PCI遵守してもオンラインセキュリティーは危うい

セキュリティー会社Trustwaveで
ネット犯罪関連の諜報にあたっているKarl Sigler氏は、
オンラインビジネスの危険を意識していない小売業者が
かなりいることを指摘している。

例えば米PCI （カード会社の国際協議会が設けたセキュリティー基準）を
遵守することが自社のセキュリティー対策の根幹としている米英の
小売り・金融業者のIT担当役員のうち
６８％は自社システムでデータ泥棒などの悪事を見抜くことができると信じている。

セキュリティーソフト会社Tripwire Inc.の依頼で
米調査会社 Dimensional Research とAtomic Research
及び英小売り・金融業界団体が行った共同調査の結果である。

回答者の89%が自社を狙ったネット犯罪を
３日以内に見抜く自信があると答えた。

また64%はネットワークへの違法侵入を見抜けると相当の自信を持っている。
最近ターゲット社に納品している小売業者のパスワードなどが盗まれ
110万人の顧客情報が外部に漏れたのはこのケースだ。

だた事実は業者の自信とは裏腹であることに、
セキュリティー専門家の意見は一致している。
Trustwave によると、被害経験のある企業の71%が、
悪事を自ら見抜くことができなかった。

また去年、犯罪の行われた日から業者が被害に気づくまでに
平均87日もかかた。また気がついてから事態を収拾するまでに
平均一週間も要している。

Tripwireの調査では、PCI遵守でカード保持者のデータは保護できても
業者側のリスクは無くならないことを理解していない業者がいることもわかった。
「PCI遵守を究極の安全とみなす業者が多いが、
実はセキュリティの基本にすぎない」（Singer氏）

一方犯罪者は、PCI遵守している企業はハッキングできないとは考えない。
Verizon社リスクチームのパートナーで
プロバイダーのコンピュータの科学的捜査を行っているChris Novak氏は言う。
「PCI遵守の会社だから攻撃はやめよう」と言うハッカーはいない。

実際PCIを遵守しただけではセキュリティーの隙間のすべては埋まらず、
犯罪者はそこに目をつけて侵入を試みる。

「セキュリティー関係者は始終システムの『窓』や『ドア』をチェックし、
鍵のかかていないところや開けっぱなしの部分が無いことをを確認しすべきだ」
とNovak氏は言う。
「業者が見逃した一カ所を、犯罪者は必ず見つけ出すから」。

About the Author: Editor