準拠の継続率が低いPCI DSS、カード情報を漏洩した企業の要件6・10準拠は皆無(ベライゾン) | ScanNetSecurity
2020.03.30(月)
コンテンツ
注目検索ワード
ホーム 調査・レポート・白書 調査・ホワイトペーパー 記事

準拠の継続率が低いPCI DSS、カード情報を漏洩した企業の要件6・10準拠は皆無(ベライゾン)

ベライゾンは5月14日、2015年のペイメントカード業界コンプライアンス調査報告書に関する記者発表会を行った。前年を上回る約6割の企業が何かしらのPCI DSS要件に準拠していたことが明らかになったが、全ての要件をクリアし、完全に準拠している企業は約2割に留まった。

調査・レポート・白書 調査・ホワイトペーパー
ベライゾンジャパン合同会社は5月14日、2015年のペイメントカード業界コンプライアンス調査報告書に関する記者発表会を行った。発表された調査結果によると、前年を上回る約6割の企業が何かしらのPCI DSS要件に準拠していたことが明らかになったが、全ての要件をクリアし、完全に準拠している企業は約2割にとどまったという。

調査は、2012年から2014年までの3ヶ年のデータをカバーし、ベライゾンのPCI認定セキュリティ審査員チームが世界30か国以上の企業を対象に実施したPCI DSSアセスメントの結果となっている。

発表を行った同社の事業開発部部長 岡田正人氏は、消費者の69%がデータ漏洩/侵害が見つかった企業の利用を控える傾向にあり、日本国内の消費者はさらにシビアに反応すると話す。その一方で、カード決済の件数と金額が増加傾向にあるだけでなく、決済に関するテクノロジーがモバイルやクラウドなど複雑化する中、攻撃対象は拡大し続けているのが現状だ。

調査報告書にまとめられたのは主に3点。まず、PCI DSSコンプライアンスに完全に準拠している企業の場合でも、持続可能性が低いという点だ。準拠状況の検証に合格した企業を対象に、ベライゾンが12か月以内に再度中間評価を行ったところ、完全準拠を維持していた企業は1/3に満たなかったという。特に要件2の「システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない」という内容については、再評価時も準拠状態にあった企業は37%まで落ち込んだ。

次に、データ漏洩/侵害が発生した企業は、PCI DSSコンプライアンスの要件6および要件10に問題を抱えていることが明らかになった。セキュアなシステムを維持することが求められる要件6、そしてアクセスを追跡し監視することが求められる要件10の準拠率はそれぞれ64%と76%。ただ、ベライゾンがフォレンジック調査を行った企業の中でデータ漏洩/侵害が発生した時点で2つの要件に準拠していた企業は皆無だったという。セキュアなシステムの維持、アクセス追跡および監視の重要性がデータによって裏付けされた。

3点目は、産業別の準拠状況だ。米国の小売り大手TargetやHome Depotなどの漏洩事件に敏感に反応した小売業界においても、2012~2014年の中間評価でPCI DSSの全ての要件に準拠しているのは全産業平均同様の12%にとどまった。また、決済エコスシテムの中心にある金融サービス業界においては全産業平均に劣る8%、カード決済が多いホテルなどを含む接客業および観光業界は4%という結果になった。カード決済の件数と金額が増加し、データ漏洩/侵害が表面化し続ける現在においても、PCI DSSコンプライアンスを主要なタスクと位置付ける企業は少ないようだ。

PCI DSSに対するアプローチについて岡田氏は、カードデータのリスクを効果的に管理する必要があると説明する。準拠のためのコストや作業負荷を削減するためにも、守るべきデータの範囲を制限することが大切だという。保有するデータの削減と難読化、カード会員データの処理のアウトソーシング、ネットワーク環境の分離など、負担を削減するための対応が必須のようだ。

PCI DSSの準拠状況は、グローバルで見ても日本は最低レベルだと岡田氏は解説する。日本人の監査員もおり、日本語対応もされていることから、言語面での妨げはない。今後は、小売、金融、サービス・観光業界だけでなく、メディア・エンターテインメントや保険業界においても注力すべきコンプライアンスとして、国内企業の注目を集めることができるかに注目したい。
《湯浅 大資》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁) 画像

「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)
Appleが8製品10バージョンのセキュリティアップデートを公開(JVN) 画像

Appleが8製品10バージョンのセキュリティアップデートを公開(JVN)
機械学習アルゴリズムに脆弱性(JVN) 画像

機械学習アルゴリズムに脆弱性(JVN)
PayPayを騙る偽メール報告、アカウントを一時停止したとして誘導(フィッシング対策協議会) 画像

PayPayを騙る偽メール報告、アカウントを一時停止したとして誘導(フィッシング対策協議会)
「Adobe Type Manager Library」にリモートコード実行の未パッチ脆弱性(JVN) 画像

「Adobe Type Manager Library」にリモートコード実行の未パッチ脆弱性(JVN)
脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN) 画像

脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)

インシデント・事故 記事一覧へ

ポイントカード登録情報を委託社員が漏えい(神戸市、OMこうべ) 画像

ポイントカード登録情報を委託社員が漏えい(神戸市、OMこうべ)
この組織もBCCで送っていた、「有識者懇談会」資料送付で誤送信しメールアドレス流出(内閣官房) 画像

この組織もBCCで送っていた、「有識者懇談会」資料送付で誤送信しメールアドレス流出(内閣官房)
たびの達人集う「ツアーマスター」にフィッシングメール、登録情報流出(中西金属工業) 画像

たびの達人集う「ツアーマスター」にフィッシングメール、登録情報流出(中西金属工業)
個人情報持ち出し選挙に利用した元職員へ損害賠償請求を提訴(平塚市) 画像

個人情報持ち出し選挙に利用した元職員へ損害賠償請求を提訴(平塚市)
GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター) 画像

GitHubの設定ミスが原因、取引先情報が外部から閲覧可能に(道新サービスセンター)
「トーラムオンライン」にパスワードリスト型攻撃、不正ログイン確認(アソビモ) 画像

「トーラムオンライン」にパスワードリスト型攻撃、不正ログイン確認(アソビモ)

調査・レポート・白書 記事一覧へ

JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS) 画像

JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS)
BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC) 画像

BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC)
脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA) 画像

脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA)
CISO に求める役割ベスト3とこれから求める役割(IPA) 画像

CISO に求める役割ベスト3とこれから求める役割(IPA)
クラウドを利用する組織は8割超、DXとセキュリティの実態調査(タレス) 画像

クラウドを利用する組織は8割超、DXとセキュリティの実態調査(タレス)
セキュリティ対策状況、経営層600人調査(サイバーセキュリティクラウド) 画像

セキュリティ対策状況、経営層600人調査(サイバーセキュリティクラウド)

研修・セミナー・カンファレンス 記事一覧へ

サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ 画像

サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020 画像

サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ) 画像

工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実 画像

ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ) 画像

動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ)
サイバー攻撃で信頼を失うとはどういうことか、Equifax CISO 語る 画像

サイバー攻撃で信頼を失うとはどういうことか、Equifax CISO 語る

製品・サービス・業界動向 記事一覧へ

Webとメールを分離環境で実行するソリューション(日本プルーフポイント) 画像

Webとメールを分離環境で実行するソリューション(日本プルーフポイント)
「秘文 Device Control」最新版、信頼できるクラウドへ直接アクセス(日立ソリューションズ) 画像

「秘文 Device Control」最新版、信頼できるクラウドへ直接アクセス(日立ソリューションズ)
「個人情報」と「フェイクニュース」を学べるアニメを無料公開(FULMA) 画像

「個人情報」と「フェイクニュース」を学べるアニメを無料公開(FULMA)
リモートワークで社外に出ると失われる「3つの防御壁」とは? 画像

リモートワークで社外に出ると失われる「3つの防御壁」とは?
クラウド保護の新ソリューション発表、仮想マシンにインストール 年額25万円(トレンドマイクロ) 画像

クラウド保護の新ソリューション発表、仮想マシンにインストール 年額25万円(トレンドマイクロ)
AIのサイバー攻撃対策共同研究、5月にもトレーニング提供(MBSD、ChillStack) 画像

AIのサイバー攻撃対策共同研究、5月にもトレーニング提供(MBSD、ChillStack)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×