適切なサポートにより、開発者は組織を優れたPCI DSS 4.0準拠へと導くことができます。
この記事の原文は DZone.
Payment Card Industry Data Security Standard(PCI DSS)バージョン4.0は、電子決済を受け入れる企業や組織(その大部分)にとって、セキュリティに関するほとんどすべてを変えることになります。そして、間違いなく、このアップデートはほとんどの企業にとって変革的なものであり、セキュリティプロセスの多くをアップグレードする必要があり、暗号化、認証、アクセス制御、鍵管理、およびこれまで導入が遅れていたその他の領域に関する新たな保護を展開する可能性があります。
新しい要件は複雑なため、企業は2025年3月までに完全なコンプライアンスに対応することが求められている。しかし、その期限は多くの人が思っているよりも早くやってくる。実際、多くの先進的な企業は、開発者が保留中のコンプライアンス状況をナビゲートできるよう、今すぐにでも対策を講じている。
チェック・ザ・ボックスのトレーニングを超える
組織の開発者は、インフラストラクチャの多くが依存するコードを記述するため、新しい PCI DSS 4.0 要件を実装する際には、開発者から着手するのが理にかなっています。しかし、ほとんどの開発者は、最新のセキュリティ意識向上プログラムの一環として、スキルアップのための戦略的なサポートが必要になります。これは、新規格で要求されるより高いレベルのセキュリティを実装し、維持するために必要な経験を確保するためです。
実際、PCI DSS 4.0 の要件 12.6.2 は、組織に正式なセキュリティプログラムを実装し、最新の脅威情報と防御テクニックを常に更新するよう指示しています。旧基準では、基本的なセキュリティプログラム、または「チェック・ザ・ボックス」スタイルの年次コンプライ アンス研修でも目的を満たすことができました。この新基準は、それ以上のことを義務付けており、セキュリティ・トレーニング・プログラムが、企業環境内の特定の脅威や脆弱性に対応することまで要求している。例えば、IDの盗難が組織にとって大きな問題であれば、トレーニングはそれに対応する必要がある。
最小限のトレーニングでは、実用的な観点からも、新規格に準拠する観点からも、もはや十分でないことは明らかである。その代わりに、組織は開発者に対し、セキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的かつ機動的な学習経路を提供する必要がある。最低限のコンプライアンスにとどまらず、セキュリティを真に理解するために必要なリソースを開発者に提供することで、組織は、PCI DSS 4.0 に準拠しながら、開発者が全体としてより適切なセキュリティ判断を下せるようにすることができます。
PCI DSS 4.0 の新しい要件の多くは、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者がすでに慣れ親しんでいる分野を対象としていることは朗報です。開発者のスキルを向上させるために、適切かつ関連性のある身近なリソースが提供されれば、組織は PCI DSS 4.0 で要求される新しい基準や責任の増加に対する準備を容易に行うことができます。
PCI DSS 4.0を全体的なセキュリティ向上への道しるべとする
優れたセキュリティ教育によって開発者のニーズに対応することは、新しいPCI DSS 4.0基準への準拠を成功させるための鍵となりますが、組織をより良いサイバーセキュリティに向かわせるための取り組みをそこで終わらせる必要はありません。確かに、要件は厳格ですが、ほとんどの組織は要件に準拠するために努力する必要があるため、その努力を、全体的により良いセキュリティ意識とトレーニングを開始するための踏み台として利用しない理由はありません。そうすることで、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、組織内の全員が同じセキュリティ優先の目標に向かって取り組むような、積極的なセキュリティ文化を醸成することができる。
学習曲線があることは確かだが、開発者はこのような取り組みに賛同する可能性が高い。Evans Data 社が世界中で活躍しているプロの開発者 1,200 人以上を対象に実施した調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。ほとんどの開発者が、セキュアコーディングへの戦略的な移行と、開発プロセスの一部としてのセキュリティの再優先化を歓迎していることは明らかである。
PCI DSS 4.0によって義務付けられたセキュリティのアップグレードは、企業がセキュリティのベストプラクティスとトレーニングの改善に投資し、組織内により良い全体的なセキュリティ文化を受け入れるための絶好の口実を提供します。
開発者がセキュアコーディングのスキルを関連ツールやトレーニングに統合できるようなプログラムに投資すれば、開発者はより簡単にセキュリティ成熟度を高めることができます。これにより、開発者がより適切な判断を下せるようになり、PCI DSS 4.0 の厳格な新基準をはるかに超えて組織の全体的なセキュリティ態勢を改善できるような、セキュリティの文化が醸成されます。
。
マティアス・マドゥ博士
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
適切なサポートにより、開発者は組織を優れたPCI DSS 4.0準拠へと導くことができます。
この記事の原文は DZone.
Payment Card Industry Data Security Standard(PCI DSS)バージョン4.0は、電子決済を受け入れる企業や組織(その大部分)にとって、セキュリティに関するほとんどすべてを変えることになります。そして、間違いなく、このアップデートはほとんどの企業にとって変革的なものであり、セキュリティプロセスの多くをアップグレードする必要があり、暗号化、認証、アクセス制御、鍵管理、およびこれまで導入が遅れていたその他の領域に関する新たな保護を展開する可能性があります。
新しい要件は複雑なため、企業は2025年3月までに完全なコンプライアンスに対応することが求められている。しかし、その期限は多くの人が思っているよりも早くやってくる。実際、多くの先進的な企業は、開発者が保留中のコンプライアンス状況をナビゲートできるよう、今すぐにでも対策を講じている。
チェック・ザ・ボックスのトレーニングを超える
組織の開発者は、インフラストラクチャの多くが依存するコードを記述するため、新しい PCI DSS 4.0 要件を実装する際には、開発者から着手するのが理にかなっています。しかし、ほとんどの開発者は、最新のセキュリティ意識向上プログラムの一環として、スキルアップのための戦略的なサポートが必要になります。これは、新規格で要求されるより高いレベルのセキュリティを実装し、維持するために必要な経験を確保するためです。
実際、PCI DSS 4.0 の要件 12.6.2 は、組織に正式なセキュリティプログラムを実装し、最新の脅威情報と防御テクニックを常に更新するよう指示しています。旧基準では、基本的なセキュリティプログラム、または「チェック・ザ・ボックス」スタイルの年次コンプライ アンス研修でも目的を満たすことができました。この新基準は、それ以上のことを義務付けており、セキュリティ・トレーニング・プログラムが、企業環境内の特定の脅威や脆弱性に対応することまで要求している。例えば、IDの盗難が組織にとって大きな問題であれば、トレーニングはそれに対応する必要がある。
最小限のトレーニングでは、実用的な観点からも、新規格に準拠する観点からも、もはや十分でないことは明らかである。その代わりに、組織は開発者に対し、セキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的かつ機動的な学習経路を提供する必要がある。最低限のコンプライアンスにとどまらず、セキュリティを真に理解するために必要なリソースを開発者に提供することで、組織は、PCI DSS 4.0 に準拠しながら、開発者が全体としてより適切なセキュリティ判断を下せるようにすることができます。
PCI DSS 4.0 の新しい要件の多くは、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者がすでに慣れ親しんでいる分野を対象としていることは朗報です。開発者のスキルを向上させるために、適切かつ関連性のある身近なリソースが提供されれば、組織は PCI DSS 4.0 で要求される新しい基準や責任の増加に対する準備を容易に行うことができます。
PCI DSS 4.0を全体的なセキュリティ向上への道しるべとする
優れたセキュリティ教育によって開発者のニーズに対応することは、新しいPCI DSS 4.0基準への準拠を成功させるための鍵となりますが、組織をより良いサイバーセキュリティに向かわせるための取り組みをそこで終わらせる必要はありません。確かに、要件は厳格ですが、ほとんどの組織は要件に準拠するために努力する必要があるため、その努力を、全体的により良いセキュリティ意識とトレーニングを開始するための踏み台として利用しない理由はありません。そうすることで、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、組織内の全員が同じセキュリティ優先の目標に向かって取り組むような、積極的なセキュリティ文化を醸成することができる。
学習曲線があることは確かだが、開発者はこのような取り組みに賛同する可能性が高い。Evans Data 社が世界中で活躍しているプロの開発者 1,200 人以上を対象に実施した調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。ほとんどの開発者が、セキュアコーディングへの戦略的な移行と、開発プロセスの一部としてのセキュリティの再優先化を歓迎していることは明らかである。
PCI DSS 4.0によって義務付けられたセキュリティのアップグレードは、企業がセキュリティのベストプラクティスとトレーニングの改善に投資し、組織内により良い全体的なセキュリティ文化を受け入れるための絶好の口実を提供します。
開発者がセキュアコーディングのスキルを関連ツールやトレーニングに統合できるようなプログラムに投資すれば、開発者はより簡単にセキュリティ成熟度を高めることができます。これにより、開発者がより適切な判断を下せるようになり、PCI DSS 4.0 の厳格な新基準をはるかに超えて組織の全体的なセキュリティ態勢を改善できるような、セキュリティの文化が醸成されます。
。
