NTTデータ・セキュリティとクォリス、PCI 関連サービスで提携

NTT データ・セキュリティとクォリスジャパンは2008年4月24日、PCI 関連サービスで提携したことを発表した。

発表によると、NTT データ・セキュリティは、クォリスの SaaS 型で提供する脆弱性スキャンサービス「QualysGuard PCI」を標準採用する。同サービスは、PCI データセキュリティスタンダード（PCIDSS）にユーザーが準拠しているかどうかを確認するもの。

QualysGuard PCI は、ハードウェアやソフトウェアのインストール、メンテナンスに煩わされることのない SaaS 型で提供される Web アプリケーション。PCI コンプライアンスのテスト、レポーティング、を行うツール。

同製品では、ユーザーが PCI 自己問診票をオンラインで入力/提出し、すべての外部システムに対して定義済みの PCI スキャンを実施し、PCI 基準で要件となるネットワークやシステムの脆弱性を特定する。

PCIDSS は、クレジットカード会員の情報を保護し、不正利用やセキュリティ事故を防止する目的で、国際ペイメントカードブランド 5社(American Express、Discover、JCB、MasterCard、VISA)が、共同で策定したクレジットカード情報の保護を目的とした国際基準。

PCIDSS に準拠しているかどうかの検証は、対象となる企業の規模に応じて、自己問診、脆弱性スキャン、訪問調査の3段階で行われる。自己問診以外は、国際ペイメントカードブランドが設立した推進協議団体「PCI Security Standards Council LLC（PCISSC）」が認定する ASV や QSA によって行われなければならない。

クォリスは、PCISSC から認定された ASV。QualysGuard PCI を使うことで、PCI 準拠の自己問診を行って脆弱性スキャンを行い、自動的にセキュリティの脆弱性の識別・除去を行うことができる。

NTT データ・セキュリティは、現時点で ASV と QSA の資格を併せ持つ評価会社で、すでに PCI 訪問調査サービスを展開している。今回クォリスの QualysGuard PCI を標準採用することによって、自己問診、脆弱性スキャン、訪問調査の3段階全てに対応した PCI 関連サービスを展開していく。