ニュース
» 2007年08月01日 17時45分 公開

米Visa、カードセキュリティ最前線を明かす(2/2 ページ)

[Evan Schuman,eWEEK]
eWEEK
前のページへ 1|2       

 禁止データを保有している事業者数が実際はもっと多いことは、別の要因からもうかがえる。Visaの報告書によれば、前述の割合は、調査の結果ではなく小売業者が同社に提出した書類を基に算出したものだ。つまり、小売事業者に禁止データを保管しているかと聞いたのは、書類の提出者にデータが保管されている事実を知っているか? と質問したのと同じことだったのである。

 今日の複雑な企業ネットワークでは、店舗運営やマーケティング、IT、会計といった各部門で情報が複製され、さまざまな場所に散らばっている。したがって、禁止データのコピーが不特定の場所に流出していないかと聞かれても、書類を提出したIT管理者には分かりようがない。

 「情報は複製されていないと、どうして確信を持って言えるだろう? だれかに『ドアを閉めたか』と聞かれ、『もちろんだ』と答えるとする。これは、閉まっていないことを発見するまではそう思っていたという意味なのだ」と語るのは、FTI Consultingの法務セキュリティコンサルタントで、米国司法省ハイテク犯罪科の前責任者であったマーク・ラッシュ氏だ。「トップ100に入る企業に『セキュリティ関連法を犯しているか』と聞いた場合にも、同じことが言えるだろう」(ラッシュ氏)

 Visaは30日、「Payment Card Industry Data Security Standard(PCI DSS)」に準拠している企業の最新の数字も明らかにした。こちらも、全分野において少しずつ堅調な進展が現れているという。同調査結果は、正式な監査に基づいたものだ。

 レベル1には、取引量や支払い引き受け経路数に関係なく、年間600万件を超えるVisaトランザクションを実行している事業者が含まれている。レベル2の事業者は、引き受け経路数に関係なく、年間100万から600万件までのVisaトランザクションを処理している。年間のVisa電子商取引トランザクション実行数が2万から100万件までの事業者はレベル3に、同様に2万件未満の事業者と、Visaトランザクションを年間100万件まで処理しているほかの事業者はレベル4に分類される。

 7月の調査では、レベル1事業者の40%が規制に準拠しているとの結果が出ており、Visaが2007年5月に発表した35%という数字を上回った。同グループの準拠率は、2006年5月の時点では18%に過ぎなかったという。

 また、「ROC(Report On Compliance)」を提出し、セキュリティの穴をふさぐことを宣言したレベル1事業者の割合は、7月の調査時点で50%増加していた。

 さらにVisaは今年5月、レベル1事業者の51%がROCの段階にまで到達していると発表したが、この際には実際にコンプライアンスを実現した同事業者の増加率はわずか1%だけだった。さらに、コンプライアンスの実現もそのための宣言もしていないレベル1事業者の割合は、5月の14%から7月には10%へ大幅に下がったと、Visaは述べている。

 レベル1より規模の小さい事業者が属するレベル2に関しては、5月の準拠率が26%で、7月は33%へ上昇した。同じくレベル3においては、5月の準拠率が51%、7月は少しだけ増えて52%となった。

 Visaはレベル4の現状を示す数字は公表していないが、同社のペレス氏は、「コンプライアンス率は低いと認識している」と話した。同グループのより詳細な結果は、間もなく明らかになる見込みだという。

 レベル4事業者は米国内最小規模のグループではあるものの、その数は極めて多く、全体で600万社に及ぶとペレス氏は説明した。レベル4事業者の取り引きは全Visaトランザクションの3分の1程度を占めているだけだが、データ侵害全体の約8割を引き起こしている。しかし、それほど多くの事件に関与している一方で、悪用された全クレジットカードに占めるレベル4事業者発行カードの割合は、5%を下回った。

 欧州では、小売業者から満足のいく支持を取り付けられなくなるのをおそれた一部のPCI団体が、独自に設定した準拠期限を延長し始めている。

 ラッシュ氏は、レベル1、レベル2、レベル3でPCIコンプライアンスが進展しているのを好ましい兆候と受け取り、「基準がこなれて来つつあり、企業もこれをより意識するようになった証拠」と述べた。「問題は、こうした傾向が小売詐欺の抑止に結びつくかどうかだ」(ラッシュ氏)

 Gartnerのリタン氏は、セキュリティコンプライアンス状況を明確にしているクレジットカード会社は、唯一Visaだけだと言う。「AmexやDiscover、MasterCardなどからは、何の情報も得られない」(リタン氏)

 CVV(Card Verification Value)番号を入れ替えてセキュリティ対策とする、非接触型クレジットカードの有効性を、Visaのペレス氏は強調している。「非接触カードでは、支払い時に使用されるCVVが毎回変わる。禁止データを保管しておく必要性をなくす1つの方法として、こうしたカードの採用が考えられるだろう」(ペレス氏)

前のページへ 1|2       

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ