退屈なPCI-DSS準拠を、誰にとっても有意義なエクササイズに変える。パート2 - CISOと開発者の意識

2020年4月17日発行
マティアス・マドゥ博士著
ケーススタディ

退屈なPCI-DSS準拠を、誰にとっても有意義なエクササイズに変える。パート2 - CISOと開発者の意識

2020年4月17日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。この最終章では、CTO と CISO が、サイバーリスクを低減し、プロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。パート1をご覧になりましたか? こちらをご覧ください。AppSecのスペシャリストがどのようにしてこのチャンスをつかみ、より良いセキュリティ成果を得ることができるかをご覧ください)。)

PCI-DSS のベストプラクティスは、間違いなく共通の責任ですが、CISO と CTO は、繁栄する積極的なセキュ リティプログラムを構築する上で、その大きな影響力をトップから活用することができます。CISO と CTO は、エンドユーザに対するサイバーセキュリティの信頼性とそれに関連する感情の代弁者であり、意識を早期に高めることで強力なトリクルダウン効果を発揮し、開発者や AppSec の専門家が社内の強固なセキュリティ体制に貢献するために必要な知識、ツール、サポートを得られるようにします。

コンプライアンスを維持することは重要ですが、全員が「なぜ」に賛同し、成果を実感し、適切な方法で育成されれば、プログラムは法律を超えて自然なものになります。

CTOとCISOは、相互の信頼関係を築く役割を担っている

最近、あるサイトにアクセスした際に、クレジットカードの詳細情報を渡すのをためらったことはありませんか?近所のピザ屋さんのオンライン注文に使われている怪しげなウェブアプリでもない限り、このような経験をすることはあまりないのではないでしょうか。

もちろん、データ違反を公表していなければの話ですが。

世界的な宿泊施設大手のマリオットは、3年以内に2回目の情報漏洩を公表し、今回は520万人の顧客記録が盗まれました。2018年に発生した大規模な情報漏えい事件では、3億8300万人の顧客が危険にさらされ、暗号化されていない500万人分のパスポート番号と800万人分のクレジットカード番号が盗まれましたが、今回は支払い情報はまだ盗まれていないようです。

マリオットブランドに対する顧客の信頼度がまだ低かったとしても、もうすぐ底をつくと言っても過言ではありません。このような事態に陥ると、CISOはサイバー脅威との戦いでカモにされているような気がして、夜も眠れなくなります。Equifax、Yahoo、Sony、Targetなど、大規模な情報漏洩に見舞われた大手企業の例を見ても、盗まれたデータ記録は数十億件、被害額は数千億ドルにのぼり、経済的には顧客の心に穴が開いたような状態になっています。企業にとっては最悪の事態であり(Target社は2014年の情報漏えい事件の後の四半期に4億4,000万ドルの減益を報告しています)、個人の責任は通常問われませんが(結局のところ、ソフトウェアのセキュリティは共有の責任であるべきなのです)、たまたま当時これらの組織で働いていたとしたら、輝かしい履歴書には書きたくないことです。

決済、センシティブなデータ、そして好意的な顧客感情という無形の金を扱う組織において、コンプライアンスを達成するために強固なセキュリティプログラムを見送ることは、企業がリスクを抱えているだけでなく、イノベーションに大きく遅れをとっていることを示しています。

お客様と組織の関係における信頼性の問題は、誰もが気になるはずです。

IT部門、開発部門、セキュリティ部門が侵害された後に直面するストレスや災難を別にすれば、信頼の要素は、新しい会社の長期的な成功や、既存の会社が継続的に成長するための主要な要素です。信頼を失った結果、会社が経済的に落ち込むことになれば、失うものは明らかに仕事です。

PCI-DSS規制は、企業に責任を負わせるものであり、上記の通り、これらの綿密な計画を無視することは非常に大きな意味を持ちます。しかし、PCI-DSS規制は、導入されたセキュリティプログラムとその中で働く人々によってのみ有効です。PCI-DSS規制に真剣に取り組み、意識を高く持ち、他の企業の模範となれば、非常に良い意味での差別化を図ることができます。

意識がすべてです。

セキュリティ意識向上プログラムが機能していないと、PCI に準拠しようとしてもほとんど意味がありません。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識が最も重要な部分を構成しています。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識をどのように部門横断的な役割で実施できるか、また、正しく実施している企業ではどのように見えるかについて、独自のトレーニングモジュールを提供しています。

セキュアなソフトウェア開発の現在のゴールドスタンダードであるDevSecOpsに向けて、共有責任としてのセキュリティが基本となりますが、企業は、ベンダーやコントラクターを含むすべての人がセキュリティを意識し、ベストプラクティスに従っていることを確認するために、時間、費用、労力を費やす必要があります。

セキュリティを意識した開発者は、コンプライアンスを意識した開発者である(そして、そこに到達することは退屈ではない

PCI-DSS に準拠した「認定」デベロッパーになることに関しては、明白な選択肢はそれほど多くありません。なぜでしょうか?それはおそらく、「1回で完了する」というわけにはいかないからでしょう。

OWASPは、一般的な脆弱性を阻止する方法を学ぶという点では、地球上で最も優れた組織の 1 つであり、そのトップ 10 は、開発者向けの PCI-DSS ガイドラインに正式に記載されています。しかし、セキュリティを常に念頭に置き、スキルを磨くには、時間と継続的な努力が必要です。しかし、セキュリティを意識してスキルを磨くには、時間と努力が必要です。

積極的なセキュリティ文化は、組織の中で「あればいい」というものではありません。セキュリティに真剣に取り組んでいるのであれば、それは会社の日常業務の一部である必要があります。

開発者は、脆弱性を阻止するための最前線にいます。開発者は、PCI-DSS に準拠するために必要なサポート、ツール、トレーニングを受けているでしょうか?

実際のところ、適切なトレーニングとは、よりシームレスなものであり、講義のように感じるべきではなく、日々行われている作業に大いに関連するものでなければなりません。そして、このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの機会なのです。

あなたのセキュアコーディングスキルを今すぐ試してみませんか? ミッションを選択してください.

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

退屈なPCI-DSS準拠を、誰にとっても有意義なエクササイズに変える。パート2 - CISOと開発者の意識

2024年1月22日発行
マティアス・マドゥ博士著

本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。この最終章では、CTO と CISO が、サイバーリスクを低減し、プロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。パート1をご覧になりましたか? こちらをご覧ください。AppSecのスペシャリストがどのようにしてこのチャンスをつかみ、より良いセキュリティ成果を得ることができるかをご覧ください)。)

PCI-DSS のベストプラクティスは、間違いなく共通の責任ですが、CISO と CTO は、繁栄する積極的なセキュ リティプログラムを構築する上で、その大きな影響力をトップから活用することができます。CISO と CTO は、エンドユーザに対するサイバーセキュリティの信頼性とそれに関連する感情の代弁者であり、意識を早期に高めることで強力なトリクルダウン効果を発揮し、開発者や AppSec の専門家が社内の強固なセキュリティ体制に貢献するために必要な知識、ツール、サポートを得られるようにします。

コンプライアンスを維持することは重要ですが、全員が「なぜ」に賛同し、成果を実感し、適切な方法で育成されれば、プログラムは法律を超えて自然なものになります。

CTOとCISOは、相互の信頼関係を築く役割を担っている

最近、あるサイトにアクセスした際に、クレジットカードの詳細情報を渡すのをためらったことはありませんか?近所のピザ屋さんのオンライン注文に使われている怪しげなウェブアプリでもない限り、このような経験をすることはあまりないのではないでしょうか。

もちろん、データ違反を公表していなければの話ですが。

世界的な宿泊施設大手のマリオットは、3年以内に2回目の情報漏洩を公表し、今回は520万人の顧客記録が盗まれました。2018年に発生した大規模な情報漏えい事件では、3億8300万人の顧客が危険にさらされ、暗号化されていない500万人分のパスポート番号と800万人分のクレジットカード番号が盗まれましたが、今回は支払い情報はまだ盗まれていないようです。

マリオットブランドに対する顧客の信頼度がまだ低かったとしても、もうすぐ底をつくと言っても過言ではありません。このような事態に陥ると、CISOはサイバー脅威との戦いでカモにされているような気がして、夜も眠れなくなります。Equifax、Yahoo、Sony、Targetなど、大規模な情報漏洩に見舞われた大手企業の例を見ても、盗まれたデータ記録は数十億件、被害額は数千億ドルにのぼり、経済的には顧客の心に穴が開いたような状態になっています。企業にとっては最悪の事態であり(Target社は2014年の情報漏えい事件の後の四半期に4億4,000万ドルの減益を報告しています)、個人の責任は通常問われませんが(結局のところ、ソフトウェアのセキュリティは共有の責任であるべきなのです)、たまたま当時これらの組織で働いていたとしたら、輝かしい履歴書には書きたくないことです。

決済、センシティブなデータ、そして好意的な顧客感情という無形の金を扱う組織において、コンプライアンスを達成するために強固なセキュリティプログラムを見送ることは、企業がリスクを抱えているだけでなく、イノベーションに大きく遅れをとっていることを示しています。

お客様と組織の関係における信頼性の問題は、誰もが気になるはずです。

IT部門、開発部門、セキュリティ部門が侵害された後に直面するストレスや災難を別にすれば、信頼の要素は、新しい会社の長期的な成功や、既存の会社が継続的に成長するための主要な要素です。信頼を失った結果、会社が経済的に落ち込むことになれば、失うものは明らかに仕事です。

PCI-DSS規制は、企業に責任を負わせるものであり、上記の通り、これらの綿密な計画を無視することは非常に大きな意味を持ちます。しかし、PCI-DSS規制は、導入されたセキュリティプログラムとその中で働く人々によってのみ有効です。PCI-DSS規制に真剣に取り組み、意識を高く持ち、他の企業の模範となれば、非常に良い意味での差別化を図ることができます。

意識がすべてです。

セキュリティ意識向上プログラムが機能していないと、PCI に準拠しようとしてもほとんど意味がありません。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識が最も重要な部分を構成しています。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識をどのように部門横断的な役割で実施できるか、また、正しく実施している企業ではどのように見えるかについて、独自のトレーニングモジュールを提供しています。

セキュアなソフトウェア開発の現在のゴールドスタンダードであるDevSecOpsに向けて、共有責任としてのセキュリティが基本となりますが、企業は、ベンダーやコントラクターを含むすべての人がセキュリティを意識し、ベストプラクティスに従っていることを確認するために、時間、費用、労力を費やす必要があります。

セキュリティを意識した開発者は、コンプライアンスを意識した開発者である(そして、そこに到達することは退屈ではない

PCI-DSS に準拠した「認定」デベロッパーになることに関しては、明白な選択肢はそれほど多くありません。なぜでしょうか?それはおそらく、「1回で完了する」というわけにはいかないからでしょう。

OWASPは、一般的な脆弱性を阻止する方法を学ぶという点では、地球上で最も優れた組織の 1 つであり、そのトップ 10 は、開発者向けの PCI-DSS ガイドラインに正式に記載されています。しかし、セキュリティを常に念頭に置き、スキルを磨くには、時間と継続的な努力が必要です。しかし、セキュリティを意識してスキルを磨くには、時間と努力が必要です。

積極的なセキュリティ文化は、組織の中で「あればいい」というものではありません。セキュリティに真剣に取り組んでいるのであれば、それは会社の日常業務の一部である必要があります。

開発者は、脆弱性を阻止するための最前線にいます。開発者は、PCI-DSS に準拠するために必要なサポート、ツール、トレーニングを受けているでしょうか?

実際のところ、適切なトレーニングとは、よりシームレスなものであり、講義のように感じるべきではなく、日々行われている作業に大いに関連するものでなければなりません。そして、このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの機会なのです。

あなたのセキュアコーディングスキルを今すぐ試してみませんか? ミッションを選択してください.

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。