TOPNetwork > カード情報のセキュリティ基準PCI DSSへの準拠に潜む真の...

Network

カード情報のセキュリティ基準PCI DSSへの準拠に潜む真の問題は(後)

2018/01/11

Thor Olavsrud CIO

 例えば、ある企業がネットワークのセグメント化を適切に行っているとする。カード所有者のデータを他のデータとは別個に保持し、必要になった時に最小限のデータにのみアクセスできるようにしている。基本的かつ強固なセキュリティ体制だ。しかし、その企業の環境が変わった時にはどうだろうか。例えば、新たな支店ができたり、Wi-Fiルーターを新たに導入したり、提携先企業を変えたりといった変化があった時だ。PCI DSSへの準拠を達成目標と捉えている企業の場合は、次回の監査に先立って外部の評価担当者から問題を指摘されるまでは、問題を放置することになる。一方、PCI DSSへの準拠をプロセスと捉えている企業の場合は、環境が変わった後もセグメント化が損なわれていないことを、自ら立ち戻って確認することになる。

 「統制項目が有効であることと正確であることは違う。基本的なレジリエンスと堅牢性が肝心だ。変化は必然的に起きる。統制項目に必ず食い違いが生じる。レジリエンスが必要だ」とvan Oosten氏は言う。

持続可能性のあるデータ防御

 レポートによると、企業が満たす必要があるPCI DSSの統制項目(セキュリティテストやペネトレーションテストなど)で、実際には満たされていないものが多くあった。しかも事態は悪化している。暫定評価を通過できなかった企業で欠けていた統制項目は、2015年は平均で全体の12.4%だったが、2016年は13.0%となった。

 Simonetti氏は次のように言う。「もはや、データ防御が必要かどうかという問題ではない。持続可能性のあるデータ防御をいかにして実現するかが問題だ。PCI DSSの各統制項目に個別に目を向けている企業は依然として多く、それらが互いに関連しているという意識がない。統制項目のライフサイクル管理という考え方が欠けていることがあまりに多い。これは往々にして、熟練したプロフェッショナルが社内で不足していることに原因がある。だが、我々の経験からすると、外部の専門家からライフサイクルの指導を受けることで、社内の熟達度は劇的に向上する」

↑ページ先頭へ