btzgrp
  • UnHackMeと呼ばれるアンチルートキットによってコンピュータがロックアウトされる - TechRepublic
Headlines

PCI DSSコンプライアンスは改善しているが、依然として最高水準には及ばない - TechRepublic

05 mins
PCI DSSコンプライアンスは改善しているが、依然として最高水準には及ばない - TechRepublic
ビジネス、テクノロジー、インターネット、そしてネットワーキングのコンセプト。オフィスでノートパソコンを使って仕事をしている若いビジネスウーマンが、仮想ディスプレイ上のセキュリティアイコンを選択している。
画像: Adob​​e Stock

2022年版Verizon決済セキュリティレポート第10版によると、PCIデータセキュリティ標準への準拠は2020年に大幅に改善されたものの、2016年の最高値からは依然として大きく下回っています。

データセキュリティのコンプライアンスは向上しているが、新しい標準により組織はさらに前進するだろう

「2017年から2019年にかけて3年間、完全準拠率が低下した後、組織はセキュリティ管理とガバナンスの改善に注力し、その結果、[PCI DSS標準の] 12の主要要件のうち6つで大幅な向上が達成された」と報告書は述べている。

報告書によると、決済業界におけるサイバー脅威の激化を受け、PCIセキュリティスタンダードカウンシルは2004年以来最も大胆なPCI DSS改訂を実施した。今年初めにリリースされたPCI DSSバージョン4.0は、2024年に発効する予定だ。

「最新のアップデートは、変化する環境においてデータセキュリティ管理が適切かつ効果的であり続けることを組織が保証するのに役立つだろう」と報告書は述べている。

このレポートでは、PCI DSS コンプライアンスの変更点の詳細に加えて、PCI DSS 標準バージョン 4.0 を実装する組織向けのロードマップも示しています。

「2004年のPCI DSS v1.0のリリース以来、ほとんどの組織は効果的で持続可能なペイメントカードデータセキュリティの実現と維持に苦慮し続けています」と報告書は述べています。「年間を通してPCI DSSのすべての要件を維持することに成功している組織は、年次評価の合格を目指して継続的な改善に取り組むのではなく、持続可能で綿密に練られた目標に基づいた戦略と設計を実行しています。」

参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

組織がデータセキュリティコンプライアンスを維持する方法

2022年のPSRによると、PCI DSSコンプライアンスは2020年に全体的に大幅に向上し、組織の43.4%が完全準拠を維持しており、過去最低だった2019年の27.9%から15.5%の改善となっています。しかし、これらの数値は、組織の55.4%が完全準拠していると報告した2016年に達成された過去最高からは大きく離れています。

セキュリティ管理の不足により57%の組織が中間検証評価に不合格となったにもかかわらず、セキュリティ管理ギャップは2019年の7.7%から2020年には4.0%に改善しました。レポートによると、管理ギャップとは、測定されたコンプライアンス状況と、必要な管理策が100%導入されている状況との差を指します。ギャップの数値が低いことは良好であり、高いことは不良です。

レポートでは、代替コントロールの使用が大幅に増加していることも指摘されており、世界中の組織の 30.1% が 1 つ以上の代替コントロールを適用しており、これは 2019 年の 24.7% から 5.4% の増加です。代替コントロールは、組織が PCI DSS に記載されている主要な要件を満たすことができない場合に使用されます。

組織が最も一貫して満たしている主要要件は、引き続き、データへのアクセス制限、転送中のデータの保護、悪意のあるソフトウェアからのネットワークの保護、そして物理的なアクセス制御です。レポートによると、80%以上の組織がこれらの主要要件を満たしています。

これに続いて、保存されたカード会員データの保護、アクセス認証、ファイアウォールの維持といった重要な要件が挙げられますが、これらの要件を満たしている組織はわずか70%です。

最もパフォーマンスが低い要件は、引き続き「セキュリティシステムの定期的なテスト」と「安全なシステムの開発と維持」です。レポートによると、これらの要件を維持している組織は70%未満です。

追加のレポート調査結果では、セキュリティ テストの改善が強調されており、セキュリティ システム、プロセス、監視されていないシステム アクセスのテストに成功した組織は、2019 年の 51.9% に対して 2020 年には 60.1% に増加しました。

「コンプライアンスの改善にもかかわらず、悪質な行為者は依然として存在し、かつてないほど強力になっていることはわかっています」と、ベライゾン・サイバー・セキュリティ・コンサルティングのグローバル・ビジネス・インテリジェンス責任者、シスケ・ヴァン・オーステン氏はプレスリリースで述べた。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

レポートについて

Verizon 2022 PSRレポートは、世界中の複数の認定セキュリティ評価会社(QSAC)からQSAが収集した定量データの分析に基づいています。本版のデータセットは、5つの情報源(うち4つはVerizon外部)に基づいています。

Tagged:

Related News