ベライゾンジャパンは10月1日、「2018年版ベライゾンペイメントセキュリティ報告書」を発表した。同報告書は、2016年から2017年にかけて、同社の認定セキュリティ評価機関が、PCIデータセキュリティスタンダード(PCI DSS)の評価を行う過程で収集したデータを基に分析を行ったもの。

調査対象の企業の地域の内訳は、北中南米(48%)・アジア太平洋(30%)・ヨーロッパ(23%)、業種の内訳は金融サービス業(58%)、ITサービス業(15%)、小売業(13%)、サービス業(11%)。

調査の結果、PCI DSSへの完全準拠の割合が、前回は55.4%だったところ、今回は52.5%と減少したことが明らかになった。この結果は地域によって差異があり、77.8%のアジア太平洋地域の企業が完全準拠を達成する一方、ヨーロッパ(46.4%)や北中南米(39.7%)の準拠率は低調となっているという。

業種別では、ITサービスが最も準拠率が高く、4分の3を超える企業(77.8%)が完全準拠を達成している。また、小売業(56.3%)および金融サービス(47.9%)は、準拠状態の維持率が最も低かったサービス業(38.5%)を大きく引き離している。

  • PCI DSSへの完全準拠の割合 資料:「2018年版ベライゾンペイメントセキュリティ報告書

ただし、米Verizon Executive Director, Global Security ServicesのBrain Sartin氏は「PCI DSSに基づくコンプライアンスは、必ずしも安全であることを意味しない」と指摘する。なお、同社が調査したペイメントカードのデータ漏洩においては、2010年以来、情報漏洩を起こした企業・組織は漏洩した時点でPCI DSSへの準拠が完全ではなかったという。

こうした状況が発生要因の1つとして、Sartin氏は新たな要件に対応しきれていないことを挙げた。今年5月には、マイナーリビジョンとなる「PCI DSS V3.2.1」がリリースされている。

  • 米Verizon Executive Director, Global Security ServicesのBrain Sartin氏

同調査では、PCI DSSの各要件のコントロールの状況についても調べている。ワーストトップ3は、システムの変更管理に関する項目となっており、これに重要なセキュリティ制御システムの障害検知・報告・対応に関する項目が続いている。

  • コントロールが弱い要件ワースト20 資料:「2018年版ベライゾンペイメントセキュリティ報告書

加えて、Sartin氏はこれまで評価してきた多くの企業が、検証から9カ月以内にコンプライアンスを廃止していることを紹介した。これより、同氏は、PCI DSSへの準拠においては、維持することが重要であり、企業にとって課題になっていると述べた。

続いて、Sartin氏は、同社がPCI DSSの準拠レベルの持続を支援する要素として、「(1)環境のコントロール」「(2)設計のコントロール」「(3)リスクのコントロール」「(4)堅固性のコントロール」「(5)レジリエンス(回復力)のコントロール」「(6)ライフサイクルマネジメントのコントロール」「(7)パフォーマンス管理」「(8)完成度の評価」「(9)自己評価」を紹介した。

  • PCI DSSの準拠レベルの持続を支援する9つの要素

これら9つの要素のうち、(1)~(6)をガバナンスに関するコントロールであり、(7)と(8)はPCI DSSのプログラムに関するものとなる。

最後に、Sartin氏は「ペイメントセキュリティのポイントは評価をパスすることではなく、顧客のデータを保護すること」と締めくくり、PCI DSSへの完全準拠を維持するために必要なこととして「仕組みをシンプルにすること」と「予測ができるように環境を整えること」を挙げた。