もしあなたが、企業のサイバーセキュリティあるいはデータ保護の責任者であるならば、是非作業をやめて、このレポートを読んでください。いや、その前に御社のサーバーとアプリケーションにパッチを適用して、それからお読みください。
ベライゾン社のデータ侵害調査レポート(DBIR)と同様に、ペイメントセキュリティ報告書(PSR)は、セキュリティのプロ必読の文書です。PSRでは、PCI DSSの基準に焦点を当て、その12の要件に対するコンプライアンスを考察していますが、その内容は、単に企業がPCIコンプライアンスにどのように対応しているかの説明に留まりません。
コンプライアンスに関する統計情報は、企業のペイメントカードデータ保護状況に関する驚くべき傾向を示すもので、非常に参考になります。この傾向を知ったCISOは、自分の会社がペイメントカードだけでなく、それ以外のデータをどのように保護しているのかを注意深く調査するようになるでしょう。重要なデータは、それがどのように利用されるかにかかわらず保護する必要があります。PCIの標準規格は広く適用可能であり、そのコントロールは、個人情報(PII)、個人医療記録(PHI)をはじめとする機密データに対しても有効です。
重要な発見:企業は脆弱性管理を怠っている
このレポートから私が発見した重要なポイントは、企業は「脆弱性管理プログラムの実装を怠っている」ということです。同レポートは、企業の3分の1以上が脆弱性スキャンの実行を確認していないか、実行していてもレポートを精査していないことが明らかにしています。これらの企業は、スキャンをまったく行っていないか、行っていたとしても効果がない可能性があります。さらに、28%の企業では、既知の脆弱性からシステムコンポーネントが保護されていないという結果が示されました。このことから、企業は自社環境内に存在する脆弱なシステムを把握しておらず、データの悪用や侵害に対する保護手段を何も講じていないことがわかります。
この結果には正直驚かされました。スキャン、レビューおよびパッチの適用は、比較的シンプルなプロセスであるからです。それらが簡単な作業であるとは言いませんが、脆弱性管理がセキュリティ体制に与えるポジティブな影響を考えれば、それは優先的に行うべきタスクであると言えるでしょう。
Vulnerability Management Program Best Practices(脆弱性管理プログラムのベストプラクティス)の記事やTripwireのセキュリティブログ「The State of Security」の脆弱性管理を解説するページをご一読ください。
大いなる発見-貴重なツールボックス
PSRをダウンロードしたとき、その内容は、おそらくベライゾンがいつも提供しているような貴重なデータの山であろうと想像していました。しかし実際には、セキュリティおよびコンプライアンス体制を改善するための方法が非常にわかりやすく紹介されており、これは嬉しい驚きでした。
私がまず気づいたのは、同レポートの焦点が、単なるツールのセットやベストプラクティスにではなく、データ保護のためのプログラムに置かれていたことです。プログラムは、ただ監査の合格を目的とするものではなく、継続的なコンプライアンスを確保し、データの保護を重視するものです。
さらに、ベライゾンは一歩進んで、このプログラムを確立し、その成熟度を測定するためのフレームワークを提供しています。ベライゾンの9-5-4フレームワーク(モデル)は、「コンプライアンスプログラムの9つの要素」、「プログラムを管理するうえでの5つの制約」、「4つの保証分野」というモデルの構成要素の数から名づけられています。この記事では、このモデルの詳細には触れませんが、その中でも一般的に応用できると思われる、5つの制約を次に紹介します。
• Capacity – 必要なリソースを確保しているか?(リソースを追加あるいは削減する)
• Capability – 能力を備えているか?(ツールおよびそれを操作する能力の増強)
• Competence – ツールを上手に使用できるか?(トレーニングの実施、あるいは技術者の補充)
• Commitment – 必要なサポートを得られているか?(データ保護の優先順位付け、プログラムの価値の説明)
• Communication – 意思伝達手段は整っているか?(組織内の上下方向だけでなく、組織全体にわたる意思伝達計画を策定する)
さらに、成熟度モデルについて説明している非常に有用なセクションもあります。この情報は汎用性が高く、非常に貴重です。このコンセプトは、情報セキュリティプログラム、DevSecOps成熟度計画など、成長の測定が求められるあらゆるプログラムに適用できます。
まとめ – このベライゾンのレポートを活用しよう
まずはベライゾンのレポートを読んでみることをお勧めしますが、実際の価値は、その推奨事項を実行することから得られます。データ保護が強化されることに加え、コンプライアンス監査の助けとなるでしょう。あなたの会社が、脆弱性管理プログラムを必要としている30%の企業に含まれるなら、Tripwireが脆弱性評価テクノロジー、専門知識、およびマネージドサービスを提供して、御社の成熟度とコンプライアンス遵守レベルの強化を支援します。
________________________________________
編集者注:Equilibrium社のブログRecent Verizon report shows worrying global drop in PCI Complianceも是非ご一読ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
