2015年4月6日18:02
ベライゾンジャパン合同会社は、ペイメントカード業界のセキュリティ基準「PCI DSS」に対する世界の企業の準拠状況を調査した「2015年度版ペイメントカード業界コンプライアンス調査報告書」の日本語版エグゼクティブサマリー(要約版)を2015年4月6日に公開した。
同報告書によると、企業の80%近くがペイメントカード業界コンプライアンスの中間アセスメントで不合格となり、サイバー攻撃を受けやすい状態に陥っているという。2015年にはペイメントカードによる購入が全体の3分の2以上を占め、クレジットカード取引での支払い額が20兆ドル(約2,000兆円)に達すると予想されるなか、クレジットカード決済を取り扱う組織にとってセキュリティは最重要課題となっているそうだ。
今回で4回目の発行となるベライゾンの2015年度版報告書では、金融サービス、小売、旅行・サービスの各業界におけるグローバル組織のPCI DSSへの準拠状況、および準拠状況とデータ漏洩との相関関係について分析している。
ベライゾンのサイバーセキュリティ調査では、データ漏洩の被害を受けている組織はPCI DSSへの準拠度が平均を下回っているとの結果が、2009年より一貫して示されている。また、全消費者の69%が漏洩の被害を受けた組織との取引を避ける傾向にあることがわかったそうだ。
今年の調査結果からは、PCI DSSコンプライアンスの認定取得後1年足らずの時点で、引き続き完全準拠を維持している企業は29%にとどまっている。年間のコンプライアンスと継続的な管理規制維持については低い水準にとどまっているものの、その一方で2014年のコンプライアンス中間調査で認定された企業は、前年に比べて2倍近く増えているという、明るい材料も見受けられる。
また、2013年から2014年にかけて、12のPCI DSS要件のうち11の要件でコンプライアンスが向上。つまり、2014年に調査を受けた企業の60%がいずれの要件にも準拠していたことになる。
そのほか、「コンプライアンスの平均向上率は18ポイント」、「コンプライアンス向上率が最も高かったのは認証アクセス(要件8)」、「コンプライアンスが低下した唯一の分野はセキュリティシステムのテスト(要件11)で、40%から33%に下落」といった結果となっている。
なお、今年度の報告書では3年分のデータをカバーし、ベライゾンのPCI認定セキュリティ審査員チーム(Qualified Security Assessors)が世界30カ国以上のFortune 500企業および大手多国籍企業を対象に実施したPCIアセスメントの調査結果を取り上げている。
報告書では、PCI DSSバージョン3.1のリリースを見据えたうえで3.0への準拠状況を考察するなど、PCIの12要件のそれぞれについて詳細な分析を行っているそうだ。
