● PCIデータセキュリティスタンダード(PCI DSS)へ完全準拠する企業・組織の割合が6年ぶりに低下しました(2016年の55.4%から52.5 %へと下落)。
● 企業・組織は、サイバー犯罪に対してますます脆弱になっています。PCI DSSは、クレジットカード会員データの侵害や盗難から、決済システムの保護を支援するために策定されたものです。
● 本報告書では、既存のコンプライアンスのメンテナンスおよび評価の必要性を指摘しています。
● 本報告書では、準拠の有効性と持続性をコントロールするために必要な、9つの要素が紹介されています。
ベライゾンジャパン合同会社(東京都千代田区、執行役員社長:藤井一弘、以下「ベライゾン」)は、「2018年版ベライゾンペイメントセキュリティ報告書(略称:PSR )」を本日発表しました。本報告書では、コンプライアンス評価に失敗し、完全なコンプライアンスを維持できていない企業が多く存在していることが報告されています。ベライゾンは、ペイメント業界コンプライアンス調査報告書の発行を通じて、過去6年間(2010 - 2016)にわたって、PCIデータセキュリティスタンダード(PCI DSS)コンプライアンスにおける改善点について指摘し、その重要性について周知してきましたが、本報告書では、PCI DSSへの完全準拠の割合が低下していることが報告されています。
PCIデータセキュリティスタンダード(以下、PCI DSS)は、クレジットカードによる決済を受け付けている企業の支払いシステムを、クレジットカード会員データの侵害や盗難から保護することを目的としています。ベライゾンのデータ漏洩/侵害調査報告書(DBIR: Data Breach Investigations Report) シリーズが示す通り、PCI DSSコンプライアンスは、支払いシステムをクレジットカード会員データの侵害および盗難の両方から保護するものです。したがって、同コンプライアンスへの完全準拠の低下は、警戒すべきものです。
ベライゾンのPCI DSS認定セキュリティ審査員(QSAs: qualified security assessors)が2017年中に収集したデータでは、グローバル企業における2017年のPCIの完全準拠率が2016年の55.4%から、52.4%に低下しているということが示されています。地域によって差異があるものの、77.8%のアジア太平洋地域の企業が完全準拠を達成する一方、ヨーロッパ(46.4%)や北中南米(39.7%)の準拠率は低調となっています。これらの差異は、準拠をスタートするタイミング、受賞や認められることに対する文化的な賞賛、あるいはITシステムの成熟度・完成度といったことに起因する可能性があります。
ビジネスセクター別では、コンプライアンスに関してはITサービスがトップの座を維持しており、4分の3を超える企業(77.8%)が完全準拠を達成しています。小売り業(56.3%)および金融サービス(47.9%)は、準拠状態の維持率が最も低かったサービス業(38.5%)を大きく引き離しています。例えばEuropean Data Protection Regulation (GDPR :EU一般データ保護規則) といったデータ保護に関する法規制の要件を満たすために、PCI DSS準拠への取り組みを推進する企業がある中、日々電子決済をおこなうさまざまなビジネスセクター間で、準拠率に非常に大きな隔たりが存在します。
ベライゾンのセキュリティコンサルティング担当グローバルマネージングディレクター、ロドルフ・シモネッティ(Rodolphe Simonetti)は次のように述べています。「グローバル企業におけるPCIコンプライアンスへの準拠率は、低調の一途をたどっていますが、この状況を継続することは好ましいことではありません。消費者もサプライヤーと共に、決済データの安全な保護という観点から、企業のブランドを信用します。ですから、われわれはこの状況に対して必要な行動をとらなければならないのです。ベライゾンは、企業のみなさんに対して、自社のPCIの有効性をコントロールするための方法論を再評価すると共に、データ保護の継続的な管理に集中できるようサポートします」
有効性と持続性のコントロールが必須
シモネッティはさらに次のようにコメントしています。「ベライゾンは、2003年以来これまで、クレジットカード会員データセキュリティの最前線に立って、PCIコミュニティと緊密に連携・協業しながらPCI DSSコンプライアンスを発展させてきました。ベライゾンは、この分野でのノウハウと実績に基づき、準拠レベルの持続を支援する9つのファクターを策定しました。その目的は、コンプライアンス担当者を確実に支援するための明確な構造と方法論を提供することですが、同時に担当者が経営陣たちとコンプライアンスに関するディスカッションを開始するために必要な情報を提供し、コンプライアンスに関する説明をよりわかりやすくすることです。コンプライアンスのプロセスが有効性を持つためには、企業・組織のトップによってプロセスが推進されることが必要不可欠です。しかしながら、プロセスにおける進捗や課題は、経営トップに明確に伝わっておらず、十分な理解を得られていないのが現状です」
有効性と持続性のコントロールのためのベライゾンの9つのファクターは、12のPCI DSSキー要件をサポートしており、以下のような内容となっています:
● ファクター 1: 環境のコントロール: 12のキー要件の持続性と有効性は、健全な環境のコントロールに依存しています。
● ファクター 2: 設計のコントロール: DSSセキュリティコントロールの目的を達成するための適切なコントロールオペレーションは、設計のコントロールに依存しています。
● ファクター 3: リスクのコントロール: メンテナンスの継続(セキュリティ試験、リスク管理等)なしでは、コントロールは時間の経過により劣化し、最終的に破綻します。コントロール失敗の低減には、リスクのコントロールが統合された管理が必要です。
● ファクター 4: 堅牢性のコントロール: コントロールはダイナミックに変化するビジネスとそれを取り巻く脅威に対して運用されます。したがって、これらのコントロールは望ましくない変化にさらされても、安定してその機能(標準の設定、アクセスコントロール、システムの堅牢化、等)を維持しなければいけません。
● ファクター 5: レジリエンス(回復力)のコントロール:堅牢性向上のためコントロールレイヤーが追加されていても、セキュリティコントロールはそれでも失敗する可能性があります。したがって、失敗をプロアクティブに検知し、失敗からの素早い回復を可能にするレジリエンスのコントロールが、有効性および持続性のために必須です。
● ファクター 6: ライフサイクルマネージメントのコントロール: 上記のすべてを達成するためには、セキュリティコントロールを、その開始から終了までのライフサイクルの各ステージを通して監視し、動的に管理する必要があります。
● ファクター 7: パフォーマンスマネージメント: 環境コントロールの実際のパフォーマンスを評価するパフォーマンス基準を確立し伝えることが、有効性のコントロールを向上させ、初期段階でのパフォーマンスの偏差の識別と修正が可能になります。これにより、データ保護およびコンプライアンス活動の結果予測を可能にします。
● ファクター 8: 完成度の評価: 環境のコントロールには決して停滞があってはなりません。継続して向上していかなければならないのです。そのためには、企業・組織は、プロセス開発がどれだけ完成に近づいているのか、および継続的な向上がどれだけ可能かの指標として、プロセスの手続きや最適化の度合いをトラッキングするための、ロードマップ、プロセスと能力の完成度のターゲットレベルの設定が必要となります。
● ファクター 9: 自己評価: 上記のすべてを達成するには、企業・組織内部の習熟が必要です。リソースの能力 (人材、プロセス、テクノロジー)、適応能力(プロセスをサポートする)、業務遂行能力(スキル、知識と経験)、取り組み(準拠要件に対する一貫して執着しようとする意志)。一言で言うと、自己評価の熟練です。
PCI Security Standards Councilの最高技術責任者(Chief Technology Officer)Troy Leach(トロイ・リーチ)氏は次のように述べています。 「データ共有と異業種間でのコラボレーションは、進化しつつある脅威の状況を理解し、グローバルでのペイメントセキュリティを進歩させるためにきわめて重要です。本報告書で示されているように、企業・組織は、急速に変化している環境の中で、高いレベルでのセキュリティおよびコンプライアンスの維持という大きな課題に直面しています。企業・組織は、本報告書に述べられている所見に細心の注意を払い、安全を確保するためにカギを握るポイントについて注視する必要があります。PCIコンプライアンスをセキュリティのゴールとは決して考えず、むしろデータ保護を継続的に維持していくための指標ととらえるべきです」
ベライゾンは、企業・組織がコンプライアンスへの準拠を継続できるよう、特定のコンプライアンス活動の時期を明確化した包括的なタイムラインを作成しています。
2018年版ベライゾンペイメントセキュリティ報告書(PSR: Payment Security Report)について
2018年版PSRの目的は、PCIコンプライアンスの必要性を強調することではなく、むしろパフォーマンスを評価することの価値を周知することと、有効性をコントロールすることにあります。今年の報告書には、ベライゾンのPCI認定セキュリティ審査員チーム(Qualified Security Assessors)チームが、Fortune 500と30か国以上のグローバル企業のために実施した、PCIアセスメントの結果が含まれています。
ベライゾンのデータ漏洩/侵害調査報告書(DBIR)シリーズと同様に、2018年版PSRは、金融サービス業(58%)、ITサービス業(15%)、小売業(13%)、サービス業(11%)を対象に、実際のケースワークに基づいています。地域的には、北中南米(48%)・アジア太平洋(30%)・ヨーロッパ(23%)の企業を対象にしています。
2018年版ベライゾンペイメントセキュリティ報告書 (PSR: Payment Security Report) のダウンロードはこちらからhttp://www.verizonenterprise.com/verizon-insights-lab/payment-security/2018。
PCIデータセキュリティスタンダード(以下、PCI DSS)は、クレジットカードによる決済を受け付けている企業の支払いシステムを、クレジットカード会員データの侵害や盗難から保護することを目的としています。ベライゾンのデータ漏洩/侵害調査報告書(DBIR: Data Breach Investigations Report) シリーズが示す通り、PCI DSSコンプライアンスは、支払いシステムをクレジットカード会員データの侵害および盗難の両方から保護するものです。したがって、同コンプライアンスへの完全準拠の低下は、警戒すべきものです。
ベライゾンのPCI DSS認定セキュリティ審査員(QSAs: qualified security assessors)が2017年中に収集したデータでは、グローバル企業における2017年のPCIの完全準拠率が2016年の55.4%から、52.4%に低下しているということが示されています。地域によって差異があるものの、77.8%のアジア太平洋地域の企業が完全準拠を達成する一方、ヨーロッパ(46.4%)や北中南米(39.7%)の準拠率は低調となっています。これらの差異は、準拠をスタートするタイミング、受賞や認められることに対する文化的な賞賛、あるいはITシステムの成熟度・完成度といったことに起因する可能性があります。
ビジネスセクター別では、コンプライアンスに関してはITサービスがトップの座を維持しており、4分の3を超える企業(77.8%)が完全準拠を達成しています。小売り業(56.3%)および金融サービス(47.9%)は、準拠状態の維持率が最も低かったサービス業(38.5%)を大きく引き離しています。例えばEuropean Data Protection Regulation (GDPR :EU一般データ保護規則) といったデータ保護に関する法規制の要件を満たすために、PCI DSS準拠への取り組みを推進する企業がある中、日々電子決済をおこなうさまざまなビジネスセクター間で、準拠率に非常に大きな隔たりが存在します。
ベライゾンのセキュリティコンサルティング担当グローバルマネージングディレクター、ロドルフ・シモネッティ(Rodolphe Simonetti)は次のように述べています。「グローバル企業におけるPCIコンプライアンスへの準拠率は、低調の一途をたどっていますが、この状況を継続することは好ましいことではありません。消費者もサプライヤーと共に、決済データの安全な保護という観点から、企業のブランドを信用します。ですから、われわれはこの状況に対して必要な行動をとらなければならないのです。ベライゾンは、企業のみなさんに対して、自社のPCIの有効性をコントロールするための方法論を再評価すると共に、データ保護の継続的な管理に集中できるようサポートします」
有効性と持続性のコントロールが必須
シモネッティはさらに次のようにコメントしています。「ベライゾンは、2003年以来これまで、クレジットカード会員データセキュリティの最前線に立って、PCIコミュニティと緊密に連携・協業しながらPCI DSSコンプライアンスを発展させてきました。ベライゾンは、この分野でのノウハウと実績に基づき、準拠レベルの持続を支援する9つのファクターを策定しました。その目的は、コンプライアンス担当者を確実に支援するための明確な構造と方法論を提供することですが、同時に担当者が経営陣たちとコンプライアンスに関するディスカッションを開始するために必要な情報を提供し、コンプライアンスに関する説明をよりわかりやすくすることです。コンプライアンスのプロセスが有効性を持つためには、企業・組織のトップによってプロセスが推進されることが必要不可欠です。しかしながら、プロセスにおける進捗や課題は、経営トップに明確に伝わっておらず、十分な理解を得られていないのが現状です」
有効性と持続性のコントロールのためのベライゾンの9つのファクターは、12のPCI DSSキー要件をサポートしており、以下のような内容となっています:
● ファクター 1: 環境のコントロール: 12のキー要件の持続性と有効性は、健全な環境のコントロールに依存しています。
● ファクター 2: 設計のコントロール: DSSセキュリティコントロールの目的を達成するための適切なコントロールオペレーションは、設計のコントロールに依存しています。
● ファクター 3: リスクのコントロール: メンテナンスの継続(セキュリティ試験、リスク管理等)なしでは、コントロールは時間の経過により劣化し、最終的に破綻します。コントロール失敗の低減には、リスクのコントロールが統合された管理が必要です。
● ファクター 4: 堅牢性のコントロール: コントロールはダイナミックに変化するビジネスとそれを取り巻く脅威に対して運用されます。したがって、これらのコントロールは望ましくない変化にさらされても、安定してその機能(標準の設定、アクセスコントロール、システムの堅牢化、等)を維持しなければいけません。
● ファクター 5: レジリエンス(回復力)のコントロール:堅牢性向上のためコントロールレイヤーが追加されていても、セキュリティコントロールはそれでも失敗する可能性があります。したがって、失敗をプロアクティブに検知し、失敗からの素早い回復を可能にするレジリエンスのコントロールが、有効性および持続性のために必須です。
● ファクター 6: ライフサイクルマネージメントのコントロール: 上記のすべてを達成するためには、セキュリティコントロールを、その開始から終了までのライフサイクルの各ステージを通して監視し、動的に管理する必要があります。
● ファクター 7: パフォーマンスマネージメント: 環境コントロールの実際のパフォーマンスを評価するパフォーマンス基準を確立し伝えることが、有効性のコントロールを向上させ、初期段階でのパフォーマンスの偏差の識別と修正が可能になります。これにより、データ保護およびコンプライアンス活動の結果予測を可能にします。
● ファクター 8: 完成度の評価: 環境のコントロールには決して停滞があってはなりません。継続して向上していかなければならないのです。そのためには、企業・組織は、プロセス開発がどれだけ完成に近づいているのか、および継続的な向上がどれだけ可能かの指標として、プロセスの手続きや最適化の度合いをトラッキングするための、ロードマップ、プロセスと能力の完成度のターゲットレベルの設定が必要となります。
● ファクター 9: 自己評価: 上記のすべてを達成するには、企業・組織内部の習熟が必要です。リソースの能力 (人材、プロセス、テクノロジー)、適応能力(プロセスをサポートする)、業務遂行能力(スキル、知識と経験)、取り組み(準拠要件に対する一貫して執着しようとする意志)。一言で言うと、自己評価の熟練です。
PCI Security Standards Councilの最高技術責任者(Chief Technology Officer)Troy Leach(トロイ・リーチ)氏は次のように述べています。 「データ共有と異業種間でのコラボレーションは、進化しつつある脅威の状況を理解し、グローバルでのペイメントセキュリティを進歩させるためにきわめて重要です。本報告書で示されているように、企業・組織は、急速に変化している環境の中で、高いレベルでのセキュリティおよびコンプライアンスの維持という大きな課題に直面しています。企業・組織は、本報告書に述べられている所見に細心の注意を払い、安全を確保するためにカギを握るポイントについて注視する必要があります。PCIコンプライアンスをセキュリティのゴールとは決して考えず、むしろデータ保護を継続的に維持していくための指標ととらえるべきです」
ベライゾンは、企業・組織がコンプライアンスへの準拠を継続できるよう、特定のコンプライアンス活動の時期を明確化した包括的なタイムラインを作成しています。
2018年版ベライゾンペイメントセキュリティ報告書(PSR: Payment Security Report)について
2018年版PSRの目的は、PCIコンプライアンスの必要性を強調することではなく、むしろパフォーマンスを評価することの価値を周知することと、有効性をコントロールすることにあります。今年の報告書には、ベライゾンのPCI認定セキュリティ審査員チーム(Qualified Security Assessors)チームが、Fortune 500と30か国以上のグローバル企業のために実施した、PCIアセスメントの結果が含まれています。
ベライゾンのデータ漏洩/侵害調査報告書(DBIR)シリーズと同様に、2018年版PSRは、金融サービス業(58%)、ITサービス業(15%)、小売業(13%)、サービス業(11%)を対象に、実際のケースワークに基づいています。地域的には、北中南米(48%)・アジア太平洋(30%)・ヨーロッパ(23%)の企業を対象にしています。
2018年版ベライゾンペイメントセキュリティ報告書 (PSR: Payment Security Report) のダウンロードはこちらからhttp://www.verizonenterprise.com/verizon-insights-lab/payment-security/2018。
