PCI-DSS 4.0は思ったよりも早く登場し、組織のサイバー耐性を向上させる好機となります。

2023年6月30日発行
ピーテル・ダンヒョウ著
ケーススタディ

PCI-DSS 4.0は思ったよりも早く登場し、組織のサイバー耐性を向上させる好機となります。

2023年6月30日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る
ノートパソコンのキーボードの上に置かれたカラフルなクレジットカード。
ノートパソコンのキーボードの上に置かれたカラフルなクレジットカード。

この記事のバージョンは セキュリティ・ブールバード.

今年の初め、PCIセキュリティ基準評議会はPayment Card Industry Data Security Standard(PCI-DSS)のバージョン4.0を発表した組織が4.0に完全に準拠する必要があるのは2025年3月までですが、今回の更新はこれまでで最も大きな変革であり、ほとんどの企業は複雑なセキュリティプロセスや技術スタックの要素を評価(およびおそらくアップグレード)する必要があります。これに加えて、役割ベースのセキュリティ意識向上トレーニングや、開発者向けのセキュアコーディング教育を定期的に実施する必要がある。

これは、BFSI分野の企業にとって、セキュリティ・プログラムを本格的に強化し、人材主導のサイバー回復力の新時代を切り開く絶好の機会となる。 

PCI-DSS 4.0に対応するための最大の課題は何ですか?

組織のセキュリティ・プログラムが、そのビジネス・ニーズと利用可能なリソースに固有の複雑さを伴う包括的なものであるのと同様に、PCI-DSS の新基準は多くの分野をカバーしています。ツール、脅威、戦略、およびコンプライアンス対策が瞬時に変化する可能性のある業界において、これは重要なことです。

PCI-DSS 4.0 は、厳密なセキュリティのベストプラクティスという同じ目標を達成する方法はたくさんある という概念を取り入れています。assessment これは事実ですが、高度なセキュリティ成熟度を持つ組織に最も適しているように思われ、特に、社内の真のセキュリティ成熟度について現実的でない組織にとっては、多くのエラーの余地が残されています。結局のところ、企業は、一度限りの「セット・アンド・フェザー」ではなく、継続的かつ進化するプロセスとしてセキュリティに取り組む覚悟が必要である。強固なセキュリティ文化が必須であり、組織全体でセキュリティ意識向上に取り組む必要がある。 

また、コードレベルのツール、つまり開発集団は、デジタル資産やトランザクションを扱うあらゆるビジネス環境で、コンプライアンスに準拠した安全なソフトウェアを提供できるようにしなければならない。 

開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?

開発者は、ソフトウェア・セキュリティの卓越した状態を実現するために不可欠な存在であり、これは特に、形だけの PCI-DSS コンプライアンスにとどまりません。開発者が PCI-DSS 4.0 の全体像を理解し、ソフトウェア構築の既定のアプローチの一部として統合することが極めて重要です。 

開発チームにとって最も重要な変更点は3つある:

  • 認証:アクセス制御の実行可能な計画は、常に PCI コンプライアンスの重要な部分でしたが、バージョン 4.0 では、社内外での慎重な実装が必要となる方法で、これを一段と強化します。多要素認証(MFA)が標準となり、パスワードの複雑さやタイムアウトに関するルールも強化される。

    認証とアクセス・コントロールのセキュリティ問題は、平均的な開発者が直面する可能性のある最も一般的な問題であるため、実際のコードでこれらの問題を特定し、修正できるよう、正確なトレーニングを実施することが不可欠である。

  • 暗号化と鍵の管理私たちは、オンライン・バンキングなど、複数のアクセス・ポイントから最も機密性の高い情報にアクセスできる世界で活動しています。このような高価値のデータを危険にさらすため、暗号化と強力な暗号技術の実践は必須です。開発者は、情報がどこに送信され、ユーザーがどのようにアクセスできるのか、そして万が一情報が悪人の手に渡ったとしても、脅威行為者によって読み取られないようにするための最新の知識を確実に身につけなければなりません。

  • 悪意のあるソフトウェア: 以前のガイドラインでは、悪意のあるコードからのソフトウェア保護に関するセキュリティ管理は「ウイルス対策ソフトウェア」と呼ばれていたが、これはウイルスだけでなく、はるかに多くのものから保護する多層的なアプローチであるべきものを単純化しすぎている。アンチマルウェア・ソリューションは必要なところに適用されなければならず、継続的なロギングとモニタリングは必須である。

    また、開発者が脆弱なコンポーネントを特定するための学習経路を持つことも不可欠であり、特に、ほとんどのコードベースが少なくとも部分的にはサードパーティのコードに依存している現状ではなおさらである。

開発者にとって「十分な」トレーニングとは何か?  

以前の推奨事項と同様に、PCI-DSS 4.0 では、開発者は「少なくとも」毎年トレーニングを受けることが提案されています。しかし、セキュアなソフトウェアを作成するためのタッチポイントが年に 1 回で十分であるという意味合いであれば、それは十分とは言えず、より安全でコンプライアンスに準拠したソフトウェアを作成することにはつながらないでしょう。 

開発者教育は、OWASP トップ 10 のほか、言語に関連する脆弱性やビジネス上重要な脆弱性についての基礎教育から始めるべきである。この教育は、継続的なプログラムの一環として実施し、スキルを継続的に向上させ、セ キュリティを当初からソフトウエア開発に組み込むだけでなく、開発者の考え方や役割に対す るアプローチにも組み込むようにする。さらに、開発要員とその上司に対して、役割と責任を明確に示す必要がある。セキュリティは共有責任であるべきだが、期待されることを文書化し、それが適切に満たされるようにするのは当然のことである。

PCI-DSS 4.0 準拠の準備にかかるリードタイムがあれば、セキュリティ文化の改善を組織全体で大きく前進させることができます。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

PCI-DSS 4.0は思ったよりも早く登場し、組織のサイバー耐性を向上させる好機となります。

2024年1月22日発行
Pieter Danhieux著

この記事のバージョンは セキュリティ・ブールバード.

今年の初め、PCIセキュリティ基準評議会はPayment Card Industry Data Security Standard(PCI-DSS)のバージョン4.0を発表した組織が4.0に完全に準拠する必要があるのは2025年3月までですが、今回の更新はこれまでで最も大きな変革であり、ほとんどの企業は複雑なセキュリティプロセスや技術スタックの要素を評価(およびおそらくアップグレード)する必要があります。これに加えて、役割ベースのセキュリティ意識向上トレーニングや、開発者向けのセキュアコーディング教育を定期的に実施する必要がある。

これは、BFSI分野の企業にとって、セキュリティ・プログラムを本格的に強化し、人材主導のサイバー回復力の新時代を切り開く絶好の機会となる。 

PCI-DSS 4.0に対応するための最大の課題は何ですか?

組織のセキュリティ・プログラムが、そのビジネス・ニーズと利用可能なリソースに固有の複雑さを伴う包括的なものであるのと同様に、PCI-DSS の新基準は多くの分野をカバーしています。ツール、脅威、戦略、およびコンプライアンス対策が瞬時に変化する可能性のある業界において、これは重要なことです。

PCI-DSS 4.0 は、厳密なセキュリティのベストプラクティスという同じ目標を達成する方法はたくさんある という概念を取り入れています。assessment これは事実ですが、高度なセキュリティ成熟度を持つ組織に最も適しているように思われ、特に、社内の真のセキュリティ成熟度について現実的でない組織にとっては、多くのエラーの余地が残されています。結局のところ、企業は、一度限りの「セット・アンド・フェザー」ではなく、継続的かつ進化するプロセスとしてセキュリティに取り組む覚悟が必要である。強固なセキュリティ文化が必須であり、組織全体でセキュリティ意識向上に取り組む必要がある。 

また、コードレベルのツール、つまり開発集団は、デジタル資産やトランザクションを扱うあらゆるビジネス環境で、コンプライアンスに準拠した安全なソフトウェアを提供できるようにしなければならない。 

開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?

開発者は、ソフトウェア・セキュリティの卓越した状態を実現するために不可欠な存在であり、これは特に、形だけの PCI-DSS コンプライアンスにとどまりません。開発者が PCI-DSS 4.0 の全体像を理解し、ソフトウェア構築の既定のアプローチの一部として統合することが極めて重要です。 

開発チームにとって最も重要な変更点は3つある:

  • 認証:アクセス制御の実行可能な計画は、常に PCI コンプライアンスの重要な部分でしたが、バージョン 4.0 では、社内外での慎重な実装が必要となる方法で、これを一段と強化します。多要素認証(MFA)が標準となり、パスワードの複雑さやタイムアウトに関するルールも強化される。

    認証とアクセス・コントロールのセキュリティ問題は、平均的な開発者が直面する可能性のある最も一般的な問題であるため、実際のコードでこれらの問題を特定し、修正できるよう、正確なトレーニングを実施することが不可欠である。

  • 暗号化と鍵の管理私たちは、オンライン・バンキングなど、複数のアクセス・ポイントから最も機密性の高い情報にアクセスできる世界で活動しています。このような高価値のデータを危険にさらすため、暗号化と強力な暗号技術の実践は必須です。開発者は、情報がどこに送信され、ユーザーがどのようにアクセスできるのか、そして万が一情報が悪人の手に渡ったとしても、脅威行為者によって読み取られないようにするための最新の知識を確実に身につけなければなりません。

  • 悪意のあるソフトウェア: 以前のガイドラインでは、悪意のあるコードからのソフトウェア保護に関するセキュリティ管理は「ウイルス対策ソフトウェア」と呼ばれていたが、これはウイルスだけでなく、はるかに多くのものから保護する多層的なアプローチであるべきものを単純化しすぎている。アンチマルウェア・ソリューションは必要なところに適用されなければならず、継続的なロギングとモニタリングは必須である。

    また、開発者が脆弱なコンポーネントを特定するための学習経路を持つことも不可欠であり、特に、ほとんどのコードベースが少なくとも部分的にはサードパーティのコードに依存している現状ではなおさらである。

開発者にとって「十分な」トレーニングとは何か?  

以前の推奨事項と同様に、PCI-DSS 4.0 では、開発者は「少なくとも」毎年トレーニングを受けることが提案されています。しかし、セキュアなソフトウェアを作成するためのタッチポイントが年に 1 回で十分であるという意味合いであれば、それは十分とは言えず、より安全でコンプライアンスに準拠したソフトウェアを作成することにはつながらないでしょう。 

開発者教育は、OWASP トップ 10 のほか、言語に関連する脆弱性やビジネス上重要な脆弱性についての基礎教育から始めるべきである。この教育は、継続的なプログラムの一環として実施し、スキルを継続的に向上させ、セ キュリティを当初からソフトウエア開発に組み込むだけでなく、開発者の考え方や役割に対す るアプローチにも組み込むようにする。さらに、開発要員とその上司に対して、役割と責任を明確に示す必要がある。セキュリティは共有責任であるべきだが、期待されることを文書化し、それが適切に満たされるようにするのは当然のことである。

PCI-DSS 4.0 準拠の準備にかかるリードタイムがあれば、セキュリティ文化の改善を組織全体で大きく前進させることができます。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。