PCI DSS V4.0 ベストプラクティス要件 6.4.2 / 6.4.3 / 11.6.1への対応ソリューション WAF/オンラインスキミング
対策サービス

ウェブベースの攻撃を検知・防御を行い、
サイトに潜む悪意のあるコードを検出し、アラートを送信します。

資料を今すぐ確認
資料ダウンロード
講演動画 見逃し配信中
オンデマンド動画配信

PCI DSS v4.0 WAF/オンラインスキミング対策 要件

要件 要件概要
6.4.2

一般公開されているウェブアプリケーションについては、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入しており、少なくとも以下の条件を備えている。

  • 一般公開されているウェブアプリケーションの前にインストールされ、ウェブベースの攻撃を検知・防止するように設定されている。
  • アクティブに実行され、該当する場合は最新の状態に更新されていること。
  • 監査ログを生成していること。
  • ウェブ ベースの攻撃をブロックするか、アラー トを生成して直ちに調査するように設定されている。
6.4.3

消費者のブラウザに読み込まれ実行されるすべての決済ページスクリプトは、以下のように管理 される。

  • 各スクリプトが認可されていることを確認するための方法が実装されている。
  • 各スクリプトの整合性を保証するための方法が実装されている。
  • すべてのスクリプトのインベントリが、それぞれのスクリプトが必要な理由を説明した文書とともに維持される。
11.6.1

変更・改ざん検知のメカニズムは、以下のように展開されている。

  • 消費者ブラウザが受信した HTTP ヘッダーと決済ページのコンテンツに対する不正な変更(侵害の指標、変更、追加、および削除を含む) を担当者に警告すること。
  • メカニズムは、受信した HTTPヘッダーと決済ページを評価するように構成される。(一部抜粋)

WAF/オンラインスキミング対策サービス

WAF/オンラインスキミング対策サービス 概要

これまで高額なソフトウェアやサービス導入や 難易度の高い設定・運用が必要

低価格 運用負荷低

PCI DSS準拠 SaaS型 WAF/オンラインスキミング対策サービス

WAF
  • マネージドルールによるサービス提供
  • オンプレミス/AWSいずれの環境へ提供可
  • HTTPヘッダーの不正な変更を防御・検知可能
    ※要件6.4.2 と 11.6.1に対応
オンラインスキミング対策
  • 決済ページなど入力フォームの監視
  • (入力フォームに紐づく)スクリプトの監視
  • (スクリプトに紐づく)データ送信先サイトの監視
    ※要件6.4.3 と 11.6.1に対応

WAF/オンラインスキミング対策サービス 全体像

オンラインスキミング対策サービス:3つの機能

オンラインスキミング 具体的な手口とは?

JavaScript型(トークン型決済)で発生しているオンラインスキミングの例

リダイレクト(リンク型)で発生しているオンラインスキミングの例

サプライチェーン攻撃によるオンラインスキミング