国内企業のPCI DSS準拠率は世界でも最低レベル

カード情報漏えいに弱い業界とは？決済セキュリティーの現状

2015年05月14日 16時46分更新

文● 松野／ACSII.jp

ベライゾンジャパンがカード決済セキュリティーに関するラウンドテーブルを実施

　ベライゾンジャパンは5月14日、同社が2015年にまとめた調査報告書をもとに、国内の決済セキュリティーに関するプレス向けラウンドテーブルを実施した。

　報告書は、クレジットカード情報や取引情報を保護するために策定された国際的なセキュリティー基準「PCI データセキュリティ基準（PCI DSS）」の各業界における準拠状況と、準拠状況とデータ漏えいとの相関関係について調査した国内唯一のレポートとなる。昨年、アメリカなどで大規模なクレジットカード情報の漏えい事件が相次いだことにより、国内でも決済セキュリティーに関する関心は高まりつつある。

「カードデータはかつてないほどリスクに直面している」

国内におけるカード決済の比率は海外に比べ約18％と低いが、一人当たりのカード保有数は高く、国際的な大規模犯罪組織に市場を狙われる可能性はあるという

　ベライゾンジャパンはまず、「国内におけるカード決済の比率は海外に比べ約18％（欧米ではカード決済比率が60％前後）と低いが、ここ10年で2倍になっている」と指摘。さらに個人のカード保有枚数は平均で3枚を超えており、世界でも高水準なため、国内企業が大規模な犯罪組織の標的になる可能性は否定できないという。

昨年、米国では数千万人規模のカード情報が漏えいする事件が発生している

　一方で、日本全体でのPCI DSS準拠状況は、世界でも最低レベルだという。アジアだけで見ても、新興国は新しいシステムを導入しており、その準拠率は比較的高いようだ。企業が決済セキュリティーを重視すべき理由としては、米国では45％の人が家族や自分のクレジットカード不正利用の通知を受けるほど漏えい事件が大規模化していることや、消費者の69％がデータ漏えいを起こした企業の利用を控える傾向にあるというデータを挙げた。

取引などの機密情報も狙われる

　漏えい情報の内訳はクレジットカード情報（金銭目的）が10年間でトップだが、近年は機密情報（スパイ目的）の被害が急増している。主に狙われるのはPCのようなユーザー機器とサーバーで、これは個人の端末を踏み台にする標的型攻撃の急増が背景にあるとしている。2015年のデータでは、レジなどのPOSシステムへ侵入され、情報が盗まれる割合が約30％にものぼっているという。近年は対面での不正利用を防ぐEMV仕様のセキュリティー展開に従い、購入の際にカードを直接提示しないオンライン取引における不正利用が増加傾向にあるという。

　以上のような傾向から、同社は「カードデータはかつてないほどリスクに直面している」とし、国内企業にも速やかなPCI DSSの準拠率を高める取り組みを促している。ベライゾンジャパンのフォレンジックチームが過去10年間に調査したペイメントカードデータ漏えい・侵害事例のうち、発生時にPCI DSSに完全準拠していた企業は0％だったという。

金融業界のPCI DSS準拠率は他業界より低い？

小売業界は大規模漏えい事件の影響もあり、警戒度は高め

　レポートでは小売、金融、旅行・サービスの3業界を調査し、産業別のPCI DSS準拠状況を割り出している。小売業界は大規模な漏えい事件なども実際に起こっているということで、PCI DSSの要件ごとの準拠率は前年比で上昇している。ただしすべての要件を満たした完全準拠は約20％とまだまだ低く、再評価時に完全準拠の状態を維持していた企業は1/3未満と、持続性に問題があるという。

　PCI DSSの12の要件のうち、要件11「セキュリティーシステムおよびプロセスの定期的なテスト」の準拠率は最低で、前年比で唯一準拠率が低下している。実際にデータ漏えい被害に遭った企業は、要件6「安全性の高いシステムとアプリケーションを開発し、保守する」、要件10「ネットワークリソースおよび会員カードデータへのすべてのアクセスを追跡および監視する」の準拠率が0％だったという。

　ベライゾンジャパンは「小売業界は大規模な事件が起きたため、平均値は高い。ただしシーズンごとに繁忙期があり、システムに触らない期間を設けている。その期間に攻撃を受けると弱い、という慢性的な問題を抱えている」と指摘した。

金融業界は準拠率が他業界に比べて低い。システムインフラがカスタマイズされており、テストが難しいのだという

　金融業界は全体的に準拠率が低いが、これは業界の特性上、レガシーなシステムや個別カスタマイズをしたシステムが多く、セキュリティーホールに対する十分なテストが難しいという背景がある。要件6「安全性の高いシステムとアプリケーションを開発し、保守する」が3業界中で最も低く、クレジットカードを発行する立場でありながら、そのセキュリティー対策の状況には厳しいものがあるようだ。