TOPNetwork > カード情報のセキュリティ基準PCI DSSへの準拠に潜む真の...

Network

カード情報のセキュリティ基準PCI DSSへの準拠に潜む真の問題は(後)

2018/01/11

Thor Olavsrud CIO

 米Verizonは、PCI DSS(Payment Card Industry Data Security Standard)への準拠についての年次報告「Payment Security Report」を9年にわたって公開している。この間、全体の傾向はずっと同じだった。すなわち、PCI DSSに準拠していない企業は多く、また準拠している企業でも、審査を受けてからしばらくすると、非準拠の状態に戻ってしまうところが多い。IT組織がPCI DSSへの準拠に苦労している原因は、知識や技術の不足ではない。熟達度の問題だ。

前回から続く)

レジリエンスと堅牢性

 van Oosten氏によると、2010~2016年に発生したクレジットカード類のデータ侵害をVerizonが300件近く調査したところ、侵害が発生した時点でPCI DSSに完全に準拠していた企業は1つもなかった。かつては準拠していたのに、その状態を維持できていなかった企業はあった。多くの場合、PCI DSSに準拠することを達成目標と捉えていて、プロセスと捉えていなかったのが理由だ。

 PCI DSSへの準拠によって会社がセキュアになるわけではないとvan Oosten氏は言う。PCI DSSへの準拠とは、1~2週間の審査期間内に、準拠していないとの証拠が見つからなかったという話にすぎない。一方、包括的なセキュリティプログラムの一環として、統制項目の持続可能性とレジリエンスを加味している企業は、実際にうまく対応できるとvan Oosten氏は言う。

Twitterもチェック

↑ページ先頭へ