS/FAIL)、レポート概要)
/脆弱性の概要/重大度別の脆弱性/付録/レポートの凡例
テクニカルレポート エグゼクティブレポートの内容に「結果の詳細」が加わる
表7:提出用レポートの種類
30
Copyright FUJITSU LIMITED
<ご参考>
• 新規ユーザアカウントの作成• IPアドレスの削除• アクワイアラへ提出• スキャンの帯域幅の設定について• 問診票の作成• ログイン名とパスワードの変更
31
Copyright FUJITSU LIMITED
新規ユーザアカウントの作成
初期アカウントを用いて、ユーザアカウントを作成したり、ユーザアカウントの
検索・編集をすることができます。どのユーザも同じ権限です。
図21:ユーザ
左メニューから「アカウント」->「ユーザ」をクリックすると、「図21:ユーザ」画面が表示
されます。「新規ユーザ」をクリックすると、「図22:ユーザ情報」画面に遷移します。
1
Test@fujitsu [email protected]
図1:ホーム
32
Copyright FUJITSU LIMITED
図22:ユーザ情報
2 「図22:ユーザ情報」画面で、「敬称: 」 、「名: 」 、「姓: 」 、「タイトル: 」 、
「電話番号: 」 、「電子メール: 」 、「ユーザログイン: 」 を入力します。
3 2の入力が完了したら、「保存」ボタンをクリックします。
【画面表示・入力項目】
○敬称:
Mr、Ms、Mrsから選択します。○名:
○姓:
ユーザの氏名を入力します。(必須)
○タイトル:
ユーザの役職を入力します。(必須)
○電話番号:
ユーザの電話番号を入力します。(必須)
○ファックス:
ユーザのFax番号を入力します。○電子メール:
ユーザの正しい電子メールを入力します。(必須)
○ユーザログイン:
ユーザがログイン時に入力するログイン名です。(必須)
他に同じものがなく、@文字が含まれている(john@company など)ログイン名を入力します。
33
Copyright FUJITSU LIMITED
4 「図22:ユーザ情報」画面で、登録した電子メール宛に、ログイン情報を連絡する
メールが届きます。
文中のアカウント取得用のURLにアクセスすると、QualysGuard® PCIにログインするためのアカウント情報を取得することができます。このURLは、一度限りのアクセス
となっておりますので、取得したアカウント情報は控えておくようお願いします。
5 新規ユーザアカウントでログインすると、初回はサービス利用規約が表示されます。
「同意する」ボタンをクリックし、サービスにログインします。
34
Copyright FUJITSU LIMITED
IPアドレスの削除
左メニューから「アカウント」->「IPアセット」をクリックすると、「図3:IPアドレス/範囲:」画面が表示されます。
図3:IPアドレス/範囲:
1
「IPの削除」ボタンをクリックすると、「図23:IPの削除」画面へ遷移します。2
図23:IPの削除
テクニカルサポート宛に登録しているIPアドレスの削除処理を依頼することができます。ご契約のIPアドレス数は、消費されたままになりますのでご注意下さい。
35
Copyright FUJITSU LIMITED
図23:IPの削除
「図23:IPの削除」画面のテキストに削除対象のIPアドレスを入力するか、「IPを選択」をクリックし、削除対象のIPアドレスを選択します。「ホストの削除リクエスト」ボタンをクリックすると、確認メッセージ「IPの削除のリクエストは正常に提出されました。」が表示され、テクニカルサポートに削除対象のIPアドレスの情報が送信されます。
3
「IPアドレスの削除」の注意事項
(1)削除したIPアドレスがスケジュールスキャン対象になっている場合、スキャンが失敗します。
(2)IPアドレスを削除すると、そのIPアドレスはアカウントと現在のネットワークステータスの範囲から削除されます。
(3)削除済みのIPアドレスで以前に検出された脆弱性は、「ネットワーク」->「脆弱性」の「現在の脆弱性」リストから削除されます。
(4)以前のスキャンと送信済みレポートの履歴情報は、削除の影響を受けずに残ります。
(5)削除したIPアドレスを、その後のレポートに含むことはできません。削除したIPアドレスを後でレポートに含めるには、IPアドレスを再度追加してスキャンする必要があります。
(6)四半期の間に一度スキャンしたうえで削除したIPアドレスの数は、PCI DSS認定用レポート 「スキャンステータス」項の「スキャン顧客によって範囲外であることが確認
されたため、ASV によって検出されたがスキャン対象とならなかったコンポーネントの数」に表示されます。
36
Copyright FUJITSU LIMITED
アクワイアラへ提出
ASVによる合格の承認を受けた後、以下の【アクワイアラの設定】がされている場合のみ、レポートをアクワイアラへ送信*することができます。
*日本ではご利用できません。
【アクワイアラの設定】
左メニューから「アカウント」->「設定」で、「銀行情報」の編集をクリックすると、
「図24:銀行情報」画面に遷移します。
「銀行名」メニューで銀行を選択し、情報を設定します。設定できる銀行は最大5件です。
「銀行名」メニューに銀行がない場合は、ページ下の「その他の銀行」欄に入力します。
※ 「銀行名:」に表示されていない銀行
の場合、QualysGuard® PCI上で、認定用レポート(ASV合格済み)や問診票を提出することができません。
PDF形式でダウンロードして、別途送付して下さい。
図24:銀行情報
37
Copyright FUJITSU LIMITED
(32ページ【アクワイアラの設定】がされている場合のみ)
左メニューから「コンプライアンス」->「送付済みレポート」で、「次のアクション」欄の
「送付」をクリックします。
1
確認ウインドウで、32ページの【アクワイアラの設定】で設定されている銀行が
リストされます。「送付」をクリックします。(=アクワイアラに提出されます)2
送付
送付
送付
図20:提出レポートのステータス確認
38
Copyright FUJITSU LIMITED
スキャンの帯域幅の設定について
スキャン設定の中で、スキャンの帯域幅を選択する項目があります。
(8ページの 「図5:スキャン設定」画面)
帯域幅は「高」・「中」・「中-HTTPへの影響が低い」・「低」・「最低」の5種類があります。各帯域幅によってスキャンパフォーマンスの内容が変わります。
「高」の場合、同時にスキャンするホストの数が多く、スキャン対象に送られる診断パケット
の送信間隔が短いため、ネットワークの負荷が高くなります。
スキャン対象となるネットワークの負荷を考慮して設定して下さい。推奨は「中」とします。
各帯域幅レベルの設定を比較するには、以下の表を参照して下さい。
表8:スキャン帯域幅の設定の説明 (オンラインヘルプ「スキャン帯域幅(ネットワークスキャン)」参照)
39
Copyright FUJITSU LIMITED
問診票の選択と作成
PCI DSSへの準拠状況を自己検証する問診票を作成します。作成する問診票の種類が分からない場合は、選択ウィザードに従って選択
することができます。
左メニューから「問診票」-「新しい問診票」をクリックすると、「図25:新しい問診票の
作成」画面が表示されます。作成する問診表の種類が分からない場合は「Guide Me」、作成する問診表の種類が分かる場合は「Choose SAQ」、をクリックします。
1
作成する問診票の種類が分からない場合
作成する問診票の種類が分からない場合は、この「Guide Me」ボタンをクリックします。
SAQ ウィザードが表示され、ガイドに従って問診票を選択できます。
ウィザードの各ページで表示される質問に回答し、「次へ」ボタンをクリックして次のページに進みます。「前へ」ボタンをクリックすれば、いつでも前の質問に戻れます。
ウィザードの回答に基づき、適した問診票が選択されます。
作成する問診票の種類が分かる場合
作成する問診票の種類が分かる場合は、この「Choose SAQ」 ボタンをクリックします。
「新しい問診票の作成」ページが表示されますので、作成する対象の問診票をクリックします。
図25:新しい問診票の作成
40
Copyright FUJITSU LIMITED
該当する問診票を選択し、「タイトル」と「組織に関する情報」を入力後、質問に回答し
ていきます。
・「詳細」をクリックすると、補足情報を確認することができます。
・「コメント」をクリックすると、コメントを入力できるテキストボックスが表示されます。
回答内容が「いいえ」「該当なし」「代替コントロール」の場合は入力必須です。
・「証拠」をクリックすると、ファイルをアップロードしたり、特定の要件や質問に対する
コンプライアンスの証拠としてリンクしたりすることができます。
2
回答の進捗率(質問に回答すると、該当する要件の進捗度が動的に更新されます)↓
PCI DSSの対策の優先順を示す6つのマイルストーンがあります。(内容は37ページ参照)
質問に回答すると、関連するマイルストーンのコンプライアンス達成度が動的に更新されます。これによって、問診票を入力しながらコンプライアンスの進行状態を確認できます。
↑マイルストーンの達成率
問診票の選択と作成―問診票の作成―
41
Copyright FUJITSU LIMITED
PCI DSSの対策の優先順を示す6つのマイルストーンについて(オンラインヘルプ「PCI DSSコンプライアンスマイルストーン」参照)
作成途中の問診票は、「ドラフトの保存」をクリックしておきます。
左メニューから「問診票」->「保存済みの問診票」(「図26:保存済みの問診票」画面)
の 「編集」ボタンでいつでも編集することが可能です。
3
↑「編集」ボタン
↑PDFダウンロード
図26:保存済みの問診票
問診票の選択と作成―問診票の作成―
表9:PCI DSSコンプライアンスマイルストーンの内容
42
Copyright FUJITSU LIMITED
すべての質問に回答したら、「問診票の送付」ボタンをクリックします。
「図8:問診票の送付」画面(39ページ)に遷移します。必要事項を入力し、「送付」ボタ
ンをクリックします。
4
問診票の選択と作成―問診票の作成―
43
Copyright FUJITSU LIMITED
図27:問診票の送付
「経営責任者名」、「役職」、「会社名」を入力して電子署名します。
この項は、短いバージョンの問診票(A、B、C、または C-VT)を作成した場合にのみ表示されます。問診票を作成する適切な資格があること、または適切な資格を持って作成したことを証明します。画面に表示される適性基準を確認し、組織がすべての条件を満たしていることを検証します。「上記のすべてに基づき、この簡易版問診票に入力する資格があることを証明します。」チェックボックスを選択します。
ステータス要件を確認し、組織がすべての条件を満たしていることを検証します。その後、「上記のすべてのステータスを確認します。」チェックボックスを選択します。
チェックマークは、要件に準拠していることを示します。ダッシュは、要件に非準拠であることを示します。質問の中に1 つでも「いいえ」の回答があれば、その要件には従っていないことになります。
問診票の選択と作成―問診票の送付―
44
Copyright FUJITSU LIMITED
ログイン名とパスワードの変更
ユーザの編集画面で、ログイン名やパスワードを変更することが可能です。
オプションとして、VeriSign Identity Protection(VIP)認証情報を登録することができます。これによって、ログインのセキュリティレイヤが1つ加わります。
左メニューから「アカウント」->「ユーザ」をクリックすると、「図21:ユーザ」画面が表示
されます。変更したいユーザの 「編集」ボタンをクリックすると、
「図28:ユーザの編集」画面に遷移します。
1
ユーザ ログイン名 パスワード
初期アカウントのユーザ 変更可 変更可
初期アカウントから作成したユーザ 変更不可ユーザの編集画面の「パスワードのリセット」のリン
クにより、新しいパスワードを自動生成する
↑「編集」ボタン
図21:ユーザ
図1:ホーム
表10:ユーザによるログイン名とパスワードの変更について
45
Copyright FUJITSU LIMITED
「図28:ユーザの編集」画面の「ユーザアカウントの変更」のリンクをクリックします。2
図28:ユーザの編集
「図29:ユーザログインの変更」画面で、現在のユーザログインと新規ユーザログイン
を入力後、「変更してログアウト」ボタンをクリックします。
新しいログイン名でサービスに再度ログインするように求められます。
3
図29:ユーザログインの変更
【画面表示・入力項目】
○現在のユーザログイン:現在のログイン名を入力します。
○新規ユーザログイン:新しいログイン名を入力します。
○新規ユーザログインの再入力:新しいログイン名を再入力します。ユーザのログイン名は、他に同じもの
がないことと、@ 文字が含まれていることを確認します。(john@company など)
ユーザログイン名とパスワードの変更―ユーザログイン名の変更―
46
Copyright FUJITSU LIMITED
40ページ「図21:ユーザ」画面から、変更したいユーザの 「編集」ボタンをクリック
します。「図28:ユーザの編集」画面の「パスワードの変更」のリンクをクリックします。
1
図28:ユーザの編集
「図30:パスワードの変更」画面で、現在のパスワードと新規パスワードを入力後、
「変更してログアウト」ボタンをクリックします。
新しいパスワードでサービスに再度ログインするように求められます。
2
図30:パスワードの変更
【画面表示・入力項目】
○現在のパスワードの入力:現在のパスワードを入力します。
○新規パスワード:新しいパスワードを入力します。
○新規パスワードの再入力:新しいパスワードを再入力します。パスワードは6 文字以上で、アルファベット
と数字の両方を使用する必要があります。
ユーザログイン名とパスワードの変更―パスワードの変更―
47
Copyright FUJITSU LIMITED48