2017年には、小売業界でデータ漏洩が続出、スーパーのチェーンWhole Foods Marketや衣料品店のBrooks Brothers、The Buckle、Forever 21などをはじめとする数々の企業で情報セキュリティー事案が発生しました。
しかし、これらのうち少なくとも一部分は、小売業側がデータ漏洩問題に対して準備不足だったことが原因です。2017年11月に実施されたトリップワイヤの調査に対して、自分の属する組織に漏洩問題が生じた場合に備えて十分に実証済みの対策がある、と答えたセキュリティー責任者はわずか28%だったのです。
またベライゾンの2017年版ペイメントセキュリティーレポートに含まれている会社の半分近く(44%)が支払いカードのデータの継続的な保護ができておらず、またPCIの認証を受けながらデータ侵害があった会社の100%がPCIコンプライアンス監査で失敗しています。
2018年に決してデータ侵害の餌食とならないために小売業界ができることは何か?
チップやピン、エンドツーエンドの暗号化などの追加的な措置は、消費者にとって優れた保護機能です。
しかしそれでも、2018年には更なる防衛強化が賢明でしょう。悪意のある者が、小売業者に対する新しい攻撃方法を絶えず開発しているからです。 例えば、フォレスター・リサーチは、2018年には、サイバー犯罪者はPOS(point-of-sale)ランサムウェアを開発し、丸腰の小売業者をターゲットにデータを強制的に「人質」にとって「身代金」を強要するだろうと予測しています。
サイバー犯罪はとどまる気配を見せません。コンプライアンスの域を超えてシステムの「整合性」を確保し、維持するための包括的なアプローチを取ることで、小売業者は、多くの利益を得ることができます。
そのような措置をとれば、セキュリティインシデント、批判的な報道、顧客の怒り、重い罰金などから身を守るのに役立ちます。 たとえば、欧州連合(EU)の一般データ保護規制(GDPR)の場合、遵守しなかった場合、年間売上高の4%まで罰金を科される可能性があります。
その結果は弁護士費用や手厳しい報道よりも深刻な可能性があります。 Uberの最新のデータ侵害の開示に続いて、米国上院の民主党有力議員らは、データセキュリティ・侵害の通告を義務付ける法案(Data Security and Breach Notification Act)を導入しました。 この法律により、企業はデータ侵害を30日以内に報告する必要があります。 データ違反を個人が意図的に隠した場合、法律に基づき最高5年の懲役になる可能性があります。
マルチファクター認証のようなPCI要件は、企業がセキュリティーの正しいステップアップを図るのに役立ちます。 しかし、システムの整合性を維持するためには、戦略的で基本的な手順を実行する必要があります。
組織は、これをリストにチェックを入れるように手っ取り早く解決できるものではなく、もっと一連のビジネス出張のようなものととらえるべきです。 特定のツールや技術を云々するより前に、システムの「整合性」を維持するためにどのような基本的なステップを実行する必要があるかを検討する必要があります。
攻撃対象範囲を知ること
組織は、ネットワーク上にあるデバイスやソフトウェアを確実に把握する必要があります。 ネットワーク上に不正なデバイスがありますか? ネットワークに不正なソフトウェアや管理されていないソフトウェアで、環境にリスクをもたらすものはありますか?
そうすることで組織は、脆弱性や誤った設定にアクセスする可能性のある攻撃対象範囲、または相互作用点の合計を定義することができます。 攻撃対象範囲は、完全に認証され、認証された接続もカバーします。 実際、企業ネットワークとのあらゆるインタラクションは一定のリスクをもたらします。したがって、企業は、ビジネスにもたらされるリスクのレベルを理解するために、各接続ごとに文書化することが重要です。
攻撃対象範囲を最小化する
組織がネットワーク上の情報を把握したら、それらのデバイス、アプリケーション、およびオペレーティングシステムがすべて適切かつ安全に構成されていることを確認する必要があります。 業界のベストプラクティスと標準、および社内ポリシーに従って、定義された理想的で安全な状態に設定する必要があります。 これはしばしば、攻撃のスペースを減らすための「硬化」システムと呼ばれます。
ほとんどの企業IT環境ではインタラクションの数が多いため、企業のプロジェクトとして攻撃の可能性を減らすことはできません。それでも、彼らは利益を増幅するポイントをターゲットにすることはできます。また、脆弱性管理プログラムやその他のツールを見直して、これらのソリューションが攻撃対象範囲を把握できるように構成できるかどうかを判断する必要があります。
攻撃対象範囲を監視する
システムが適切に設定され、適切にパッチされたら、変更や新しいリスクがないかを監視する必要があります。 これには、脆弱性のチェックと修正、セキュアな構成の維持、管理権限の管理、ログデータへの注意などが含まれます。 管理者の権限とログ活動を追跡することで、疑わしい活動の特定・調査に役立ちます。
組織はこの情報の経過を時間を追って追跡すべきです。 そのプロセスからどのような傾向が見られたとしても、最終的にはそれがリスク削減のためのビジネス上の意思決定に役立ちます。 この傾向の貴社の意思決定者への伝え方については、ここをクリックしてください。
大規模なデータ侵害は、構成ミスの単純な問題や既知の脆弱性の修正が失敗したために発生します。 しかし、チェックリストの演習ではなく、強力なシステムインテグリティと適切なセキュリティの姿勢を戦略的かつ全体的に構築する必要があります。 そうなって初めて、組織はPCIとGDPRを効果的に遵守し、最も重要なことは重大なデータ侵害やサイバーインシデントに対するリスクを管理できることです。
PCIDSS要件11.5「ファイル整合性監視」の導入・運用効率化の勘所に興味がありますか? 2018年6月22日PCIDSSフォラム イベントへの参加をご検討下さい。 イベントの詳細はこちらでご覧いただけます。
トリップワイヤのソリューションが、PCIコンプライアンスの達成と維持にどのように役立つかに関する情報については、ここをクリックしてください。
