NTTデータとクォリス、日本語対応したPCI DSS準拠評価サービスをSaaS型で提供：NEWS

低コストかつ安全に運用できるPCI DSS準拠評価サービスとして、同日より提供を開始した。脆弱性スキャン結果からのPCI DSS準拠状況判定や正式フォーマットでのリポート生成が可能。

≫ 2010年02月16日 09時00分公開

[上口翔子，TechTargetジャパン]

　クォリスジャパンとNTTデータ・セキュリティは2月15日、PCI DSSの準拠性を評価する脆弱性スキャンサービス「NinjaSCAN」を発表、同日より提供開始した。クォリスのクラウドサービス「QualysGuard PCI」をベースに、SaaS（Software as a Service）型で提供する。日本語対応した操作画面とPCI DSS準拠に必要なASV（Approved Scanning Vendor）の認定項目を網羅していることが特長。「インターネット経由で利用できるため、常に最新の脆弱性検査が実施でき、低コストでの導入・運用が可能。本来の目的である脆弱性の回避（解決）に人員を割り当てられる」（NTTデータ・セキュリティシニア・エキスパート高橋典子氏）とする。

　PCI DSSに準拠しているかどうかの検証は、対象となる企業規模に応じて自己問診／脆弱性スキャン／訪問調査の3段階で行われ、自己問診以外は、PCI DSSの推進協議団体「PCI SSC（PCI Security Standards Council LLC）」が認定するASVやQSA（Qualified Security Assessors）といった機関での実施が義務付けられている。クォリスとNTTデータ・セキュリティは共にASVの資格を持っていることから、信頼性・迅速さの面でも脆弱性スキャン（脆弱性の識別・除去）を支援するとしている。

NinjaSCANで提供されるASV認定の脆弱性スキャン（左）とNinjaSCANの利用イメージ（右）《クリックで拡大》

　主な機能は脆弱性スキャン結果からのPCI DSS準拠状況判定、正式フォーマットでのリポート生成、自己問診結果の記録（2年間の自動保持）だが、今後はアクワイアラー（加盟店契約業者）への報告、自己問診票提出機能が追加される予定。

　両社では今後、PCI DSS準拠へ向けた動きが加速するとみており、NinjaSCANは現在PCI DSS普及に際しての課題とされるコストや運用面での圧縮を解決するとともに、クラウドでセキュリティサービスを提供することへの不信感を取り除きたい考えだ。来日した米Qualysの会長兼CEOであるフィリップ・クルトー（Philippe Courtot）氏はセキュリティとインターネットの関係を“経験を覆すもの”とした上で「さまざまなIT技術がサービス化する中で、セキュリティもクラウド環境でデータを一元管理することが求められる。NinjaSCANの場合でいえば、脆弱性スキャンや管理がインターネットを介して容易にでき、社員の業務負担が軽減される。専門の技術者による年4回以上の訪問診断が必要な従来の運用と比較しても、大幅なコスト削減が可能になる」とコメントした。

　NinjaSCANの価格は、3つのIPアドレスをスキャン対象とした場合で20万円から。1IPアドレスからの追加オーダーが可能で、そのほか各種オプションにより変動するとしている。NTTデータ・セキュリティでは、企業規模を問わず小売、流通、サービス、通信業界をターゲットに、今後3年間で1億円の売上高を見込む。