2019年版ベライゾンペイメントセキュリティ報告書を発表

2019年版ベライゾンペイメントセキュリティ報告書 （PSR） ハイライト:
● PCI DSS（Payment Card Industry Data Security Standard）へ準拠する企業・組織の割合が、2年連続で減少し、世界全体で36.7%まで下落
● 米州において5社中1企業・機関が完全なコンプライアンスを維持しており、アジアパシフィックの企業の多くがコンプライアンスを遵守
● ベライゾンの9-5-4フレームワークは、データ・プロテクション・コンプライアンス・プログラム（DPCP）全体にわたる機能の開発・改善と、プロセス成熟度の進化を支援します

ベライゾンジャパン合同会社（東京都千代田区、以下「ベライゾン」）は、2019年版ベライゾンペイメントセキュリティ報告書（略称：PSR ）」を本日発表しました。本報告書では、ペイメントセキュリティコンプライアンスに遵守する企業・組織の割合が、2年連続で低下し、米州を拠点とする企業・組織は世界各国に遅れをとっていることが明らかになっています。

Visa Inc.は、2004年にPCI DSSを最初に立ち上げた際、多くの企業・組織は、5年以内に効果的かつ持続可能なコンプライアンスを達成すると予測・仮定していました。15年後の現在、コンプライアンスを達成・維持している企業の数は、52.5%（2018年PSR）から世界全体で36.7%（2018年度PSR:52.5%）に減少しています。コンプライアンス準拠・維持率を地域別に見ると、アジア太平洋（APAC）地域の組織は、69.6%と比較的高く、欧州、中東、アフリカ（EMEA）の 48%、米州の20.4%（5分の1）を大きくリードしています。

ベライゾンのデータ漏洩/侵害調査報告書（DBIR: Data Breach Investigations Report） シリーズが示す通り、PCI DSSコンプライアンスは、支払いシステムをクレジットカード会員データの侵害および盗難の両方から保護するものです。コンプライアンス評価は、企業・組織の準拠基準を満たすため、さらに維持するための能力と取り組みをベースに測定されます。

ベライゾンのセキュリティコンサルティング担当グローバルマネージングディレクター、ロドルフ・シモネッティ（Rodolphe Simonetti）コメント：
「2010年から2016年にかけて企業・組織におけるコンプライアンス準拠率が徐々に向上したにも関わらず、現在、私たちは、準拠率が下落の一途をたどり、地理的差異も拡大傾向にあることを確認しています。PCI DSSで要求されるコンプライアンスを満たし、維持することができない企業・組織が増えていることから、顧客の決済データのセキュリティに直接的な影響を及ぼしています。企業・組織は、近日発表予定のPCI DSS最新バージョン4.0を、コンプライアンスプログラムをどのように実施し、構築するかを再考する良い機会とすることができます」

新しいベライゾンのフレームワークが、企業のペイメントセキュリティへの遵守をナビゲート
データプロテクションおよびコンプライアンスは、日常の課題となっています。多くの企業・組織は、効果的で持続可能なデータプロテクションを達成するために、一つの万能なスクリプトを使用することができると考えています。しかしながら、現実の世界では、セキュリティはより複雑です。

ロドルフ・シモネッティは以下のように述べています。
「多くの企業・組織は、データ・プロテクション・コンプライアンス・プログラムを構築するために多くの時間と費用を費やしていますが、これらのプログラムは、見た目はよいですが、専門的なセキュリティ評価の精査に耐えることができていないのが現状で、有効とは言えません。CISOは、データプロテクションの能力と成熟度を見るというより、基本的なセキュリティコントロールの取り組みをどのように維持するかに注力しています。必要とされているのは、測定可能な結果と予測可能な結果を導き出すことを支援する、明確で分かりやすいナビゲーションガイドです」

前回のペイメントセキュリティ報告書にて、ベライゾンは企業・組織がデータ・プロテクション・コンプライアンス・プログラム（DPCP）を管理するのに役立つ方法論を開発しました。これらを組み合わせて、Verizon9-5-4コンプライアンス・プログラム・パフォーマンス・フレームワークを構築しました。これは、能力とプロセス成熟度の開発・改善を支援するガイドラインです。

9-5-4フレームワークは、企業・組織が、環境制御、設計制御、リスク制御、ロバストネスの制御、回復力制御、ライフサイクル管理制御、パフォーマンス管理、成熟度測定、自己評価を含む、制御の有効性および持続可能性の9つの要因のそれぞれについて、持続可能性および有効性の状態をどのようにマッピングし、監視し、報告するかについてのガイダンスを提供することによって、反復可能で、一貫性のある、予測可能な結果を達成すること支援します。これは、（1）個々の説明責任、（2）リスク管理・コンプライアンスチーム、（3）内部監査、外部監査、（4）規制当局という4つの保証分野を網羅するもので、企業・組織の熟達度の5つの分野（Capacity、Capability、Competence、Commitment, Communication）を評価することによって達成されます。

コンプライアンス欠如とデータ漏洩・侵害の相関関係
本報告書にはまた、Verizon Threat Research Advisory Center（VTRAC）からのデータも含まれています。このデータは、データを保護するために適切な制御がなされていないコンプライアンスプログラムの95%以上が、持続可能でないものであり、サイバー攻撃の潜在的なターゲットになる可能性が高いことを示しています。

ロドルフ・シモネッティはまたこの件について次のように述べています。
「PCI DSSの遵守の欠如とサイバー漏洩・侵害との間の密接な相関については、長年にわたり議論してきました。今年の報告書では、ベライゾンのデータ漏洩・侵害報告書シリーズの著者であるVerizon VTRACチームからのより多くのデータを含めて、この議論をさらに深めることにしました。我々のデータは、PCI DSSを遵守する企業・組織のペイメントカードのセキュリティデータ漏洩・侵害を特定・検出したことがないことを示しています。

2019年度版ベライゾンペイメントセキュリティ報告書について
本年の報告書は、DPCPのパフォーマンスの可視性、コントロール、および成熟度に焦点を当てています。これには、フォーチュン500や60カ国以上の大規模多国籍企業を含むさまざまな企業・組織における302件のPCI DSSへの取り組みの結果が含まれています。評価は、VerizonのPCI Qualified Security Assessors（QSAs）チーム、ならびにControlScan、Foregenix、MegaplanIT、およびSchellmanを含む大規模な第三者QSAsによって実施されました。

ベライゾンのデータ漏洩・侵害調査報告書（DBIR）シリーズと同様に、2019年度版のPSRでは、金融サービス業（50.7%）、ITサービス業（17.5%）、小売業（19.9%）、サービス業（10.6%）を対象に、実際のケースワークに基づいています。地域別には、米州（50.0%）、APAC（20.0%）、EMEA（30.0%）を対象にしています。

2019年版ベライゾンペイメントセキュリティ報告書 （PSR: Payment Security Report） のダウンロードはこちらより。

ベライゾンのセキュリティプロフェッショナルサービスについて
ベライゾンは、セキュリティコンサルタントとして、またセキュリティコミュニティにおける信頼できる発言者として高い評価を受けており、2009年以来、Fortune 500や多国籍企業を対象に16,000件以上のセキュリティ・アセスメントを実施しています。ベライゾンは、4,000以上の世界中のお客様のネットワークを管理し、また自社でも世界最大規模のグローバルIPネットワークを運用することで、セキュリティビジネスにおける独自のインテリジェンスを有します。ベライゾンは、次のような分野について多様なコンサルティングとアセスメントのプログラムを提供しております。決済のセキュリティおよびコンプライアンス（PCI-DSS、PA-DSS、 P2PE、 EI3PA、 PIN および ECB）・ ヘルスケアのセキュリティおよびコンプライアンス（HIPAA、ONC Health IT、HIMSSによる ConCert）、セキュリティハードウェア、ソフトウェア、ソリューションおよびIoTに対するセキュリティ試験および認証（Verizon ICSA Labによる）、脅威/脆弱性試験。 詳細はこちらをクリックしてください。