FUJITSU Security Solution PCI DSS ASV認定スキャ …...2013/08/16 · 「PCI DSS...

Copyright FUJITSU LIMITED

富士通株式会社クラウドセキュリティ事業部2013年8月

FUJITSU Security SolutionPCI DSS ASV認定スキャンサービス操作手順 1.2版


はじめに

操作の流れ

ホーム画面の構成

１．ログイン

２．IPアドレスの登録

３．スキャンの操作

４．スキャンの結果確認

５．フォールスポジティブのリクエスト

６．PCI DSS認定用レポートの作成・提出

＜ご参考＞

・新規ユーザアカウントの作成

・IPアドレスの削除

・アクワイアラへ提出

・スキャンの帯域幅の設定について

・問診票の選択と作成

・ログイン名とパスワードの変更

「PCI DSS ASV認定スキャンサービス」をすぐに導入いただけるように、QualysGuard® PCI へログインしてスキャンを実施、フォールスポジティブのリクエスト、PCI DSS認定用レポートの作成・提出する方法をご説明します。

〔目次〕

３

４

５

６

１３

１６

１７

２３

３２

３５

３７

３９

４０

４５

1


変更履歴

版数発行日変更内容

1.0版 2011年4月4日初版

1.1版 2012年4月20日 P.6～12 IPアドレスの登録を追記変更、目次の修正

1.2版 2013年8月16日タイトル、操作の流れの修正、全体のカラーとフォントの統一

2


操作の流れ

お客様富士通（ASV*）

スキャン

フォールスポジティブのリクエスト

認定用レポート作成・提出

問診票

フォールスポジティブをリクエスト

受付

確認・判定

回答認定用レポート作成へ承認

再検討・対処却下

提出受付

確認・合否判定

回答アクワイアラに提出

不備の修正却下

認定用レポート作成

ログインQualysGuard® PCIの初期アカウントの提供

結果レポート参照

スキャン操作

テクニカルサポート

（23ページ）６．PCI DSS認定用レポートの作成・提出

（17ページ）５．フォールスポジティブのリクエスト

（5ページ）１．ログイン

（6ページ）２．IPアドレスの登録（13ページ）３．スキャンの操作

（11ページ）４．スキャンの結果確認

問診票の選択と作成

承認

*Approved Scanning Vendor ：PCI SSCにより認定されたスキャンベンダ。富士通は、PCI SSCから認定番号：5027-01-01としてASVの認定を受けています。

（40ページ）＜ご参考＞問診表の選択と作成

3


ホーム画面の構成

ホームの画面は、大きく４つ（①～④）のエリアに分かれています。

各エリアについては、以下「図１：ホーム」画面、「表１：ホーム画面の説明」の構成になっています。

① 左メニュー ② ③

④

図１：ホーム

* 日本国内では送付することができません。表１：ホーム画面の説明

画面エリアメニュー説明

①

左メニュー

ネットワーク

検出現在インナーネットに接続されているIP資産の調整

新規スキャンスキャンの実行

スケジュールスキャンスケジュール設定しているスキャンの表示

スキャン結果スキャン結果のダウンロード

脆弱性誤検出、非該当の脆弱性リクエスト

誤検出履歴誤検出、非該当の脆弱性リクエスト履歴

コンプライアンスコンプライアンスステータス認定状況の表示、PCI DSS認定用レポートの作成

送付済みレポート認定用レポートの保管、レポートのステータス確認

問診票

保存済みの問診票問診票の保存、編集、ダウンロード、削除、送付*

新しい問診票問診票の選択、作成

証拠問診票に添付された証拠ファイルの管理

アカウント

設定加盟店に関する情報、連絡先

IPアセット IPアドレスの登録、削除

ユーザ新規ユーザの作成

サポート問い合わせご意見、ご要望、ご質問の受付

リソース FAQへのリンク、PCI DSSへのリンク、各種決済ブランドへのリンク

②

ネットワークスキャン

スキャンの開始スキャンの実行

アセットウィザード IPアドレスを登録する際のウィザード

最終送付日前回の認定用レポートの作成日

次の期限レポートの有効期限（最終送付日の90日後）

自己評価問診票

SAQウィザード自己評価問診票の選択、作成

最終送付日問診票を送付した日付

次の期限問診票の有効期限（最終送付日の1年後）

③ FAQ よくある質問とその回答

④ヘルプオンラインヘルプへのリンク

ログアウト QualysGuard®PCIのログアウト

4


１．ログイン

ＱｕａｌｙｓＧｕａｒｄ® PCI のログインＵＲＬ https://pci.qualys.com/merchant/へアクセスすると、「図２：ログイン」画面が表示されます。

図１：ホーム

ログイン名とパスワードを入力し、「Login」ボタンをクリックします。１

以下の「図１：ホーム」画面へ遷移します。２

図２：ログイン

5

https://pci.qualys.com/merchant/


２．IPアドレスの登録

スキャン対象のIPアドレスをウィザード形式で登録を行います。

左メニューから「アカウント」->「IPアセット」をクリックすると、「図３：IPアドレス/範囲：」画面が表示されます。

「詳細説明ウィザード」ボタンをクリックすると、「図４：システムコンポーネントウィザー

ド開始」画面が表示されます。

図３：IPアドレス/範囲：

1

２

図４：システムコンポーネントウィザード開始

6


「新しいIPを追加」ボタンをクリックすると、IPアドレス追加欄が表示されますので、スキャン対象とするIPアドレスを入力します。

３

図５：アカウントのIPアドレス

スキャン対象のIPアドレスを入力

スキャン対象となるIPアドレスは？

カード情報を取り扱う

DMZを構成するルータ、ファイアーウォールも対象

インターネットに接続されている全てのシステムコンポーネント

全てのグローバルIPアドレスが対象

ただし、カード情報を取り扱うシステムコンポーネントが、ネットワークセグメンテーションにより、物理的/論理的に分離されている場合は対象外とすることが可能（PCI DSSによる要件）

重要！

(※１)

※1カード会員データであるPAN

（プライマリアカウント番号）を保存、処理、伝送すること

7


スキャン対象とするIPアドレスの既存ドメインが一覧で表示されますので、他にスキャン対象となるドメインがある場合は「新しいドメインを追加」ボタンを押し追加を行います。

４

図６：アカウントのドメイン

既存以外の対象ドメインを追加

8


スキャン対象ドメインの追加を行うと、新たに検出されたIPとドメインがリストアップされますので、リストから関連のあるIPにチェックします。

５

図７：関連するIP/ドメインの検出

図８：関連するIP/ドメインの選択

全てのIPを対象とする場合はここにチェック

9


ロードバランサの使用について問われる画面に進みますので、状況に応じて“はい”

か“いいえ”を選択します。

６

図９：ロードバランサの使用―“いいえ”選択

スキャン対象としてロードバランサを使用しているかどうかを選択する

“いいえ”の場合

ロードバランサを使用していない場合は、いいえを選択し次に進むと、『干渉なくスキャンを実行できるか確認』の画面に移ります。 ⇒操作手順 P.12

10


ロードバランサの使用について、“はい”を選択すると次の設問が表示されます。７

図１０：ロードバランサの使用―“はい” “はい”選択

図１１：ロードバランサの使用―“はい” “いいえ”選択

ロードバランサ配下のサーバのシステム設定が、全て同期化されていることが明記されます。

いいえの場合は、同期化の検証ができない為、内部スキャンの一部としてスキャンが実行される位置づけとなります。

重要！

11


ロードバランサの使用状況を選択後、干渉なくスキャンが実行できる環境であるか確

認の画面が表示されます。

８

図１２：干渉なくスキャンを実行できることを確認

ここに記載しているIPアドレスから、スキャンのパケットが送信されます。侵入検知システム／侵入防止システムによるパケットのブロックが無いように、設定変更等の調整をして下さい。

重要！

12


３．スキャンの操作

登録したIPアドレスに対し、スキャンを行います。スキャンは、「今すぐ開始」もしくは希望日時にスケジュール設定することも可能です。

図５：スキャン設定

左メニューから「ネットワーク」->「新規スキャン」をクリックすると、「図５：スキャン設

定」画面が表示されます。

１

図１：ホーム

13


【画面表示・入力項目】

○タイトル：

タイトル（スキャンが分かる名前）を任意で入力します。

○帯域幅：

スキャンパフォーマンスに影響する帯域幅のレベルを、「高」「中（推奨）」「中-HTTPへの影響が低い」「低」「最低」から、選択します。

帯域幅の説明は、 34ページを参照。

○対象ＩＰ：

スキャンするIPアドレスを選択します。登録したすべてのIPアドレスをスキャンする場合は、「すべてのIP」を選択します。登録したIPアドレスの中から選択してスキャンする場合は、「IPを選択」を選択します。

○開始：

今すぐスキャンを開始する場合は、「今すぐ開始」を選択します。

希望の日時にスキャンを設定する場合は、「後で開始」を選択します。

２「図５：スキャン設定」画面で、スキャン内容の設定をします。

（１）タイトルを任意で入力します。

（２）帯域幅を選択します。（「中」を推奨）

（３）対象IP（スキャンするIPアドレス）で、「すべてのIP」か「IPを選択」を選択します。「IPを選択」の場合、2-1 を参照

（４）「今すぐ開始」か「後で開始」を選択します。

「後で開始」の場合、2-2 を参照

（５）（１）～（４）の設定が完了したら、「OK」ボタンをクリックします。「今すぐ開始」を選択の場合、「OK」ボタンをクリック後、スキャンを開始します。

図５：スキャン設定

IDS/IPS等により、スキャンパケットをブロックする機能を使用している場合、スキャン中は無効にしていただかなければなりません。（PCI DSSによる要件）

14


２-１対象IP：で、IPを選択をクリックすると、「IPを選択」リンクが表示されます。「IPを選択」リンクをクリックすると、「図６：IP選択」画面が表示されます。スキャンするIPを選択し、「追加」ボタンをクリックします。

図６：IP選択


○開始日：

スキャンを開始する日付を設定します。

○開始時刻：

スキャンを開始する時間を設定します。

○繰り返し：

○日ごとに、○週ごとに～設定したスケジュールを繰り返す場合に選択します。

２-２開始：で、「後で開始」を選択すると、「図７：スケジューラ」設定が表示されます。

開始日、開始時刻、（繰り返し設定）を設定し、「ＯＫ」ボタンをクリックします。

（＝設定日時に自動でスキャンされます）

「ネットワーク」->「スケジュールスキャン」に設定したスキャンが表示されます。

***.***.***.***

***.***.***.***

***.***.***.***

***.***.***.***

***.***.***.***

***.***.***.***

選択

図７：スケジューラ

15


４．スキャンの結果確認

左メニューから「ネットワーク」->「スキャン結果」をクリックすると、「図８：スキャン結

果」画面が表示されます。スキャンステータスが「終了」になっていると、スキャンが完

了しています。「ダウンロード」ボタンで結果レポートをPDF形式でダウンロードします。

図８：スキャン結果

１

PDFダウンロード

表２：「図８：スキャン結果」画面の説明（オンラインヘルプ「ネットワークスキャン結果の表示」参照）

16


５．フォールスポジティブのリクエスト

スキャンにより検出した脆弱性が、誤検出や代替策による対処済みの脆弱性がある場合、

ASVにリクエストをします。ASVは、リクエストされた脆弱性を検証し、承認/却下します。承認された脆弱性は、90日間、非該当になります。

左メニューから「ネットワーク」->「脆弱性」をクリックすると、「図９：現在の脆弱性」画面

が表示されます。「図９：現在の脆弱性」画面の説明は、１６，１７ページを参照１

図９：現在の脆弱性

図１：ホーム

17


誤検出や代替策による脆弱性でリクエスト対象とする脆弱性のチェックボックスを

選択します。（複数選択可）

２

「誤検出を確認」ボタンをクリックすると、「図１０：誤検出リクエスト」画面に遷移します。３

図１０：誤検出リクエスト

***.***.***.***


18


４

５

「図１０：誤検出リクエスト」画面で、理由を入力し、「誤検出リクエストを送信する」

ボタンをクリックします。（＝ASVに送信されます）

「図９：現在の脆弱性」画面で、リクエストした脆弱性にリクエスト済みマークが付いて

います。

図１０：誤検出リクエスト

本脆弱性が非該当のバージョンのWebサーバを利用しているためApache2.*.*

***.***.***.***


19


左メニューから「ネットワーク」->「誤検出履歴」をクリックすると、「図１１：誤検出履歴」

画面が表示されます。ステータス欄で、ASVにリクエスト送信した脆弱性の現在のステータスを確認することができます。

６

ステータス説明

リクエスト済み誤検出リクエストをASVに依頼中

承認済みリクエストが承認された状態（承認済みの誤検出の有効期間は承認日から 90 日間です）

却下リクエストが却下された状態

有効期限切れ誤検出リクエストが承認されましたが、90 日経過後に有効期限が切れた状態。

誤検出が有効期限切れになった後、次回スキャンを実行し、同様の脆弱性が検出された場合、PCI コンプライアンスに不合格となります。その脆弱性について、新しい誤検出リクエストを送信する必要があります。

表３：「図１１：誤検出履歴」画面のステータス欄の説明

ステータスが却下の場合

図１１：誤検出履歴

***.***.***.***

20


「図９：現在の脆弱性」画面の説明

①フィルタ設定： IPアドレスや脆弱性ごとの検索が可能です。図９：現在の脆弱性

表４：「図９：現在の脆弱性」画面の①フィルタ設定の説明

①フィルタ設定

②リスト★

①-1 ①-2

①-3

①-4

①-5

①-6

②-5②-4②-3②-2②-1

①フィルタ設定説明

①-1 IPアドレスによる検索１つまたは複数のIPアドレスやIP範囲を入力し、「IPアドレスを検索」をクリックすると、入力したIPのみの脆弱性が表示されます。

①-2 結果のフィルタ

・QID、脆弱性タイトル、ホスト名を入力すると④エリアに神作結果が表示されます。

・PCI非準拠の脆弱性のみ表示にチェックを入れると、修正が必要な脆弱性のみが表示されます。

①-3 誤検出

リクエスト済み（REQ) ASVにリクエストした脆弱性

却下（REJ) ASVにより却下された脆弱性

有効期限切れ（EXP) ASVにより承認された90日経過した脆弱性

①-4 潜在的な脆弱性の重大度高・中・低

選択した脆弱性の重大度が表示されます。①-5 確認済みの脆弱性の重大度高・中・低

①-6 アカウントのサマリすべての診断対象の脆弱性（赤・黄）の合計数が重大度（高・

中・低）ごとに表示されるグラフです。

「図９：現在の脆弱性」画面は、最後に実行したスキャンで検出された脆弱性がすべて表示

されます。①フィルタ設定、②リストの詳細については、表４と表５をご参照下さい。

21


②リスト： ①フィルタ設定が選択されていない場合は、アカウントの全IPアドレスのすべての脆弱性が表示されます。フィルタ設定が選択されている場合、検索条件に一致する脆弱

性のみが表示されます。

②-1

②-2

②-3

②-4

②-5

★「フィルタを非表示」をクリックすると、②エリアの表示領域を最大化できます。

★②-5②-4②-3②-2

②-1


表５：「図９：現在の脆弱性」画面の②リストの説明

22


６．PCI DSS認定用レポートの作成・提出

左メニューから「コンプライアンス」->「コンプライアンスステータス」をクリックすると、

「図１２：コンプライアンスステータス」画面が表示されます。

「Generate」ボタンをクリックすると、レポート生成ウィザードが起動されます。

図１２：コンプライアンスステータス

図１３：レポート生成ウィザード

２「図１３：レポート生成ウィザード」画面の「次へ」ボタンをクリックします。

１

23


６．PCI DSS認定用レポートの作成・提出レポート生成ウィザード開始

３

図１４：スキャンのコンプライアンス証明書


○名前：

名前を入力します。

○役職：

役職を入力します。

以下の「図１４：スキャンのコンプライアンス証明書」画面へ遷移します。

「名前：」と「役職：」を入力し、「次へ」ボタンをクリックします。

24


６．PCI DSS認定用レポートの作成・提出レポート生成ウィザード非準拠のIPアドレス


○非準拠の各IPについて個別のコメントを入力します：診断対象の各IPアドレスに対して、非準拠である理由を入力します。

○非準拠のすべてのIPについて共通のコメントを入力します：すべての診断対象のIPアドレスに対して、非準拠である理由を入力します。

４スキャン結果が非準拠の場合は、「図１５：非準拠のIPアドレス」画面へ遷移します。各IPについて個別および共通のコメント（非準拠の理由）を入力し、「次へ」ボタンをクリックします。

スキャン結果が準拠している場合（「ネットワーク」-「スキャン結果」で最新のスキャン

のコンプライアンスが「PASS」になっていること、フォールスポジティブのリクエストの必要がある脆弱性がないこと）は、「図１６：サマリ」画面へ遷移します。

図１５：非準拠のIPアドレス

***.***.***.2

***.***.***.1

25


６．PCI DSS認定用レポートの作成・提出レポート生成ウィザードレポート生成

２以下の「図１６：サマリ」画面へ遷移します。

レポートの送付タイトルを入力し、「レポートの生成」ボタンをクリックします。５

図１６：サマリ


○送付タイトル：

レポートのタイトルを任意で入力します。

26


６．PCI DSS認定用レポートの作成・提出レポート生成ウィザード生成完了

以下の「図１７：レポート生成中」画面へ遷移します。

「図１８：レポート生成完了」画面になったら、「次へ」ボタンをクリックします。６

図１７：レポート生成中

図１８：レポート生成完了

27


６．PCI DSS認定用レポートの作成・提出レポート生成ウィザード提出

以下の「図１９：提出」画面へ遷移します。

「今すぐ確認をリクエスト」をクリックします。（＝ASVに送信されます）

図１９：提出

７

28


６．PCI DSS認定用レポートの作成・提出送信済みレポート

左メニューから「コンプライアンス」->「送付済みレポート」をクリックすると、

「図２０：提出レポートのステータス確認」で、ASVに提出したレポートのステータスを確認します。ASVが承認すると、ステータスが「証明済み」になります。

８

図２０：提出レポートのステータス確認

表６：「図２０：提出レポートのステータス確認」画面の説明（オンラインヘルプ「送付済みレポート」参照）

29


ASVによりレポートが「却下」された場合は、ステータスが「却下」となります。「次のアクション」欄の「再確認のリクエスト」をクリックすると、再度ASVにレポートを提出することができます。

以下のエグゼクティブレポートとテクニカルレポートのダウンロードボタンをクリックす

ると、PDF形式でダウンロードすることが可能です。９



６．PCI DSS認定用レポートの作成・提出再提出とレポートのダウンロード

提出用レポートの種類内容

エグゼクティブレポートエグゼクティブサマリ（IPアドレス、スキャン設定、総合的なPCIステータス（PASS/FAIL）、レポート概要）

／脆弱性の概要／重大度別の脆弱性／付録／レポートの凡例

テクニカルレポートエグゼクティブレポートの内容に「結果の詳細」が加わる

表７：提出用レポートの種類

30


＜ご参考＞

• 新規ユーザアカウントの作成• IPアドレスの削除• アクワイアラへ提出• スキャンの帯域幅の設定について• 問診票の作成• ログイン名とパスワードの変更

31


新規ユーザアカウントの作成

初期アカウントを用いて、ユーザアカウントを作成したり、ユーザアカウントの

検索・編集をすることができます。どのユーザも同じ権限です。

図２１：ユーザ

左メニューから「アカウント」->「ユーザ」をクリックすると、「図２１：ユーザ」画面が表示

されます。「新規ユーザ」をクリックすると、「図２２：ユーザ情報」画面に遷移します。

１

Test@fujitsu [email protected]

図１：ホーム

32

mailto:[email protected]


図２２：ユーザ情報

２「図２２：ユーザ情報」画面で、「敬称：」、「名：」、「姓：」、「タイトル：」、

「電話番号：」、「電子メール：」、「ユーザログイン：」を入力します。

３２の入力が完了したら、「保存」ボタンをクリックします。


○敬称：

Mr、Ms、Mrsから選択します。○名：

○姓：

ユーザの氏名を入力します。（必須）

○タイトル：

ユーザの役職を入力します。（必須）

○電話番号：

ユーザの電話番号を入力します。（必須）

○ファックス：

ユーザのFax番号を入力します。○電子メール：

ユーザの正しい電子メールを入力します。（必須）

○ユーザログイン：

ユーザがログイン時に入力するログイン名です。（必須）

他に同じものがなく、＠文字が含まれている（john＠company など）ログイン名を入力します。

33


４「図２２：ユーザ情報」画面で、登録した電子メール宛に、ログイン情報を連絡する

メールが届きます。

文中のアカウント取得用のURLにアクセスすると、QualysGuard® PCIにログインするためのアカウント情報を取得することができます。このURLは、一度限りのアクセス

となっておりますので、取得したアカウント情報は控えておくようお願いします。

５新規ユーザアカウントでログインすると、初回はサービス利用規約が表示されます。

「同意する」ボタンをクリックし、サービスにログインします。

34


IPアドレスの削除

左メニューから「アカウント」->「IPアセット」をクリックすると、「図３：IPアドレス/範囲：」画面が表示されます。

図３：IPアドレス/範囲：

1

「IPの削除」ボタンをクリックすると、「図２３：IPの削除」画面へ遷移します。２

図２３：IPの削除

テクニカルサポート宛に登録しているIPアドレスの削除処理を依頼することができます。ご契約のIPアドレス数は、消費されたままになりますのでご注意下さい。

35


図２３：IPの削除

「図２３：IPの削除」画面のテキストに削除対象のIPアドレスを入力するか、「IPを選択」をクリックし、削除対象のIPアドレスを選択します。「ホストの削除リクエスト」ボタンをクリックすると、確認メッセージ「IPの削除のリクエストは正常に提出されました。」が表示され、テクニカルサポートに削除対象のIPアドレスの情報が送信されます。

３

「IPアドレスの削除」の注意事項

(1)削除したIPアドレスがスケジュールスキャン対象になっている場合、スキャンが失敗します。

(2)IPアドレスを削除すると、そのIPアドレスはアカウントと現在のネットワークステータスの範囲から削除されます。

(3)削除済みのIPアドレスで以前に検出された脆弱性は、「ネットワーク」->「脆弱性」の「現在の脆弱性」リストから削除されます。

(4)以前のスキャンと送信済みレポートの履歴情報は、削除の影響を受けずに残ります。

(5)削除したIPアドレスを、その後のレポートに含むことはできません。削除したIPアドレスを後でレポートに含めるには、IPアドレスを再度追加してスキャンする必要があります。

(6)四半期の間に一度スキャンしたうえで削除したIPアドレスの数は、PCI DSS認定用レポート「スキャンステータス」項の「スキャン顧客によって範囲外であることが確認

されたため、ASV によって検出されたがスキャン対象とならなかったコンポーネントの数」に表示されます。

36


アクワイアラへ提出

ASVによる合格の承認を受けた後、以下の【アクワイアラの設定】がされている場合のみ、レポートをアクワイアラへ送信*することができます。

*日本ではご利用できません。

【アクワイアラの設定】

左メニューから「アカウント」->「設定」で、「銀行情報」の編集をクリックすると、

「図２４：銀行情報」画面に遷移します。

「銀行名」メニューで銀行を選択し、情報を設定します。設定できる銀行は最大５件です。

「銀行名」メニューに銀行がない場合は、ページ下の「その他の銀行」欄に入力します。

※ 「銀行名：」に表示されていない銀行

の場合、QualysGuard® PCI上で、認定用レポート（ASV合格済み）や問診票を提出することができません。

PDF形式でダウンロードして、別途送付して下さい。

図２４：銀行情報

37


（３２ページ【アクワイアラの設定】がされている場合のみ）

左メニューから「コンプライアンス」->「送付済みレポート」で、「次のアクション」欄の

「送付」をクリックします。

1

確認ウインドウで、３２ページの【アクワイアラの設定】で設定されている銀行が

リストされます。「送付」をクリックします。（＝アクワイアラに提出されます）２

送付

送付

送付


38


スキャンの帯域幅の設定について

スキャン設定の中で、スキャンの帯域幅を選択する項目があります。

（8ページの「図５：スキャン設定」画面）

帯域幅は「高」・「中」・「中-HTTPへの影響が低い」・「低」・「最低」の５種類があります。各帯域幅によってスキャンパフォーマンスの内容が変わります。

「高」の場合、同時にスキャンするホストの数が多く、スキャン対象に送られる診断パケット

の送信間隔が短いため、ネットワークの負荷が高くなります。

スキャン対象となるネットワークの負荷を考慮して設定して下さい。推奨は「中」とします。

各帯域幅レベルの設定を比較するには、以下の表を参照して下さい。

表８：スキャン帯域幅の設定の説明（オンラインヘルプ「スキャン帯域幅（ネットワークスキャン）」参照）

39


問診票の選択と作成

PCI DSSへの準拠状況を自己検証する問診票を作成します。作成する問診票の種類が分からない場合は、選択ウィザードに従って選択

することができます。

左メニューから「問診票」-「新しい問診票」をクリックすると、「図２５：新しい問診票の

作成」画面が表示されます。作成する問診表の種類が分からない場合は「Guide Me」、作成する問診表の種類が分かる場合は「Choose SAQ」、をクリックします。

１

作成する問診票の種類が分からない場合

作成する問診票の種類が分からない場合は、この「Guide Me」ボタンをクリックします。

SAQ ウィザードが表示され、ガイドに従って問診票を選択できます。

ウィザードの各ページで表示される質問に回答し、「次へ」ボタンをクリックして次のページに進みます。「前へ」ボタンをクリックすれば、いつでも前の質問に戻れます。

ウィザードの回答に基づき、適した問診票が選択されます。

作成する問診票の種類が分かる場合

作成する問診票の種類が分かる場合は、この「Choose SAQ」ボタンをクリックします。

「新しい問診票の作成」ページが表示されますので、作成する対象の問診票をクリックします。

図２５：新しい問診票の作成

40


該当する問診票を選択し、「タイトル」と「組織に関する情報」を入力後、質問に回答し

ていきます。

・「詳細」をクリックすると、補足情報を確認することができます。

・「コメント」をクリックすると、コメントを入力できるテキストボックスが表示されます。

回答内容が「いいえ」「該当なし」「代替コントロール」の場合は入力必須です。

・「証拠」をクリックすると、ファイルをアップロードしたり、特定の要件や質問に対する

コンプライアンスの証拠としてリンクしたりすることができます。

２

回答の進捗率（質問に回答すると、該当する要件の進捗度が動的に更新されます）↓

PCI DSSの対策の優先順を示す６つのマイルストーンがあります。（内容は37ページ参照）

質問に回答すると、関連するマイルストーンのコンプライアンス達成度が動的に更新されます。これによって、問診票を入力しながらコンプライアンスの進行状態を確認できます。

↑マイルストーンの達成率

問診票の選択と作成―問診票の作成―

41


PCI DSSの対策の優先順を示す６つのマイルストーンについて（オンラインヘルプ「PCI DSSコンプライアンスマイルストーン」参照）

作成途中の問診票は、「ドラフトの保存」をクリックしておきます。

左メニューから「問診票」->「保存済みの問診票」(「図２６：保存済みの問診票」画面）

の「編集」ボタンでいつでも編集することが可能です。

３

↑「編集」ボタン

↑PDFダウンロード

図２６：保存済みの問診票


表９：PCI DSSコンプライアンスマイルストーンの内容

42


すべての質問に回答したら、「問診票の送付」ボタンをクリックします。

「図８：問診票の送付」画面(３９ページ）に遷移します。必要事項を入力し、「送付」ボタ

ンをクリックします。

４


43


図２７：問診票の送付

「経営責任者名」、「役職」、「会社名」を入力して電子署名します。

この項は、短いバージョンの問診票（A、B、C、または C-VT）を作成した場合にのみ表示されます。問診票を作成する適切な資格があること、または適切な資格を持って作成したことを証明します。画面に表示される適性基準を確認し、組織がすべての条件を満たしていることを検証します。「上記のすべてに基づき、この簡易版問診票に入力する資格があることを証明します。」チェックボックスを選択します。

ステータス要件を確認し、組織がすべての条件を満たしていることを検証します。その後、「上記のすべてのステータスを確認します。」チェックボックスを選択します。

チェックマークは、要件に準拠していることを示します。ダッシュは、要件に非準拠であることを示します。質問の中に1 つでも「いいえ」の回答があれば、その要件には従っていないことになります。

問診票の選択と作成―問診票の送付―

44


ログイン名とパスワードの変更

ユーザの編集画面で、ログイン名やパスワードを変更することが可能です。

オプションとして、VeriSign Identity Protection（VIP）認証情報を登録することができます。これによって、ログインのセキュリティレイヤが1つ加わります。

左メニューから「アカウント」->「ユーザ」をクリックすると、「図２１：ユーザ」画面が表示

されます。変更したいユーザの「編集」ボタンをクリックすると、

「図２８：ユーザの編集」画面に遷移します。

１

ユーザログイン名パスワード

初期アカウントのユーザ変更可変更可

初期アカウントから作成したユーザ変更不可ユーザの編集画面の「パスワードのリセット」のリン

クにより、新しいパスワードを自動生成する

↑「編集」ボタン

図２１：ユーザ

図１：ホーム

表１０：ユーザによるログイン名とパスワードの変更について

45


「図２８：ユーザの編集」画面の「ユーザアカウントの変更」のリンクをクリックします。２

図２８：ユーザの編集

「図２９：ユーザログインの変更」画面で、現在のユーザログインと新規ユーザログイン

を入力後、「変更してログアウト」ボタンをクリックします。

新しいログイン名でサービスに再度ログインするように求められます。

３

図２９：ユーザログインの変更


○現在のユーザログイン：現在のログイン名を入力します。

○新規ユーザログイン：新しいログイン名を入力します。

○新規ユーザログインの再入力：新しいログイン名を再入力します。ユーザのログイン名は、他に同じもの

がないことと、@ 文字が含まれていることを確認します。（john@company など）

ユーザログイン名とパスワードの変更―ユーザログイン名の変更―

46


４０ページ「図２１：ユーザ」画面から、変更したいユーザの「編集」ボタンをクリック

します。「図２８：ユーザの編集」画面の「パスワードの変更」のリンクをクリックします。

１

図２８：ユーザの編集

「図３０：パスワードの変更」画面で、現在のパスワードと新規パスワードを入力後、

「変更してログアウト」ボタンをクリックします。

新しいパスワードでサービスに再度ログインするように求められます。

２

図３０：パスワードの変更


○現在のパスワードの入力：現在のパスワードを入力します。

○新規パスワード：新しいパスワードを入力します。

○新規パスワードの再入力：新しいパスワードを再入力します。パスワードは6 文字以上で、アルファベット

と数字の両方を使用する必要があります。

ユーザログイン名とパスワードの変更―パスワードの変更―

47

Copyright FUJITSU LIMITED48

FUJITSU Security Solution PCI DSS ASV認定スキャ …...2013/08/16 · 「PCI DSS...

Documents

Transcript of FUJITSU Security Solution PCI DSS ASV認定スキャ …...2013/08/16 · 「PCI DSS...