Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

PCI DSSはやはり準拠維持が難しい

PCI DSS 考えてみた。

日本語版は最近は出てなかった気がしますが、ベライゾンのレポートは、セキュリティ関係の方であれば目を通しておいても良いものだと思います。

news.mynavi.jp

ベライゾンジャパンは10月1日、「2018年版ベライゾンペイメントセキュリティ報告書」を発表した。同報告書は、2016年から2017年にかけて、同社の認定セキュリティ評価機関が、PCIデータセキュリティスタンダード(PCI DSS)の評価を行う過程で収集したデータを基に分析を行ったもの。


調査の結果、PCI DSSへの完全準拠の割合が、前回は55.4%だったところ、今回は52.5%と減少したことが明らかになった。この結果は地域によって差異があり、77.8%のアジア太平洋地域の企業が完全準拠を達成する一方、ヨーロッパ(46.4%)や北中南米(39.7%)の準拠率は低調となっているという。

業種別では、ITサービスが最も準拠率が高く、4分の3を超える企業(77.8%)が完全準拠を達成している。また、小売業(56.3%)および金融サービス(47.9%)は、準拠状態の維持率が最も低かったサービス業(38.5%)を大きく引き離している。


ただし、米Verizon Executive Director, Global Security ServicesのBrain Sartin氏は「PCI DSSに基づくコンプライアンスは、必ずしも安全であることを意味しない」と指摘する。なお、同社が調査したペイメントカードのデータ漏洩においては、2010年以来、情報漏洩を起こした企業・組織は漏洩した時点でPCI DSSへの準拠が完全ではなかったという。

マイナビニュース記事より引用)

 

◆キタきつねの所感

ベライゾンは、レポートの日本語完全翻訳はしてないのですが、エグゼクティブサマリーがドリームニュースなどで紹介されていました。

 

2018年版ベライゾンペイメントセキュリティ報告書を発表 PCIコンプライアンスの完全準拠率6年ぶりの低下を報告 | ベライゾンジャパン | プレスリリース配信代行サービス『ドリームニュース』

 

いかにも英語から翻訳された文章なので、日本語が読みづらいのですが、サマリーを読むと昨今のセキュリティインシデントの動向と乖離してないデータが出てきたと言えそうです。

 

まず注目すべきなのは、完全準拠の比率が落ちたことかも知れません。

f:id:foxcafelate:20181007071926j:plain

全世界のデータとして、2つの要素があるかと思います。1つがサイバー攻撃、小学生がハッカーとなる位に一般(コモディ)化していて、防衛側が追いついて無い事の影響です。もう1つが特に新たに認定を受けた組織が、その維持(正確には更なるセキュリティ対策)の意味を真剣に考えて無いという事です。

アジアではPCI DSS準拠組織は増えており、高い準拠維持率を誇りますが、日本の組織(加盟店)の多くはカード情報非保持に舵を切ったので、この数字の中にあまり含まれません。

 

サービス業の維持率が低いのは、EquifaxやUberFacebookなどカード情報だけでなくあらやる情報が集約されるプラットフォーム事業者を狙ってハッカーが攻撃している部分もあるでしょう。またFinTech系の企業は自社のサービス立ち上げに一生懸命ではありますが、Zaifテックビューロ)やコインチェックの例を見るまでもなく、そのセキュリティは公表している事を真摯に実施してない所、例えばホットウォレットを狙われて大きな事件を起こしています。

事故までは至らないまでも、ヒヤリハットまで考えるともっと多いでしょうし、カード情報漏えい事件(の可能性)が発生しても『報告してない=隠蔽している』組織も結構あると思います。

 

では何故、PCI DSSの準拠維持が難しいのか、、、やはり監査を通す為の活動になっているからだと思います。IT監査に携わった事がある人ならお分かりになるかも知れませんが、監査員が限られた時間でチェックされた結果でしかありません。言い方を変えれば、監査員に事前に揃えられた『綺麗な証跡』を見せるかインタビューで『やってます』と答え続ける事で、監査は通ってしまう事もあります。優秀な監査官であれば、それを踏まえた上で様々なチェックをする訳ですが、残念ながら年1回の監査で出チェックできる事は限られており、それだからこそ、日常のルーチンワークにおけるセキュリティ維持(PCI DSSではBusiness As Usualという言葉で説明されています)が重要なのです。

 

監査員をごまかして、あるいは自己問診表(SAQ)を適当にやっていますと書いた回答を通す事で、準拠はできるかも知れませんが、外部のハッカー(あるいは内部犯行者)は脆弱点を探して攻撃をしてくるのであり、そこには形式上、セキュリティをやってますという認定や証明は意味をなさなくなってきているのです。

 

そうした意味において、

PCI DSSに基づくコンプライアンスは、必ずしも安全であることを意味しない」と指摘する。

というベライゾンの言う事は正しく、『少なくてもやっておくべき事』、この考え方でPCI DSSに取り組む事が重要なのだと思います。

 

日本は・・・PCI DSSの概念(要求されている背景)を理解せずに、安易にカード情報非保持を選択している組織が多く、実装ミスや、どこかに消し忘れのデータがある事が事件になる事が未だに続いてます。

 

つまり、もっと大きな事件が出てきてしまう可能性は高いかも知れません。

 

参考:レポート(英語)はこちら。

www.verizonenterprise.com

 

モバイル決済のイラスト

 

更新履歴

  • 2018年10月7日AM(予約投稿)