PCI DSS準拠のために必要な作業を洗い出せ、ベライゾンが提言

写真●ベライゾンジャパン 事業開発本部 部長の岡田正人氏

[画像のクリックで拡大表示]

　通信事業者でセキュリティ事業も手掛けるベライゾンジャパンは2015年5月14日、グローバルでのユーザー企業の「PCI DSS」への準拠状況について説明会を開いた（写真）。PCI DSSは、クレジットカード会社が策定した情報システムのセキュリティガイドライン。2014年の調査時点でPCI DSSに完全準拠していた企業は20％だった。また、準拠の認定から12カ月以内に再度評価を実施したところ、完全準拠の状態を維持していた企業は29％にとどまった。

　PCI DSSの準拠認定には、クレジットカードを扱う情報システムについて、全12項目のセキュリティ要件を満たす必要がある（記事末の表）。米ベライゾン・コミュニケーションズとベライゾンジャパンは認定審査機関であり、同社にアセスメントを依頼したユーザーについて実際に評価したデータを、PCI DSSへの準拠状況に関する調査レポートとして年に1回発行している。

　調査レポートによれば、PCI DSSの個々のセキュリティ要件を満たしている企業の割合は、年々向上している。しかし、まだ低いという。最新のデータである2014年時点で最も準拠率が高いのは要件7「データへのアクセスを制限する」で企業全体の89％。最も準拠率が低いのは要件11「セキュリティシステムをテストする」で33％である。

　クレジットカード情報を実際に漏洩させてしまった企業には、企業全体の平均と比較して目立つ共通の特徴がある。具体的には、要件6「（パッチを当てるなどして）安全なシステムを維持する」を満たした企業は1社もなく、要件10「ログを取りアクセスを追跡・監視する」を満たした企業も1社もなかった。これに対して全体平均では、要件6は64％の企業が、要件11は33％の企業が合格している。

小売業は繁忙期のテストがネック、攻撃はPOSへの侵入が1位

　調査レポートの最新版「2015年度版ペイメントカード業界コンプライアンス調査報告書」は、2014年時点のデータを反映したもの。ユーザー全体を通した分析レポートのほか、金融業界、小売業界、旅行・サービス業界に分けて分析レポートを公開している。

　業界別の特徴として、小売業界は全産業平均よりも準拠率が上回っていて優秀。ただし、要件11「セキュリティシステムをテストする」の準拠率は低く、全産業平均の27％を下回る18％となった。背景には、クリスマス商戦などの繁忙期にはシステムの安定稼働が最重要視されるため、セキュリティのためのシステムテストが行えないという状況がある。

　一方、金融業界は、小売業界と比べると全体的に劣る。特に、要件6「安全なシステムを維持する」は、全産業平均で41％であるのに対して20％しかない。背景には、レガシーシステムや個別にカスタマイズしたシステムが多く、最新のセキュリティ基準に合わせることが難しいという状況がある。

　クレジットカード情報を狙う不正攻撃のタイプについては、ユーザー企業内の個人を狙った標的型攻撃が増えている。また、情報漏洩を発生させたシステム要因のパターンでは、POSシステムへの侵入が28.5％で1位だった。米大手小売業のターゲット社の事例では、冷暖房設備ベンダーへの標的型攻撃から店舗のPOSシステムに不正プログラムをインストールされ、3週間で4000万件のクレジットカード情報が漏洩したという。

まずは準拠に必要な作業の規模を把握せよ

　PCI DSSに準拠しているユーザー企業はまだ少ないが、ベライゾンジャパン 事業開発本部 部長の岡田正人氏は、「セキュリティのベストプラクティスなので取り組んだほうがいい」と勧める。ユーザーには「コストが掛かるのではないか」という漠然とした懸念があるので、進め方に工夫が必要という。

　具体的には、まずはPCI DSSに準拠するためにどのくらいの作業が必要になるのか、どのくらいのコストが掛かるのかを調べることが先決だと指摘。多くの企業は、作業規模やコストを調べていないという。

　次に、セキュリティの範囲を特定し、これを狭める。必要のないデータを廃棄したり、難読化したり、データの管理をアウトソーシングしたりする。システム面でも、管理下にあるサーバーの台数を減らすといった工夫ができる。