準拠の継続率が低いPCI DSS、カード情報を漏洩した企業の要件6・10準拠は皆無(ベライゾン) | ScanNetSecurity
2021.03.06(土)
コンテンツ
注目検索ワード
ホーム 調査・レポート・白書 調査・ホワイトペーパー 記事

準拠の継続率が低いPCI DSS、カード情報を漏洩した企業の要件6・10準拠は皆無(ベライゾン)

ベライゾンは5月14日、2015年のペイメントカード業界コンプライアンス調査報告書に関する記者発表会を行った。前年を上回る約6割の企業が何かしらのPCI DSS要件に準拠していたことが明らかになったが、全ての要件をクリアし、完全に準拠している企業は約2割に留まった。

調査・レポート・白書 調査・ホワイトペーパー
ベライゾンジャパン合同会社は5月14日、2015年のペイメントカード業界コンプライアンス調査報告書に関する記者発表会を行った。発表された調査結果によると、前年を上回る約6割の企業が何かしらのPCI DSS要件に準拠していたことが明らかになったが、全ての要件をクリアし、完全に準拠している企業は約2割にとどまったという。

調査は、2012年から2014年までの3ヶ年のデータをカバーし、ベライゾンのPCI認定セキュリティ審査員チームが世界30か国以上の企業を対象に実施したPCI DSSアセスメントの結果となっている。

発表を行った同社の事業開発部部長 岡田正人氏は、消費者の69%がデータ漏洩/侵害が見つかった企業の利用を控える傾向にあり、日本国内の消費者はさらにシビアに反応すると話す。その一方で、カード決済の件数と金額が増加傾向にあるだけでなく、決済に関するテクノロジーがモバイルやクラウドなど複雑化する中、攻撃対象は拡大し続けているのが現状だ。

調査報告書にまとめられたのは主に3点。まず、PCI DSSコンプライアンスに完全に準拠している企業の場合でも、持続可能性が低いという点だ。準拠状況の検証に合格した企業を対象に、ベライゾンが12か月以内に再度中間評価を行ったところ、完全準拠を維持していた企業は1/3に満たなかったという。特に要件2の「システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない」という内容については、再評価時も準拠状態にあった企業は37%まで落ち込んだ。

次に、データ漏洩/侵害が発生した企業は、PCI DSSコンプライアンスの要件6および要件10に問題を抱えていることが明らかになった。セキュアなシステムを維持することが求められる要件6、そしてアクセスを追跡し監視することが求められる要件10の準拠率はそれぞれ64%と76%。ただ、ベライゾンがフォレンジック調査を行った企業の中でデータ漏洩/侵害が発生した時点で2つの要件に準拠していた企業は皆無だったという。セキュアなシステムの維持、アクセス追跡および監視の重要性がデータによって裏付けされた。

3点目は、産業別の準拠状況だ。米国の小売り大手TargetやHome Depotなどの漏洩事件に敏感に反応した小売業界においても、2012~2014年の中間評価でPCI DSSの全ての要件に準拠しているのは全産業平均同様の12%にとどまった。また、決済エコスシテムの中心にある金融サービス業界においては全産業平均に劣る8%、カード決済が多いホテルなどを含む接客業および観光業界は4%という結果になった。カード決済の件数と金額が増加し、データ漏洩/侵害が表面化し続ける現在においても、PCI DSSコンプライアンスを主要なタスクと位置付ける企業は少ないようだ。

PCI DSSに対するアプローチについて岡田氏は、カードデータのリスクを効果的に管理する必要があると説明する。準拠のためのコストや作業負荷を削減するためにも、守るべきデータの範囲を制限することが大切だという。保有するデータの削減と難読化、カード会員データの処理のアウトソーシング、ネットワーク環境の分離など、負担を削減するための対応が必須のようだ。

PCI DSSの準拠状況は、グローバルで見ても日本は最低レベルだと岡田氏は解説する。日本人の監査員もおり、日本語対応もされていることから、言語面での妨げはない。今後は、小売、金融、サービス・観光業界だけでなく、メディア・エンターテインメントや保険業界においても注力すべきコンプライアンスとして、国内企業の注目を集めることができるかに注目したい。
《湯浅 大資》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Apache Tomcat の脆弱性に対するアップデート公開 画像

Apache Tomcat の脆弱性に対するアップデート公開
CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report) 画像

CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report)
「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信 画像

「kingjiim_」や「kingjim_officiall」一文字違いのキングジムSNS偽アカウントがDM送信
VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認 画像

VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認
Movable Typeに複数のクロスサイトスクリプティングの脆弱性 画像

Movable Typeに複数のクロスサイトスクリプティングの脆弱性
ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請 画像

ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請

インシデント・事故 記事一覧へ

標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開 画像

標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開
公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に 画像

公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に
クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス 画像

クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス
メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出 画像

メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出
日本通運のパソコン2台に不正アクセス、メール閲覧とウイルス感染被害 画像

日本通運のパソコン2台に不正アクセス、メール閲覧とウイルス感染被害
みずほ銀行で2月28日午前からシステム障害発生、定期預金取引のデータ移行作業が原因 画像

みずほ銀行で2月28日午前からシステム障害発生、定期預金取引のデータ移行作業が原因

調査・レポート・白書 記事一覧へ

日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査 画像

日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査
日本の IoT シェア後退、総務省が 2019年実績 国際競争力指標公表 画像

日本の IoT シェア後退、総務省が 2019年実績 国際競争力指標公表
「電子サインを安全とは思わない」のは日本のビジネスパーソンの2割 画像

「電子サインを安全とは思わない」のは日本のビジネスパーソンの2割
CrowdStrike Adversary Calender 2021 年 3 月( kryptonite panda ) 画像

CrowdStrike Adversary Calender 2021 年 3 月( kryptonite panda )
Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16% 画像

Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16%
小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定 画像

小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定

研修・セミナー・カンファレンス 記事一覧へ

ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演 画像

ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演
「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは 画像

「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは
ニューノーマルの3つの特徴と VMware が考える3つの包括的解決アプローチ 画像

ニューノーマルの3つの特徴と VMware が考える3つの包括的解決アプローチ
応募多数で参加枠2倍に「NRI Secure NetWars 2020」入賞者発表 画像

応募多数で参加枠2倍に「NRI Secure NetWars 2020」入賞者発表
明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 榮二郎先生に聞く 画像

明かされた「JNSAセキュリティ十大ニュース」の謎、選考委員長 大木 榮二郎先生に聞く
NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開 画像

NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開

製品・サービス・業界動向 記事一覧へ

演習と CTF で人材育成 発掘、NECが教育サービス提供 画像

演習と CTF で人材育成 発掘、NECが教育サービス提供
川口洋氏や登大遊氏ら、2021年サイバーセキュリティ総務大臣奨励賞 受賞者 画像

川口洋氏や登大遊氏ら、2021年サイバーセキュリティ総務大臣奨励賞 受賞者
ワンビとネットアップ、総務省ガイドライン準拠し ADEC 消去証明書発行サービス 画像

ワンビとネットアップ、総務省ガイドライン準拠し ADEC 消去証明書発行サービス
LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能 画像

LogStare がログ転送モジュール無償提供 、syslog 非対応アプリのログ収集可能
KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から 画像

KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から
NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始 画像

NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始

おしらせ 記事一覧へ

ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
Page Top
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×