PCI DSSのための脆弱性スキャン&
ネットワークぺネトレーションテスト内製化トレーニング

PCI DSS 要件11で定められた脆弱性スキャンおよびネットワークペネトレーションテストの手順とレポート作成をハンズオン形式で学びます。PCI Security Councilが発行する「Penetration Testing Guidance」に沿って、GSXが独自に開発したトレーニングプログラムです。自社内でセキュリティ診断実施を検討中の方、PCI DSS準拠を希望するお客様への対応が必要なベンダーの方におすすめです。

PCI DSS 要件11で定められた脆弱性スキャンおよびネットワークペネトレーションテストの手順とレポート作成をハンズオン形式で学びます。PCI Security Councilが発行する「Penetration Testing Guidance」に沿って、GSXが独自に開発したトレーニングプログラムです。自社内でセキュリティ診断実施を検討中の方、PCI DSS準拠を希望するお客様への対応が必要なベンダーの方におすすめです。

PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的に国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスタカード、VISA)が共同で策定した、カード情報セキュリティの国際統一基準です。カード会社、加盟店、決済処理代行事業者など、カード情報を管理・処理・伝送するすべての組織が対象となります。
PCI DSSでは12の要件が定義されていますが、そのうちの要件11では四半期に1回の脆弱性スキャンとペネトレーションテストの定期的な実施が必要となります。そのため、内製化して社内で対応できる体制を整備することは外注コストの削減メリットが大きいといえます。

特長

  • アカウントデータ保護に関するグローバルな協議会であるPCI Security Standard Councilが発行する「Penetoration Testing Guidance」に沿って開発したトレーニングプログラムです。
  • PCI DSS要件11.2(脆弱性スキャン)、11.3(ペネトレーションテスト)で要求される水準の検査と診断について学びます。
  • 一人一台の演習環境で、ツールを使用した検査と診断レポート作成の実習を行います。

対象

  • 自社内でテスト実施を検討中の企業の方
  • PCI DSS準拠を希望するお客様対応が必要なベンダーの方

コース① PCI DSS 脆弱性スキャン/ネットワークおよびセグメンテーション(境界)ペネトレーションテスト研修コース

到達目標
  1. PCI DSSにおける内部脆弱性スキャン、ネットワークペネトレーションテスト、セグメンテーション(境界)ペネトレーションテストの診断シナリオを作成できる
  2. 診断ツールをメインとし、手動診断も合わせたペネトレーションテストが実施できる
  3. 検査結果に基づくレポートの作成と評価が実施できる
前提知識・経験
  • 基礎的なネットワークスキル ※ネットワーク機器構築経験があると望ましい
  • Linux基本コマンド操作
期間 2日間
日程 現在調整中
使用ツール OpenVAS、Nmap、Metasploit Framework など
受講料 180,000円(税別)/人
受講会場 GSX 本社トレーニングルーム
https://www.gsx.co.jp/about/index.html#gsx_tokyomap_canvas
講義内容 1日目:10:00~18:00
1. イントロダクション
2. PCI DSSにおける診断
 1)要件の解説と診断の概要
 2)PCI DSS Penetration Testing Guidance
 3)診断の流れ
3. 内部脆弱性スキャンの実践
 1)内部脆弱性スキャンのシナリオ作成
 2)内部脆弱性スキャンの環境構築
 3)演習①:OpenVASを使⽤した内部脆弱性スキャンの実施
 4)演習②:内部脆弱性スキャンのレポート作成

2日目:10:00~17:00
4.ネットワークペネトレーションテストの実践
 1)ネットワークペネトレーションテストのシナリオ作成
 2)ネットワークペネトレーションテストの流れと使用するツール
 3)演習③:ツールを使用したネットワークペネトレーションテストの実施
      (Nmap、Metasploit Framework)
 4)演習④:手動ネットワークペネトレーションテストの実施
 5)ネットワークペネトレーションテストのレポート作成
5. セグメンテーション(境界)ペネトレーションテストの実践
 1)セグメンテーション(境界)ペネトレーションテストのシナリオ作成
 2)演習⑤:セグメンテーション(境界)ペネトレーションテストの実施
 3)セグメンテーション(境界)ペネトレーションテストのレポート作成
備考 主催:GSX
協力:fjコンサルティング
演習環境は弊社にてご提供します。

コース② PCI DSS Webアプリケーションペネトレーションテスト研修コース

到達目標
  1. PCI DSSにおける内Webアプリケーションペネトレーションテストの診断シナリオを作成できる
  2. OWASP TOP10と主要なWebの脆弱性について理解できる
  3. 診断ツールと手動診断を複合したペネトレーションテストが実施できる
  4. 検査結果にもとづくレポートの作成と評価が実施できる
前提知識・経験
  • Webコーディングの基礎的なスキル
期間 2日間
日程 現在調整中
使用ツール OWASP ZAP など
受講料 180,000円(税別)/人
受講会場 GSX 本社トレーニングルーム
https://www.gsx.co.jp/about/index.html#gsx_tokyomap_canvas
講義内容 1日目:10:00~18:00
1. イントロダクション
2. PCI DSSにおける診断について
 1)要件の解説と診断の概要
 2)PCI DSS Penetoration Testing Guidanceの解説
 3)診断の流れ
 4)診断時の注意事項
 5)シナリオ作成の考え方
3. Webアプリケーション脆弱性
 1)OWASP TOP10の概要
 2)主要な脆弱性(※)
4. Webアプリケーションペネトレーションテストの実践(ⅰ)
 1)OWASP ZAPの操作
 2)演習①:ツールを使用した検査
(※)OWASP TOP 10に含まれる脆弱性について、それぞれの内容、危険度、検出方法などを解説します

2日目:10:00~17:00
5.Webアプリケーションペネトレーションテストの実践(ⅱ)
 1)手動検査の手順
 2)演習②:手動ペネトレーション検査
6.演習③:検査結果レポートの作成
7.検査結果の評価
備考 主催:GSX
協力:fjコンサルティング
演習環境は弊社にてご提供します。
180,000円(税別)/人 ※いずれのコースとも
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。