PCI-DSS 4.0準拠への準備
PCI-DSS要件をサポートするためのインフラとプロセスの評価
新しいPCI-DSS 4.0要件の主な更新とスケジュール
PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。
CISOがpci-dssの最新アップデートを優先すべき理由
これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。
DSS 4.0の発効日:2024年3月、2025年3月までに実現。
PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。
コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。
開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?
開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。
PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。
これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク(CHD)で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。
要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
- 職務や開発言語に関連したソフトウェアセキュリティについて。
- 安全なソフトウェア設計と安全なコーディング技術を含む。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。
同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している:
- 使用されている開発言語
- 安全なソフトウェア設計
- 安全なコーディング技術
- コードの脆弱性を発見するための技術/方法の使用
- 解決済みの脆弱性の再導入を防止するためのプロセス
さらに、開発者はすべての攻撃手法(要件 6.2.4.に概説されている)に精通しているべきである:
- SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
- バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
- 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
- API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)が含まれます。
- 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
- 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。
トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます:
- 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
- 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
- ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
- セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
PCI-DSS要件をサポートするためのインフラとプロセスの評価
新しいPCI-DSS 4.0要件の主な更新とスケジュール
PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。
CISOがpci-dssの最新アップデートを優先すべき理由
これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。
DSS 4.0の発効日:2024年3月、2025年3月までに実現。
PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。
コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。
開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?
開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。
PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。
これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク(CHD)で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。
要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
- 職務や開発言語に関連したソフトウェアセキュリティについて。
- 安全なソフトウェア設計と安全なコーディング技術を含む。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。
同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している:
- 使用されている開発言語
- 安全なソフトウェア設計
- 安全なコーディング技術
- コードの脆弱性を発見するための技術/方法の使用
- 解決済みの脆弱性の再導入を防止するためのプロセス
さらに、開発者はすべての攻撃手法(要件 6.2.4.に概説されている)に精通しているべきである:
- SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
- バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
- 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
- API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)が含まれます。
- 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
- 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。
トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます:
- 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
- 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
- ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
- セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。
PCI-DSS要件をサポートするためのインフラとプロセスの評価
新しいPCI-DSS 4.0要件の主な更新とスケジュール
PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。
CISOがpci-dssの最新アップデートを優先すべき理由
これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。
DSS 4.0の発効日:2024年3月、2025年3月までに実現。
PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。
コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。
開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?
開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。
PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。
これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク(CHD)で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。
要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
- 職務や開発言語に関連したソフトウェアセキュリティについて。
- 安全なソフトウェア設計と安全なコーディング技術を含む。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。
同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している:
- 使用されている開発言語
- 安全なソフトウェア設計
- 安全なコーディング技術
- コードの脆弱性を発見するための技術/方法の使用
- 解決済みの脆弱性の再導入を防止するためのプロセス
さらに、開発者はすべての攻撃手法(要件 6.2.4.に概説されている)に精通しているべきである:
- SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
- バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
- 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
- API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)が含まれます。
- 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
- 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。
トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます:
- 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
- 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
- ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
- セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
PCI-DSS要件をサポートするためのインフラとプロセスの評価
新しいPCI-DSS 4.0要件の主な更新とスケジュール
PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。
CISOがpci-dssの最新アップデートを優先すべき理由
これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。
DSS 4.0の発効日:2024年3月、2025年3月までに実現。
PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。
コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。
開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか?
開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。
PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。
これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク(CHD)で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。
要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
- 職務や開発言語に関連したソフトウェアセキュリティについて。
- 安全なソフトウェア設計と安全なコーディング技術を含む。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。
同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している:
- 使用されている開発言語
- 安全なソフトウェア設計
- 安全なコーディング技術
- コードの脆弱性を発見するための技術/方法の使用
- 解決済みの脆弱性の再導入を防止するためのプロセス
さらに、開発者はすべての攻撃手法(要件 6.2.4.に概説されている)に精通しているべきである:
- SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
- バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
- 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
- API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)が含まれます。
- 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
- 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。
トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます:
- 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
- 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
- ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
- セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
