PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報のセキュリティを確保するための国際基準です。
この基準は、クレジットカード情報を扱う全ての企業に適用され、情報漏洩を防ぐための厳格な対策が求められます。
PCI DSSのバージョンは定期的に更新されており、最新版であるV4.0では、技術の進歩や新しい脅威への対応、セキュリティのベストプラクティスの改善が反映されています。V4.0への更新は、より柔軟性のあるコンプライアンス要件を提供し、最新のセキュリティ技術の導入を促進することを目的としています。
PCI DSSの対象となるのは、クレジットカード情報を「保存、処理、伝送」するすべての企業です。これには、小売業者、オンラインショップ、ホテル、レストラン、支払いゲートウェイの提供者など、幅広い業種が含まれます。また、これらの企業が利用するサービスプロバイダーも含まれます。
PCI DSS V4.0の公式発表は2022年3月に行われ、2024年3月31日までにはV3.2.1からV4.0への移行が完了している必要があります。この期間は、企業が新しい要件に準拠するための準備と実施を行うためのものです。
これらの対策を適切に実施することで、企業はクレジットカード情報の安全を確保し、顧客からの信頼を維持することができます。
F5 Distributed Cloud WAFをはじめとした豊富なラインナップ。
要件、セキュリティ課題に応じて最適なソリューションをワンストップで。
PCI DSS 4.0要件 | 製品名 | サービス概要 | 提供形態 | 詳細 |
---|---|---|---|---|
6.4.1 6.4.2 11.6.1 |
Distributed Cloud WAF | WAF Client Side Defense Webスキミング対策 |
SaaS | セルフマネージSaaS型WAAPサービス。 PCI DSS4.0対応をサポートする、クラウドWAFサービス(6.4.1, 6.4.2)に加え、WebスキミングなどのClient side攻撃対策(11.6.1)も搭載。 また、標準でL3/L4、L7のDDoS対策機能、高機能Bot対策、APIセキュリティ機能を搭載。オプションにて、24時間365日SOCサービスも提供。 |
6.4.1 6.4.2 |
Advanced WAF | WAF | HWアプライアンス OR 仮想アプライアンス |
フルスペックWAF。 基本的なWAF機能に加え、Botシグネチャ、Threat Campaigns、Behavioral DoS Protection、クレデンシャルスタッフィング対策を提供可能。 高機能Bot対策サービス(Bot Defense STD/Advance)と連携可能標準でSSL終端機能を具備スクリプト(iRules)により、柔軟な独自パッチを作成可能。 |
6.4.1 6.4.2 |
NGINX | WAF | ソフトウェア | NGINX Plus上で動作可能な高性能WAFソフトウェアモジュール。 シグネチャ、ファイルタイプ、IP制限、プロトコルチェック、HTTPメソッド、Threat Campaigns、コンテナとして利用可能。 Mod Securityと比較して、20倍の性能。 |
8.3 8.4 8.5 |
BIG-IP Access Policy Manager |
認証許可 | SaaS | 認証認可ソリューション。 クライアントからの接続を終端(リバースプロキシ、SSL-VPN、Webポータル)し、認証機能を提供。 エンドポイントセキュリティ機能、MFA機能を提供。 |
5 | BIG-IP SSL Orchestrator |
セキュリティ機器支援 | SaaS | セキュリティ機器支援ソリューション。 SSL通信を高速に処理。柔軟なトラフィック制御により、各種セキュリティ機器で必要な通信の複合化/再暗号化を一手に実施。 マルウェアチェック等を支援。 |
クラウド、オンプレミス、エッジの各拠点でアプリケーションのセキュリティを一貫して確保するための負担や複雑さを軽減します。
次世代のSaaSベースのWeb Application Firewallで、シグネチャと行動ベースの脅威検知機能を提供し、アプリケーションがどこに導入されていても保護できます。
F5 Distributed Cloud WAFは、価格に見合った価値、最高の機能のセット、最高のパートナーとしての関係性、という3つのカテゴリで入賞いたしました。
私たちのソリューション、F5全体に対して多くのユーザーが高く評価していることを光栄に思います。
BIG-IP
Advanced WAF
ゼロデイ脆弱性、アプリケーション層DoS攻撃、脅威キャンペーン、アプリケーション乗っ取り、ボットなど、最も一般的な攻撃からアプリケーション、API、データを保護します。
サーバエージェントや専用のアプライアンスを用いることなく、ボットを検出するAdvanced WAF
NGINX
App Protect
NGINXと連携して動作する軽量かつハイパフォーマンスなWAF。
ソフトウェアの特性から、コンテナ環境で動作させたい場合やKubernetesのイングレスにWAFを追加するケースで最適。
既存のNGINX Plusデータプレーン インスタンスに高度なアプリケーション セキュリティをすばやく簡単に統合できます。
WAFもしくはアプリケーションレベルのDoS防御として、DevOps環境でシームレスに機能する最新のアプリケーション セキュリティ ソリューションであり、
コードから顧客へのデリバリまで、セキュアなアプリケーションの実現に役立ちます。
F5 Distributed Cloud WAFは、多くの企業様で導入実績があります。
ソリューション導入によってどのように課題を解決したのかご紹介いたします。
独自開発エンジンで優れた拡張性
BIG-IPで実績豊富な独自開発のWAFエンジンであり、オープンソースのWAFと比べ、誤検知が少なく、拡張性に優れておりアプリケーションに合わせて最適が可能です。
手厚いサポート
世界中に拠点を持っており、24時間365日のサポートが可能です。急なアクシデントが発生した場合でも、WAFのエキスパートがいつでも対応します。
AI・機械学習による
運用コスト削減
AI・機械学習が誤検知を削除します。これにより、運用のために自社のリソースを割く必要がなく、運用コストの削減が可能になります。
F5 Distributed Cloud WAFは、一つのプラットフォームに集約し使いやすいSaaS形式にすることで、
アプリケーション攻撃からDDoS攻撃まで、幅広いセキュリティ対策を可能にします。
A.F5では、WAFをはじめWebスキミング対策やSSLサーバ証明書レポートなど、PCI DSS v4.0の新要件の対応に活用できるソリューションを提供しております。ぜひ一度、お気軽にお問い合わせください。
A.F5では、マルウェアチェックに必要なSSL通信の復号化と再暗号化や、認証処理の強化等、PCI DSSの各種要件への対応にご活用いただける各種ソリューションを提供しております。ぜひ一度、お気軽にお問い合わせください。
A.F5では、クラウド型WAF(F5 Distributed Cloud WAAP)以外にも、アプライアンス型(BIG-IP)、ソフトウェア型(NGINX)の計3つの形態のWAFを提供していますので、お客様のニーズに合わせて選択いただくことができます。
A.最低契約期間は1年となりますが、必要に応じて本サービスをPoC環境でお試しいただくことが可能です。
A.まずはWebサーバ保護に必要な基本機能をベースパッケージとしてご提供し、お客様のご要件に応じてオプション機能を追加していただく提供形態のため、公開Webサーバをお持ちの全てのお客様に最適なメニューをご提案させていただきます。
A.ソリューションを導入後、設定や不具合に関する窓口として、弊社サポートをご提供いたします。お客様のご要件に応じてSOCサービスなどの別オプションもご提案させていただきます。
A.Webアプリケーションを狙う攻撃は多角化しており、WAF機能のみではなく、APIセキュリティ、Bot対策、DDoS対策機能等を含めた検討を行う必要がありますが、F5 Distributed Cloud WAAPではワンパッケージで対応することが可能です。
A.無料のシミュレーションや45日間トライアルが利用いただけます。詳しくはお問い合わせください。
<NRIセキュア & F5ジャパン 共催セミナー>
~PCI DSS v4.0の注意ポイントと準拠ソリューションとしてのWebアプリケーション保護の対策をご紹介~