2015年5月14日6:40金融業界のPCI DSS準拠率は小売業界よりも低い?クレジットカード情報のセキュリティ対策実施状況を発表
ベライゾンジャパンは、2014年5月14日、2015年度版ペイメント業界コンプライアンス調査報告書の結果についての説明会を開催した。金融、小売、接客・観光業の各業界におけるPCI DSSへの準拠状況において、要件6「セキュアなシステムを維持する」、要件11「セキュリティシステムをテストする」といった項目の対応に課題があることが明らかとなった。
2015年の情報漏洩の脅威としてはPOSが上位に
ベライゾンは世界最大級の情報セキュリティサービスプロバイダであり、インターネットの約70%が同社のネットワークを通過しているそうだ。セキュリティビジネスとしてはサイバートラストを買収。そこをコアにしてサービスを提供している。
ベライゾンは世界中にセキュリティのコンサルタントを抱え、フォレンジック調査員を有している。世界中でカード情報が漏洩した際に、現場に駆けつけてデータの証跡を保存し、攻撃者がどういった環境でアクセスし、持っていったかという記録を調べ上げているそうだ。
ペイメント業界においては、PCI DSSの訪問審査を行う認定審査機関(QSA)の資格を有しているが、「世界中に最大規模の人員を掲げています」と、ベライゾンジャパン合同会社セキュリティ事業開発部長 岡田正人氏は説明する。また、ペイメントカードの情報漏洩時のフォレンジック調査が可能な「PCI Forensic Investigator(PFI)」の資格もグローバルで保有している。
ベライゾンによると、国内の民間最終消費支出に占めるカード決済の割合は18%で、米国、英国、韓国などに比べて低いが、店舗やインターネットでの取引は増加している。また、日本の大手の小売業は海外の売上の増加が急激に進んでいるケースもある。そのため、国内企業の海外での情報漏洩対策が重要となる。
今回で4回目の発行となるベライゾンの2015年度版報告書では、金融サービス、小売、旅行・サービスの各業界におけるグローバル組織のPCI DSSへの準拠状況、および準拠状況とデータ漏洩との相関関係について分析している。今年度の報告書では3年分のデータをカバーし、ベライゾンのQSAが世界30カ国以上のFortune 500企業および大手多国籍企業を対象に実施したPCIアセスメントの調査結果を取り上げている。
まず、情報漏洩のパターンとして、金銭目的の取得が10年間においてトップの座を維持している。犯罪者にとってカード情報はもっとも狙いやすく換金しやすいそうだ。また、近年伸びているのはスパイ攻撃であり、営業機密に対する攻撃が急増している。ターゲットとされているのは、PCのようなユーザー機器とサーバーで、近年は標的型攻撃が急増している。2015年版では、驚異のカテゴリを5つに分けているが、トップがPOSとなっており、米国・大手小売りのターゲットのように大規模にカード情報が漏洩する事件が相次いでいる。また、ペイメントカードのスキミングによる被害も相変わらず多く、ガソリンスタンド等でカードを差し込む機器でカードをこする際に、スキマーでカード情報を抜き取られる事件も発生している。
準拠率が最も低い項目の20のうち14は要件11
カード情報漏洩のリスクとしては、企業のモバイル、クラウド採用による攻撃対象の拡大も挙げられる。また、対面でより安全な取引が可能となるEMV ICカード化により、攻撃者は購入の際に直接カードを提示しないCNP(Card Not Present)に集中する傾向も顕著となっている。
セキュリティコンプラインアンスとして、PCI DSSに準拠する必要があるが、ベライゾンジャパンのフォレンジックチームが過去10年間に調査したカード情報漏洩や侵害事例のうち、発生時にPCI DSSに完全準拠していた企業は皆無だったという。また、データ漏洩や侵害が発生した企業では、業界全体では準拠率が平均36%低くなっている。
PCI DSSについては、2014年は前年比で上昇している。ただし、準拠してから12カ月以内に再度中間評価を実施したところ、完全準拠の状態を維持していた企業は3分の1未満だった。
「12の要件の中ではパッチの適用のように運用上継続して行わなければいけないことがあります。取り組みは行うが継続的に行うことに課題を持っています」(岡田氏)
なかでも「セキュリティシステムをテストする」(要件11)の準拠率は最低となっており、準拠率が最も低い項目の20のうち14は同要件のものだった。また、実際にデータ漏洩にあった企業は「セキュアなシステムを維持する」(要件6)、「アクセスを追跡し監視する」(要件10)の準拠率がインシデント発生時は0%だったそうだ。
金融業界はレガシーシステムを使用しているため準拠率が低い
各業界の準拠率をみると、小売業界は12%が2012~2014年の中間評価の時点でPCI DSSのすべての項目に準拠していた。要件6の準拠率は47%と半数弱となっているが、全産業の平均である41%を上回っている。また、要件11については、約18%が準拠している結果となった。
金融業界は、8%がPCI DSSのすべての項目に準拠していた。要件6については、金融機関では独自のソフトウェア、メインシステムをはじめとするレガシーシステムを使用しているため、20%の準拠状況となっている。また、要件11も23%の準拠状況だった。
接客業もしくは観光業の準拠率は4%。接客業は、項目別にすると低いことが多い。また、ホテルでは多くの顧客がカード決済を行うが、内部によるスキミングの被害が目立つという。
岡田氏は、ペイメントカード情報のリスクを効果的に管理する方法として、①「きちんとした計画を立てて、ビジネス分析を分析した上で作業規模についてレビューすること」、②「PCI DSSの準拠範囲の特定を必要最小限にとどめる」、③「コンプライアンスをチャンスととらえて活用する」、④PCI DSSへの準拠を通常業務に取り組むことで、持続可能な環境をつくる」という4点を挙げた。