サポートされているエンドポイント：Windows、macOS（エージェントベースの管理）

主なユースケース：決済カード処理端末、PAN/SADを処理するリモートワーカーエンドポイント、カードデータ環境を管理するサービスプロバイダー

地域範囲：グローバル。規制/地域のニーズに基づいて、ローカルインフラストラクチャ/レジデンシーオプションあり

エンドポイントエージェント（Trio Agent）：Windows/macOSにインストールされ、セキュリティベースラインを適用し、インベントリ/テレメトリを報告し、リモートセッションをサポートします。

コントロールプレーン：集中型ポリシーとコンプライアンスシステム、デプロイメントオーケストレーション、ポリシー割り当てターゲティング、監査証跡ロギング。

IDとアクセスファブリック：エンタープライズIAM（AD/Entra/SCIM/IdP）との統合、MFAの強制、ロールベースの管理者アクセス。

テレメトリ取り込みとSIEM：安全なログ転送、構造化されたイベントキャプチャ（ポリシーの変更、認証、デバイスのポスチャ）、セキュリティ監視との統合。

パッチと脆弱性のオーケストレーション：脆弱性スキャナーとパッチリポジトリへのコネクター、証拠収集、ステージングとロールアウト管理。

ファイアウォールとネットワークの強制：デバイスおよびネットワーク境界でのポリシーの強制、セグメンテーション、承認されたルールセット。

ファイアウォール構成 – (3つの制御テスト)
PCI DSS要件1（カード会員データを保護するためのネットワークセキュリティ制御をインストールおよび維持する）および要件2（ベンダー提供のデフォルトを使用しない）。

安全な構成 – (5つの制御テスト)
PCI DSS要件2（安全な構成）、要件6（安全なシステムとアプリケーションを開発および維持する）。

保存されたデータの保護 – (2つの制御)
PCI DSS要件3（保存されたカード会員データを保護する）および要件3（暗号化と保持を含む）。

データ伝送の暗号化 – (2つの制御)
PCI DSS要件4（オープンな公共ネットワークを介したカード会員データの伝送を暗号化する）。

マルウェア対策 – (2つの制御)
PCI DSS要件5（すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する）。

パッチと脆弱性 – (2つの制御)
PCI DSS要件6（安全なシステム/アプリケーションを開発および維持する）および要件11（セキュリティシステムとプロセスを定期的にテストする）。

アクセス制限 – (2つの制御)
PCI DSS要件7（業務上の必要性に応じてカード会員データへのアクセスを制限する）および要件8（システムコンポーネントへのアクセスを識別および認証する）。

IDとアクセス – (5つの制御)
PCI DSS要件8（アクセスの識別と認証）は、多くのサブコントロール（一意のID、認証要素、アカウントライフサイクル）をカバーしています。

ログ – (2つの制御)
PCI DSS要件10（ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視する）および要件12（情報セキュリティに対処するポリシーを維持する）。

エンドポイントでデバイスレベルのファイアウォールプロファイルを強制し、CDE関連のポートへのインバウンド/アウトバウンドトラフィックを制限し、デバイスポリシーを介してセグメンテーションルールを強制します。

ネットワーク境界ルールセット（エージェント+ネットワークセンサー）を監視および監査します。コントロールプレーンは、ルールの変更、バージョン管理、および正当性を記録します。

ベースライン構成（ディスク暗号化、エンドポイントの強化、未使用のサービスの無効化、デフォルトアカウントの削除）をデプロイします。

Trioのポリシーエンジンを使用して構成プロファイルをプッシュし、ドリフトを継続的に監視し、逸脱を修正します。

カード会員データを保存するデバイスに対して、保存時の暗号化を実装します。macOSのFileVault、WindowsのBitLocker。

エンドポイントポリシーを使用して暗号化を強制し、証明ログ（暗号化ステータス、キーストレージ、回復キー）を生成します。

PAN/SADを含むすべてのデバイス通信にTLS 1.2+を要求します。すべてのクリアテキストプロトコルを無効にします。

デバイスポリシーを使用して、リモートセッション、証明書検証、およびキー交換プロトコルの暗号化されたトンネルを強制します。

すべてのエンドポイントで次世代のマルウェア対策/エンドポイント検出を強制します。継続的な署名と動作の更新。

Trioを使用して、リアルタイム監視、スケジュールされたスキャン、検疫ポリシー、およびマルウェアイベントのログ収集を強制します。

すべてのソフトウェアコンポーネントのインベントリを維持します。定期的な脆弱性スキャンをスケジュールし、定義されたウィンドウ内で重要なパッチを適用します。

Trioは、スキャナーの結果と統合し、パッチのデプロイメントを自動化し、修正の証拠（前後のスナップショット、ハッシュ比較）を収集します。

最小特権を適用します。すべての人員に一意のユーザーID（要件8.1）、アカウントライフサイクルの自動化、MFAの強制（要件8.3）、アカウントの迅速な取り消し（要件8.1.3）。

知る必要のある範囲でカード会員データへのアクセスを制限し（要件7）、ロールベースのアクセス制御を適用し、サービスプロバイダーの例外を文書化します（要件8.2）。

TrioのID統合は、MFAを強制し、セッションログを監視し、特権アカウントの使用状況を監査し、ポスチャに基づいて条件付きアクセスをサポートします。

ユーザーアクセス、デバイスの変更、リモートセッション、構成の変更のログをキャプチャします。最低1年間保持し（要件10）、ログを定期的に確認します。

文書化されたログ、手順、および責任を必要とするセキュリティポリシー（要件12）を強制します。Trioのテレメトリパイプラインは、イベントをSIEMに安全に転送し、監査人向けの証拠を保持し、異常検出をサポートします。

デバイスインベントリスナップショット（タイムスタンプ、デバイスID、OSバージョン）

ファイアウォール/構成ルール変更ログ（管理者、タイムスタンプ、正当性）

エンドポイントの暗号化ステータスレポート（デバイス、ユーザー、日付）

脆弱性スキャンの結果とパッチジョブログ（CVSS、デバイス、適用されたパッチ）

認証ログ（MFAの使用状況、ログイン試行、ユーザーID）

リモートセッションログ（開始/終了、イニシエーター、デバイス）

ログ保持の証拠（ログボリューム、保持ポリシー、エクスポート可能性）

ポリシーの割り当てとバージョン履歴（誰がいつ何を変更したか）

小売決済端末：カードを受け入れるデバイスのWindows/組み込みエンドポイント、ボリューム処理の前に暗号化、ファイアウォール、マルウェア対策を強制します。

バックオフィスの企業エンドポイント：カード会員データを処理するmacOS/Windowsラップトップ、パッチウィンドウ、最小特権ユーザーアクセス、Trioを介したリモートアクセスのロギングを強制します。

サービスプロバイダー：マーチャントのカードデータを処理するマネージドサービスプロバイダーは、顧客ごとの一意の資格情報とアクセスの完全な監査証跡を実証します。

最新の強化機能のないレガシーOSバージョンでは、代償制御（ネットワーク分離、アプリケーションホワイトリスト）が必要になる場合があります。

BYOD/サポートされていないエンドポイントは、可視性を低下させる可能性があります。代わりに、ネットワークアクセス制御とコンテナ化を強制します。

非常に高いパッチ遅延またはオフラインデバイス：オフラインポリシー強制キャッシュ、定期的な監査検証が必要です。

エンドポイントベースの脅威（マルウェア、資格情報の盗難、パッチが適用されていない脆弱性）からカード会員データを保護します。

エンドポイント制御を標準化された要件番号に合わせることで、監査可能な証拠のキャプチャを可能にし、QSA評価を簡素化します。

より広範なエンタープライズセキュリティの基盤として機能します。安全なエンドポイント環境は、決済カード処理の全体的なリスクサーフェスを削減します。