※本記事は、マカフィー社 グループプロダクトマーケティングマネージャー Eric Schouによるものです。
多くの企業は、さらなる売上や収益をもたらさないIT対策は後回しにしがちです。その中のひとつとして、PCIコンプライアンスの維持があげられます。
取引量が増加すると、クレジットカード番号の保存、送信、追跡、監視が複雑になる傾向があります。企業のPCIコンプライアンスの状況には直接影響はないかもしれませんが、リスク軽減とコンプライアンス維持という課題から、企業は目をそらしてはなりません。PCI違反による罰金は、最も避けたいものであると同時に、万一クレジットカード番号が流出すれば、企業の評判に対するダメージや被害は、科せられる罰金を遙かに上回ることでしょう。
PCIコンプライアンス評価のヒント
以下にPCIコンプライアンスをチェックするポイントをあげてみます。
- 何人がPCIコンプライアンスの維持に従事しましたか。維持コストはいくらでしたか。
- 現在使用しているコンプライアンスソリューションはPCIの12のカテゴリーすべてを網羅していますか。ポイント製品を自社で統合していますか。ソリューションに関係しているベンダーは何社ですか。
- 保存容量は十分にありますか。ストレージはオンラインですか。送信の問題はありませんか。クレジットカードの取引ごとにIDを割り当てていますか。IDの割り当ては機能していますか。
- コンプライアンスの要件を満たすための自動化、拡張性を実現するプロセスは配備されていましたか。プロセスの成果はどうでしたか。
- どのような自動化のプラン、拡張性・管理容易性を実現するプランが進行中ですか。ビジネスの成長に合わせて、2011年の準備はできていますか。2012年以降についてはどうですか。
- レポーティングと管理のためのシングルコンソールを備えた、統合プラットフォームはありますか。
- 売上高は昨年よりも良くなりましたか。景気の改善に乗じて、ビジネスへの再投資を行う予定はありますか。顧客を守るため、同様の投資をコンプライアンスに対して行う予定はありますか。
PCIコンプライアンスソリューションで注目すべきこと
中規模・大規模の小売業業者の大半は、セキュリティおよびコンプライアンス管理の業務効率を高める方法を模索しています。これまで以上にコスト効率よく、会社と顧客の情報を保護するためのには、幅広いカテゴリーを網羅する総合的なコンプライアンスが必要です。
PCIのカテゴリーごとにポイント製品を使用するのは、効率的でも安全でもありません。しかも、負担は自社にかかってきます。12のカテゴリーすべてを網羅する製品を見つけ、可能であれば統合し、異なるインターフェースを習得し、製品ごとに専門家を雇い、複数のライセンスおよびベンダーとの関係を維持しながら、見過ごしがないよう、徹底しなければなりません。
しかも、製品が増えれば状況はさらに悪化します。PCIコンプライアンスを達成するには、販売業者とサービスプロバイダーは、12のカテゴリーで約180の要件に対応する必要があります。PCI標準の12のカテゴリーをできるだけ多く網羅するセキュリティおよびコンプライアンスソリューションを探してください。そうすれば、より包括的、統合的に情報を保護し、コンプライアンスを達成することができるでしょう。もちろん、ソリューションの品質そのものも重要です。
自動化により大量の取引処理を可能に
コンプライアンスの目標のひとつは、コンプライアンスを達成・証明するのに必要な人数を減らすことです。ビジネスが成功すれば、当然のことながら顧客数やデータ量が増えます。プロセスがマニュアルの場合、取引量がピークに達する時期には、コンプライアンスを最優先の問題にし続けることは難しくなります。監査人を雇わずに、増え続ける取引量をコスト効率よく処理するためには、自動化するしか方法はありません。
自動化を推進するに従って、増え続ける取引量を問題なく処理し、収入を増やすことに専念することができるでしょう。コンプライアンスは可能な限りシームレスで表に出ないようにしたいものですが、自動化を使って内部監査を行い、監査結果を外部の監査人に提出し、処理してもらうことができます。リテーラーの仕事は、PCIコンプライアンスの処理ではなく、販売と顧客へのサービス提供です。
統合管理により容易な管理を実現
コンプライアンス要件を処理するために複数のポイント製品を配備しているということは、管理コンソールも複数あるということです。結果、異なるコンソールをすべて管理するために、複数のスタッフを雇用しなければなりません。このような状況に対処するためには、社全体のセキュリティ、リスク、コンプライアンスの管理、レポーティングが可能な、PCIコンプライアンス達成に必要なツール、機能のルック・アンド・フィールに一貫性のある、コンソールがひとつに統合されたプラットフォーム製品を導入すべきでしょう。統合ソリューションの導入により、管理者1人で全てを管理できるようになります。また統合プラットフォームでは、ダッシュボード表示も可能になります。内部の監査人や管理者は、コンプライアンスの状況を一目で把握することができます。
2011年を継続的なコンプライアンスの年に
では、ROI(投資収益率)の面ではどうでしょうか。プロジェクトの成功を妨げる大きな壁のひとつは、投資収益(ROI)を実証することです。ROIを実証し、より高いレベルのITの説明責任の遂行を劇的に加速するためには、スケーラブルなプラットフォームを探す必要があります。
ソフトウェアは、自動化を実現する常に管理された環境を維持するものでなければなりません。変更を管理できる環境がなければ、自動化や効率化に投資を行っても、動くターゲットに照準を定めることになるため、ROIは少なくなります。逆に、一元化されたコンソールから変化を完全に把握できれば、ローカルサーバーと分散サーバーに対して、変更されたポリシーを選択的に施行し、すぐに効果を発揮させることが可能になります。
これまで特に評価を行ってこなかった企業は、今年こそPCIコンプライアンスの状況を調べることを勧めます。より大規模かつ包括的にコンプライアンスの管理に取り組み、ITインフラをカテゴリーごとに管理して、達成が困難なPCI要件をより効果的かつコスト効率よく満たし、PCIコンプライアンスを実証できるプランとビジョンを作成してください。
関連記事
- [2011/08/18] 継続的なコンプライアンスの達成に向けて
- [2010/11/25] 最適な企業セキュリティ-第4回:セキュリティ要素「自動化されたコンプライアンス」
※本ページの内容はMcAfee Blogの抄訳です。
原文:Did Your Company’s PCI Compliance Survive the Holidays?
