PCI-DSS 4.0準拠への準備
PCI-DSS要件をサポートするためのインフラとプロセスの評価
新しいPCI-DSS 4.0要件の主な更新とスケジュール
PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。
CISOがpci-dssの最新アップデートを優先すべき理由
これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。
DSS 4.0の発効日:2024年3月、2025年3月までに実現。
PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。
コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。
開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?
開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。
PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。
これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク(CHD)で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。
要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
- 職務や開発言語に関連したソフトウェアセキュリティについて。
- 安全なソフトウェア設計と安全なコーディング技術を含む。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。
同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している:
- 使用されている開発言語
- 安全なソフトウェア設計
- 安全なコーディング技術
- コードの脆弱性を発見するための技術/方法の使用
- 解決済みの脆弱性の再導入を防止するためのプロセス
さらに、開発者はすべての攻撃手法(要件 6.2.4.に概説されている)に精通しているべきである:
- SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
- バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
- 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
- API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)が含まれます。
- 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
- 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。
トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます:
- 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
- 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
- ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
- セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
PCI-DSS 4.0準拠への準備
PCI-DSS要件をサポートするためのインフラとプロセスの評価
新しいPCI-DSS 4.0要件の主な更新とスケジュール
PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。
CISOがpci-dssの最新アップデートを優先すべき理由
これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。
DSS 4.0の発効日:2024年3月、2025年3月までに実現。
PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。
コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。
開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?
開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。
PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。
これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク(CHD)で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。
要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
- 職務や開発言語に関連したソフトウェアセキュリティについて。
- 安全なソフトウェア設計と安全なコーディング技術を含む。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。
同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している:
- 使用されている開発言語
- 安全なソフトウェア設計
- 安全なコーディング技術
- コードの脆弱性を発見するための技術/方法の使用
- 解決済みの脆弱性の再導入を防止するためのプロセス
さらに、開発者はすべての攻撃手法(要件 6.2.4.に概説されている)に精通しているべきである:
- SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
- バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
- 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
- API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)が含まれます。
- 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
- 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。
トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます:
- 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
- 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
- ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
- セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。
