「2014年度PCIコンプライアンス調査報告書」では、ペイメントカード取引は依然として攻撃者にとって格好の標的であり、データ漏洩の発生率が高くなりつつあることが確認されている。Nilson Reportによると、世界のクレジットカード詐欺による被害額は2012年だけで110億ドルを超えると予測されている。
本報告書によると、ペイメントカードのデータ漏洩は、セキュリティ技術の障害またはPCIDSSへの非準拠が原因ではなく、多くの場合適切なコンプライアンス・セキュリティ対策が実装されていないことにより発生。
ベライゾンエンタープライズソリューションズ、PCIプラクティス、マネージングディレクター、ロドルフ・シモネッティ(Rodolphe Simonetti)は次のように述べている。「私たちは、多くの企業・組織が、PCIコンプライアンスに対して日々注意を払う必要があることを認識せず、年に1回きりのイベントとして捉えている傾向があることを確認しています」
しかし、本報告書では、企業・組織のPCI基準に対する初期のコンプライアンス状況において、一定の改善が見られるという明るい材料が報告されている。2013年、82%以上の企業・組織は、年1回実施しているベースライン評価時において、PCI基準の少なくとも80%に準拠。2013年度の結果は、わずか32%だった2012年と比較すると、当該企業・組織の同基準への準拠に対する対応に改善があったことを示している。漏洩通知に関する法令や、様々な法的要件や導入レベルによって地域格差が存在。PCI要件の少なくとも80%に準拠している割合は、アジア太平洋地域が75%とトップに立ち、次いで米国が56%、ヨーロッパが31%と続く結果となった。企業が初期コンプライアンスへの準拠を達成する過程において最も苦労する点として、セキュリティテスト(23.8%)、セキュリティ監視およびデータ流出を効率よく検出・対処する能力(17%)、そして保存された機密データの保護(55.6%)が挙げられている。
ロドルフ・シモネッティは次のように続けている。「コンプライアンスが100%できていない状態が、今日のビジネスにおける問題点です。コンプライアンスが出来ていない場合、クレジットカードの盗難などによる実質的被害は勿論のこと、企業に対する消費者からの信頼およびブランドの失墜などによる代償を加味すると、何億ドルも被害を企業・組織にもたらす可能性があります。企業・組織は、PCI準拠環境の維持をどのように考慮し、そしてこのような環境の維持に対して割り当てるべきリソースについて、またはマネージド・セキュリティ・サービス・プロバイダとの協業について再検討する必要があります」
PCIの12の各要件を徹底調査した報告書
本報告書は、企業・組織がPCIの12の各要件にどの程度準拠しているかを詳細に考察し、企業・組織がコンプライアンスを実現・維持するのに役立つ助言・提案を示しており、各要件の非準拠がどうデータ漏洩に発展するかを説明している。
ロドルフ・シモネッティは次のことを指摘している。「コンプライアンスへの活動は、計画的に実行されると共に、組織全体を網羅するガバナンス、セキュリティ、およびコンプライアンスの取り組みと一体化されるべきです。また、持続可能で高い費用効果が得られるように出来る限り自動化されることが重要となります」
実際のPCIアセスメントに基づいたPCI報告書の結果
本報告書は、2011年から2013年にかけてベライゾンのPCI認定セキュリティ審査員チーム(Qualified Security Assessors)によって実施された何百ものPCI DSS アセスメントの結果に基づいている。ベライゾンのデータ漏洩/侵害調査報告書(DBIR)シリーズと同様に、PCIコンプライアンス調査報告書は実際のケースワークに基づいており、業界唯一の報告書であると考えられている。今年度の報告書(シリーズ第3弾)は、特に北米、ヨーロッパ、アジア太平洋地域における小売(流通)、金融サービス、サービス業を中心に、PCIデータセキュリティのアセスメント結果を分析している。
その他の調査結果および助言・提案は、www.verizonenterprise.com/jp/pcireport/2014/に掲載。日本語版については、上記サイトよりエグゼクティブサマリー(要約版)とインフォグラフィックを公開中。報告書完全版の日本語版は 4 月下旬の公開予定。
お問い合わせ:
ベライゾン広報
担当:清水
Tel: 03-5269-1038
Email: verizon@jspin.co.jp
ベライゾンエンタープライズソリューションズ、PCIプラクティス、マネージングディレクター、ロドルフ・シモネッティ(Rodolphe Simonetti)は次のように述べている。「私たちは、多くの企業・組織が、PCIコンプライアンスに対して日々注意を払う必要があることを認識せず、年に1回きりのイベントとして捉えている傾向があることを確認しています」
しかし、本報告書では、企業・組織のPCI基準に対する初期のコンプライアンス状況において、一定の改善が見られるという明るい材料が報告されている。2013年、82%以上の企業・組織は、年1回実施しているベースライン評価時において、PCI基準の少なくとも80%に準拠。2013年度の結果は、わずか32%だった2012年と比較すると、当該企業・組織の同基準への準拠に対する対応に改善があったことを示している。漏洩通知に関する法令や、様々な法的要件や導入レベルによって地域格差が存在。PCI要件の少なくとも80%に準拠している割合は、アジア太平洋地域が75%とトップに立ち、次いで米国が56%、ヨーロッパが31%と続く結果となった。企業が初期コンプライアンスへの準拠を達成する過程において最も苦労する点として、セキュリティテスト(23.8%)、セキュリティ監視およびデータ流出を効率よく検出・対処する能力(17%)、そして保存された機密データの保護(55.6%)が挙げられている。
ロドルフ・シモネッティは次のように続けている。「コンプライアンスが100%できていない状態が、今日のビジネスにおける問題点です。コンプライアンスが出来ていない場合、クレジットカードの盗難などによる実質的被害は勿論のこと、企業に対する消費者からの信頼およびブランドの失墜などによる代償を加味すると、何億ドルも被害を企業・組織にもたらす可能性があります。企業・組織は、PCI準拠環境の維持をどのように考慮し、そしてこのような環境の維持に対して割り当てるべきリソースについて、またはマネージド・セキュリティ・サービス・プロバイダとの協業について再検討する必要があります」
PCIの12の各要件を徹底調査した報告書
本報告書は、企業・組織がPCIの12の各要件にどの程度準拠しているかを詳細に考察し、企業・組織がコンプライアンスを実現・維持するのに役立つ助言・提案を示しており、各要件の非準拠がどうデータ漏洩に発展するかを説明している。
ロドルフ・シモネッティは次のことを指摘している。「コンプライアンスへの活動は、計画的に実行されると共に、組織全体を網羅するガバナンス、セキュリティ、およびコンプライアンスの取り組みと一体化されるべきです。また、持続可能で高い費用効果が得られるように出来る限り自動化されることが重要となります」
実際のPCIアセスメントに基づいたPCI報告書の結果
本報告書は、2011年から2013年にかけてベライゾンのPCI認定セキュリティ審査員チーム(Qualified Security Assessors)によって実施された何百ものPCI DSS アセスメントの結果に基づいている。ベライゾンのデータ漏洩/侵害調査報告書(DBIR)シリーズと同様に、PCIコンプライアンス調査報告書は実際のケースワークに基づいており、業界唯一の報告書であると考えられている。今年度の報告書(シリーズ第3弾)は、特に北米、ヨーロッパ、アジア太平洋地域における小売(流通)、金融サービス、サービス業を中心に、PCIデータセキュリティのアセスメント結果を分析している。
その他の調査結果および助言・提案は、www.verizonenterprise.com/jp/pcireport/2014/に掲載。日本語版については、上記サイトよりエグゼクティブサマリー(要約版)とインフォグラフィックを公開中。報告書完全版の日本語版は 4 月下旬の公開予定。
お問い合わせ:
ベライゾン広報
担当:清水
Tel: 03-5269-1038
Email: verizon@jspin.co.jp
