2020年11月4日18:48
ベライゾンジャパンは、2020年版ベライゾンペイメントセキュリティ報告書(略称:2020 PSR )」を2020年11月4日に発表した。同報告書では、グローバル企業における長期的なペイメントセキュリティ戦略と実行性の欠如によって、顧客のカード会員データが常に危険に晒されていることが指摘されたという。また、多くの企業にとって優秀なCISOやセキュリティマネージャーを維持していくことが課題となっているのが現状で、これは企業・組織においてセキュリティに関わる長期的視点の欠如をもたらし、PCI DSSにおけるコンプライアンスへの持続的準拠に深刻な影響を及ぼしている。
2020年度ベライゾン データ漏洩/データ侵害調査報告書(略称:2020 DBIR)によると、支払データは依然としてサイバー犯罪者にとって最大の標的であり、収益性の高いターゲットの1つとなっている。約10件中9件(86%)のデータ侵害が金銭的目的であることが明らかにされた。2020 DBIRによって分析された小売業界におけるセキュリティインシデントの99%は、犯罪使用のための支払いデータの取得に集中している。
2020 PSRは、カード決済機能を提供する企業に向けてカード会員データの侵害や盗難から決済システムを保護するために策定されたPCI DSSに完全に準拠しているグローバル企業が平均で27.9%にすぎないことを指摘している。さらに懸念されるのは、コンプライアンスへの準拠率が3年連続で低下し、2016年のピークから27.5パーセントポイント減少しているそうだ。
2020 PSRの追加調査では、特にセキュリティテストに焦点をあてており、企業・組織のわずか半数強(51.9%)のみがセキュリティシステムとプロセス、および監視されていないシステムへのアクセスに関するテストに成功し、約3分の2がビジネスクリティカルなシステムへのアクセスを十分に追跡および監視していることについても報告されている。さらに、10の金融機関のうち7行(70.6%)だけが、重要な境界セキュリティ制御を維持していることが示されている。
同報告書は、中小企業(SMB)が支払いデータの保護に関して独自の課題に直面していることを指摘しているとした。中小企業では、一般的に大企業よりも処理および保存するカードデータが少なくなるが、セキュリティのためのリソースと予算が少なく、PCI DSSへの準拠を維持するために利用できるリソースに課題がある。小規模な企業・組織では、多くの場合機密性の高いペイメントカードデータを保護するために必要な対策のために時間とコストがかかりすぎることが懸念されている。一方でSMBに対するデータ侵害のリスクは高いままであるため、PCIDSSコンプライアンスを維持することが不可欠となっている。
また、同報告書は、効果的で持続可能なセキュリティ戦略を設計、実装、維持する際にCISOが直面する課題と、これらの課題がコンプライアンスとデータセキュリティ管理の崩壊に最終的にどのようにつながるのかについても説明している。これらの課題は技術的なものではなく、形式化されたプロセスの作成、セキュリティのビジネスモデルの構築、運用モデルとフレームワークの使用による適切なセキュリティ戦略の定義など、より成熟した管理スキルによって解決可能な課題であることがわかったそうだ。
