CONTRAST SECURITY

PCIコンプライアンス準拠

PCI DSS のアプリケーションセキュリティ要件

世界最速のソフトウェア脆弱性検出・修正スイートを導入してPCI準拠に対応しましょう。ContrastSecurityはPCI基準確認の自動化を第三者機関により認定取得しております。本製品の適用性ガイドはPCI DSS v3.2.1、PA- DSS v3.2、PCI Software Security Framework v1.0の複数セクションについて論じています。

 

coalfire-logo

"Contrast AssessとContrast Protectにより従来のいくつかのアプリケーションセキュリティ検査ツール(SASTおよびDASTなど)やWAFを置き換える事が出来ます。Contrast Protectにより攻撃に対するソフトウェア保護能力は、従来のソフトウェアセキュリティのアプローチ (例:WAF) よりも高まります。"

Coalfire

Contrast Assess

セキュリティ専門知識無しでIASTによる自動脆弱性検出。Assessは通常のアプリケーション利用によりセキュリティテスト無しでリスク特定、対応進捗管理、優先順位付けに転換。PCIソフトウェアセキュリティ基準に不可欠な構成要素です。

Contrast Protect

ソフトウェア内部で稼働し拡張して攻撃が成功しないようブロックする自動防御機能。貴社PCI DSSおよびPA DSS業務の一環として実行中のソフトウェアを攻撃から防御。

第三者機関による適合性ガイド

Contrast Security はPCI要件への適合性を第三者機関により検証済みです。

PCI基準への適合性管理を目指す組織は、ContrastSecurity製品を運用実務と連動して活用して決済アプリケーションのPCI準拠を管理することができます。

本製品の適合性ガイドは、決済カード業界 (PCI) および決済アプリケーション (PA) 認定セキュリティ評価企業 (QSAC) として評判の高い Coalfire社が作成しました。

6.1 - セキュリティ脆弱性の特定

Contrast Assess は、組織による開発ライフサイクル内での脆弱性の特定と優先順位付けを支援します。

ContrastSecurityは、パワフルな検出技術を適切にアプリケーションに組み込むことにより、既存のアプリケーションテストを効果的なセキュリティテストに転換します。他の手法と比べ、ContrastSecurityは少ない時間と専門知識で、多くの脆弱性を特定し、精度を高めます。

6.2 - 脆弱性の防御

Contrast Protect は数多くの脆弱性に即座に解決策を提供するとともに仮想パッチを適用し、それまでわかっていなかったゼロデイ攻撃による脆弱性悪用から防御します。

Contrast Protectは、アプリケーション内部に介在し通常利用を進めつつ脆弱な領域では真の攻撃や悪用のみブロックすることを可能にします。アプリケーション内部に配置されるセンサはシグネチャベースでは無くコンテキストベースの検証に置き換え、攻撃プローブと脆弱な場所を特定します。

Contrast Assess と Contrast Protect は、アプリケーションの継続的な評価と保護を提供します。ContrastSecurityのプラットフォームセンサをアプリケーション内部に組み込むことにより、アプリケーションの継続的な自己評価と自己防御を可能にします。本番のランタイム環境ではContrast Protectのみを有効化することを推奨します。

セクション 6 拡張

ContrastSecurityのランタイムアプリケーション自己防御 (RASP) のアプローチによる正確な検出は、セクション6.3.2bの一環としてJIRAのような不具合追跡管理ツールやQSAによるエビデンス収集ツールとの合理的な連携を実現します。 詳細ログ取得のような機能は、SIEMでは提供されない情報の収集を可能にします。開発者の介入やコード変更は不要です。

Contrast Assess は、Couchbase、MongoDBをはじめとするNoSQLデータベースの様々なタイプを理解し、それぞれに固有のインジェクション攻撃を検出することができます。Contrast Assessは静的アプリケーションセキュリティテスト (SAST) ツールよりも正確にこれらの脆弱性を検出することができます。

2.4 - インベントリの適用範囲

PCI DSSの適用範囲内にあるシステムコンポーネントのインベントリを維持管理します。ContrastSecurityはアプリケーションが使用するアーキテクチャ・コンポーネントや接続を一覧化するライブビューを提供します。

ユーザーはアーキテクチャビューを他システムと結合しPCIの対象となる資産の全範囲を調査することができます。

10.2 - サードパーティ・コンポーネント

安全なソフトウェア基準は、"ソフトウェアとサードパーティコンポーネントの脆弱性をリリース前にテストし修正する"と示しています。Contrast AssessはライブラリやCVEを単に一覧化するのではなく、ソフトウェア構造分析のランタイム環境における知識を活用し、アプリケーションの一環としてどのライブラリが実際にロードされたかを特定します。

外部連携その他...

外部連携その他... PCI 準拠の全適用範囲には、幅広い制御、技術と手順が含まれます。ContrastSecurityはPCI準拠の一環として組織が使用するJIRA、Slack、VictorOps、Visual Studioその他、数多くの外部システムと連携します。

完全なContrast Splunk アプリケーションをダッシュボードに組み込むことができます。Contrast AssessとContrast Protectによって精度を上げることにより、従来のような誤検出の無いインシデント調査を実施出来ます。その他のSIEMとの情報共有目的にも対応出来ます。

PCI コンプライアンス準拠についての詳細

Contrast PCI 製品対応ガイド.
PDFをダウンロード