メルマガはこちらから

PAGE
TOP

2020年版ベライゾンペイメントセキュリティ報告書を発表

PR TIMES

ベライゾンジャパン合同会社
グローバル企業のわずか4社に1社が、カード会員の支払いデータを安全に保護

2020年版ベライゾンペイメントセキュリティ報告書(PSR)は、ペイメントセキュリティコンプライアンスへの準拠率が3年連続低下していることを裏付ける、ビジネスリーダーによる長期的なセキュリティ戦略の欠如を指摘



2020年版ベライゾンペイメントセキュリティ報告書 (PSR) ハイライト:
■グローバル企業のわずか27.9%が、ペイメントカード業界データセキュリティ基準(PCI DSS)への完全な準拠を維持
■2016年 (2017 PSRで報告) 以降、コンプライアンス準拠率の大幅(27.5ポイント)な低下
■根本原因として長期的戦略、リーダーシップ、そしてコミットメントの欠如を指摘
■ベライゾンペイメントセキュリティ報告書の10周年記念版

ベライゾンジャパン合同会社(東京都千代田区、代表執行役員社長 職務執行者:山崎隆太、以下「ベライゾン」)は、2020年版ベライゾンペイメントセキュリティ報告書(略称:2020 PSR )」を本日発表しました。本報告書では、グローバル企業における長期的なペイメントセキュリティ戦略と実行性の欠如によって、顧客のカード会員データが常に危険に晒されていることが指摘されています。また、多くの企業にとって優秀なCISOやセキュリティマネージャーを維持していくことが課題となっているのが現状で、これは企業・組織においてセキュリティに関わる長期的視点の欠如をもたらし、PCI DSSにおけるコンプライアンスへの持続的準拠に深刻な影響を及ぼしています。


2020年度ベライゾン データ漏洩/データ侵害調査報告書(略称:2020 DBIR)によると、支払データは依然としてサイバー犯罪者にとって最大の標的であり、収益性の高いターゲットの1つです。約10件中9件(86%)のデータ侵害が金銭的目的であることが明らかにされています。2020 DBIRによって分析された小売業界におけるセキュリティインシデントの99%は、犯罪使用のための支払いデータの取得に集中していました。

2020 PSRは、カード決済機能を提供する企業に向けてカード会員データの侵害や盗難から決済システムを保護するために策定されたPCI DSSに完全に準拠しているグローバル企業が平均で27.9%にすぎないことを指摘しています。さらに懸念されるのは、コンプライアンスへの準拠率が3年連続で低下し、2016年のピークから27.5パーセントポイント減少していることです。

ベライゾンビジネスのグローバルエンタープライズプレジデントであるSampath Sowmyanarayanは次のように述べています
「残念ながら、多くの企業は、長期的なデータセキュリティとコンプライアンスの取り組みを推進するにあたり、シニアビジネスリーダーからリソースとコミットメントを充分に得られていません。これは由々しきことです。昨今の新型コロナウイルスの蔓延により、消費者は従来の現金での決済から、カードやモバイルデバイスを使用した非接触型決済への移行を加速しています。これによってより多くの電子決済データが生成される中、消費者はこれらのデータの安全な保護に関して企業を信頼しています。支払いデータを処理するすべての企業は、ペイメントセキュリティを事業における継続的な優先事項として位置付ける必要があります。なぜなら、彼らは、顧客、サプライヤー、および消費者に対して、ペイメントセキュリティについて重要な責任を担っているからです」

2020 PSRの追加調査では、特にセキュリティテストに焦点をあてており、企業・組織のわずか半数強(51.9%)のみがセキュリティシステムとプロセス、および監視されていないシステムへのアクセスに関するテストに成功し、約3分の2がビジネスクリティカルなシステムへのアクセスを十分に追跡および監視していることについても報告されています。さらに、10の金融機関のうち7行(70.6%)だけが、重要な境界セキュリティ制御を維持していることが示されています。

Omdia社シニアリサーチディレクターのMaxineHoltは次のようにコメントしています
「この報告書は、ペイメントセキュリティの適切な管理に向けて、失敗を改善するために強力なリーダーシップが必要不可欠なことを企業・組織に示しています。この報告書は、『企業・組織がコンプライアンスを維持するためにセキュリティ戦略と組織戦略の整合性が不可欠である』というOmdiaの見解と一致しています。この場合、適切なレベルのペイメントセキュリティを提供するためにPCI DSS3.2.1が準拠の対象となります。長期的なデータセキュリティとコンプライアンスを策定・実行するためには、最高情報セキュリティ責任者、最高リスク責任者、最高コンプライアンス責任者など、多くの役割と責任を組み合わせていることが重要となります」

コンプライアンスの欠如は、組織の規模に関係なくすべてのビジネスに影響を与えます
本報告書は、中小企業(SMB)が支払いデータの保護に関して独自の課題に直面していることを指摘しています。中小企業では、一般的に大企業よりも処理および保存するカードデータが少なくなりますが、セキュリティのためのリソースと予算が少なく、PCI DSSへの準拠を維持するために利用できるリソースに課題があります。小規模な企業・組織では、多くの場合機密性の高いペイメントカードデータを保護するために必要な対策のために時間とコストがかかりすぎることが懸念されています。一方でSMBに対するデータ侵害のリスクは高いままであるため、PCIDSSコンプライアンスを維持することが不可欠となっています。

CISOが直面している継続的な課題
本報告書は、効果的で持続可能なセキュリティ戦略を設計、実装、維持する際にCISOが直面する課題と、これらの課題がコンプライアンスとデータセキュリティ管理の崩壊に最終的にどのようにつながるのかについても説明しています。これらの課題は技術的なものではなく、形式化されたプロセスの作成、セキュリティのビジネスモデルの構築、運用モデルとフレームワークの使用による適切なセキュリティ戦略の定義など、より成熟した管理スキルによって解決可能な課題であることがわかりました。

2020年度版ベライゾンペイメントセキュリティ報告書について
ベライゾンは、2010年ペイメントカード業界データセキュリティ基準(PCI DSS)の実際の価値とパフォーマンスに関する初めての調査報告書として、ペイメントセキュリティレポート(PSR)の発行を開始して以来、現在まで毎年発行しています。本レポートは、ベライゾンおよび他の5つの外部組織に属するPCIDSS認定セキュリティ評価者(QSA)によって収集されたグローバルデータに基づいています。

ベライゾンがどのように役立つかについての詳細は、こちらをご覧ください。
https://enterprise.verizon.com/products/security/security-advisory-services/payment-card-industry-compliance/