PCI DSSのための脆弱性スキャン&
ネットワークぺネトレーションテスト内製化トレーニング
PCI DSS 要件11で定められた脆弱性スキャンおよびネットワークペネトレーションテストの手順とレポート作成をハンズオン形式で学びます。PCI Security Councilが発行する「Penetration Testing Guidance」に沿って、GSXが独自に開発したトレーニングプログラムです。自社内でセキュリティ診断実施を検討中の方、PCI DSS準拠を希望するお客様への対応が必要なベンダーの方におすすめです。
PCI DSS 要件11で定められた脆弱性スキャンおよびネットワークペネトレーションテストの手順とレポート作成をハンズオン形式で学びます。PCI Security Councilが発行する「Penetration Testing Guidance」に沿って、GSXが独自に開発したトレーニングプログラムです。自社内でセキュリティ診断実施を検討中の方、PCI DSS準拠を希望するお客様への対応が必要なベンダーの方におすすめです。
PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的に国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスタカード、VISA)が共同で策定した、カード情報セキュリティの国際統一基準です。カード会社、加盟店、決済処理代行事業者など、カード情報を管理・処理・伝送するすべての組織が対象となります。
PCI DSSでは12の要件が定義されていますが、そのうちの要件11では四半期に1回の脆弱性スキャンとペネトレーションテストの定期的な実施が必要となります。そのため、内製化して社内で対応できる体制を整備することは外注コストの削減メリットが大きいといえます。
PCI DSSでは12の要件が定義されていますが、そのうちの要件11では四半期に1回の脆弱性スキャンとペネトレーションテストの定期的な実施が必要となります。そのため、内製化して社内で対応できる体制を整備することは外注コストの削減メリットが大きいといえます。
特長
- アカウントデータ保護に関するグローバルな協議会であるPCI Security Standard Councilが発行する「Penetoration Testing Guidance」に沿って開発したトレーニングプログラムです。
- PCI DSS要件11.2(脆弱性スキャン)、11.3(ペネトレーションテスト)で要求される水準の検査と診断について学びます。
- 一人一台の演習環境で、ツールを使用した検査と診断レポート作成の実習を行います。
対象
- 自社内でテスト実施を検討中の企業の方
- PCI DSS準拠を希望するお客様対応が必要なベンダーの方
コース① PCI DSS 脆弱性スキャン/ネットワークおよびセグメンテーション(境界)ペネトレーションテスト研修コース
| 到達目標 |
|
|
|---|---|---|
| 前提知識・経験 |
|
|
| 期間 | 2日間 | |
| 日程 | 現在調整中 | |
| 使用ツール | OpenVAS、Nmap、Metasploit Framework など | |
| 受講料 | 180,000円(税別)/人 | |
| 受講会場 |
GSX 本社トレーニングルーム https://www.gsx.co.jp/about/index.html#gsx_tokyomap_canvas |
|
| 講義内容 |
1日目:10:00~18:00 1. イントロダクション 2. PCI DSSにおける診断 1)要件の解説と診断の概要 2)PCI DSS Penetration Testing Guidance 3)診断の流れ 3. 内部脆弱性スキャンの実践 1)内部脆弱性スキャンのシナリオ作成 2)内部脆弱性スキャンの環境構築 3)演習①:OpenVASを使⽤した内部脆弱性スキャンの実施 4)演習②:内部脆弱性スキャンのレポート作成 2日目:10:00~17:00 4.ネットワークペネトレーションテストの実践 1)ネットワークペネトレーションテストのシナリオ作成 2)ネットワークペネトレーションテストの流れと使用するツール 3)演習③:ツールを使用したネットワークペネトレーションテストの実施 (Nmap、Metasploit Framework) 4)演習④:手動ネットワークペネトレーションテストの実施 5)ネットワークペネトレーションテストのレポート作成 5. セグメンテーション(境界)ペネトレーションテストの実践 1)セグメンテーション(境界)ペネトレーションテストのシナリオ作成 2)演習⑤:セグメンテーション(境界)ペネトレーションテストの実施 3)セグメンテーション(境界)ペネトレーションテストのレポート作成 |
|
| 備考 |
主催:GSX 協力:fjコンサルティング 演習環境は弊社にてご提供します。 |
|
コース② PCI DSS Webアプリケーションペネトレーションテスト研修コース
| 到達目標 |
|
|
|---|---|---|
| 前提知識・経験 |
|
|
| 期間 | 2日間 | |
| 日程 | 現在調整中 | |
| 使用ツール | OWASP ZAP など | |
| 受講料 | 180,000円(税別)/人 | |
| 受講会場 |
GSX 本社トレーニングルーム https://www.gsx.co.jp/about/index.html#gsx_tokyomap_canvas |
|
| 講義内容 |
1日目:10:00~18:00 1. イントロダクション 2. PCI DSSにおける診断について 1)要件の解説と診断の概要 2)PCI DSS Penetoration Testing Guidanceの解説 3)診断の流れ 4)診断時の注意事項 5)シナリオ作成の考え方 3. Webアプリケーション脆弱性 1)OWASP TOP10の概要 2)主要な脆弱性(※) 4. Webアプリケーションペネトレーションテストの実践(ⅰ) 1)OWASP ZAPの操作 2)演習①:ツールを使用した検査 (※)OWASP TOP 10に含まれる脆弱性について、それぞれの内容、危険度、検出方法などを解説します 2日目:10:00~17:00 5.Webアプリケーションペネトレーションテストの実践(ⅱ) 1)手動検査の手順 2)演習②:手動ペネトレーション検査 6.演習③:検査結果レポートの作成 7.検査結果の評価 |
|
| 備考 |
主催:GSX 協力:fjコンサルティング 演習環境は弊社にてご提供します。 |
|
180,000円(税別)/人 ※いずれのコースとも
