適切なサポートがあれば、開発者は組織をPCI DSS 4.0のより高い準拠レベルへと導くことができます
この記事のバージョンはもともと Zona Dに掲載されました。更新の上、こちらで公開しています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け付ける企業や組織(そのほとんどが該当します)のセキュリティに関するほぼ全てを変更します 。そして間違いなく、この更新は多くの企業にとって変革をもたらすでしょう。なぜなら、暗号化、認証、アクセス制御、鍵管理、その他のこれまで導入が遅れていた分野において、多くのセキュリティプロセスを更新し、おそらく新たな保護策を導入することを企業に義務付けるからです。
新たな要件の複雑さのため、組織は2025年3月までに要件を完全に満たす必要があります。しかし、その期限は多くの人が考えているよりも早く訪れます。実際、先見の明のある多くの企業は、開発者が今後のコンプライアンス対応の状況を乗り切れるよう、今まさに対策を講じ始めています。
対面式研修を超えて
組織の開発者は、インフラの大部分を支えるコードを記述するため、PCI DSS 4.0の新要件を実装する際の出発点として適しています。ただし、大半の開発者は、更新されたセキュリティ意識向上プログラムの一環としてスキル向上を図るため、戦略的な支援が必要となるでしょう。 これは、新たな基準が要求する最高水準のセキュリティを実装・維持するために必要な専門知識を確実に習得させるためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新し続けるよう求めています。 旧基準では、基本的なセキュリティプログラム、あるいは「チェックリストを埋める」だけの年次コンプライアンス研修で要件を満たせました。しかし新基準では、セキュリティ研修プログラムが自社の環境特有の脅威や脆弱性に対処することを要求するなど、はるかに高い水準が求められます。例えば、組織にとってID盗難が重大な問題である場合、研修ではその対策が扱われる必要があります。
最低限のトレーニングでは、実用的な観点からも新たな基準を満たす上でも、もはや不十分であることは明らかです。代わりに、組織は開発者に包括的かつ柔軟な学習パスを提供し、実際の日常業務にセキュリティのベストプラクティスを適用する方法を教える必要があります。 最低限のコンプライアンス対応を超えて、開発者がセキュリティを真に理解するために必要なリソースを提供することで、組織は開発者が全体的に優れたセキュリティ判断を下せるよう支援すると同時に、PCI DSS 4.0への準拠も達成できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に精通している領域を対象としていることです。 開発者がスキルを磨くために適切で関連性があり、よく知られたリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準とより大きな責任に向けて、開発者をより容易に準備させることができます。
PCI DSS 4.0 を活用した総合的なセキュリティ強化への道筋
開発者のニーズに優れたセキュリティ教育で対応することは、新たなPCI DSS 4.0基準を成功裏に満たすための鍵となるが、組織のサイバーセキュリティ強化に向けた取り組みはそこで終わる必要はない。 確かに要件は厳格ですが、大半の組織が対応に苦労することを踏まえれば、この取り組みを起点として、セキュリティ全般に関する意識向上と教育を推進しない理由はありません。 これは組織がコンプライアンス要件を満たすのに役立つだけでなく、ベストプラクティスを優先し、組織の全員が「セキュリティ最優先」という共通目標に向けて取り組むことを保証する、健全なセキュリティ文化の醸成にもつながります。
もちろん、学習曲線はありますが、開発者たちはその努力に同意するでしょう。エヴァンス・データ社の調査によると、世界中で積極的に活動している 1200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードを作成し、組織内でより優れたセキュリティ文化を確立するという概念を支持すると回答しています。 明らかに、開発者の大半は、安全なコーディングと、開発プロセスにおけるセキュリティの優先順位の見直しに向けた、戦略的かつ支援的な変化を歓迎しています。
PCI DSS 4.0で要求されるセキュリティ更新は、企業がセキュリティのベストプラクティスとトレーニングに投資し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会を提供する。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度のより高いレベルをより容易に達成できます。 これにより、開発者がより良い意思決定を行う力を持ち、組織全体のセキュリティ態勢を強化するセキュリティ文化の醸成が促進されます。これは、厳格化された新たなPCI DSS 4.0基準を超えても有効です。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンはもともと Zona Dに掲載されました。更新の上、こちらで公開しています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け付ける企業や組織(そのほとんどが該当します)のセキュリティに関するほぼ全てを変更します 。そして間違いなく、この更新は多くの企業にとって変革をもたらすでしょう。なぜなら、暗号化、認証、アクセス制御、鍵管理、その他のこれまで導入が遅れていた分野において、多くのセキュリティプロセスを更新し、おそらく新たな保護策を導入することを企業に義務付けるからです。
新たな要件の複雑さのため、組織は2025年3月までに要件を完全に満たす必要があります。しかし、その期限は多くの人が考えているよりも早く訪れます。実際、先見の明のある多くの企業は、開発者が今後のコンプライアンス対応の状況を乗り切れるよう、今まさに対策を講じ始めています。
対面式研修を超えて
組織の開発者は、インフラの大部分を支えるコードを記述するため、PCI DSS 4.0の新要件を実装する際の出発点として適しています。ただし、大半の開発者は、更新されたセキュリティ意識向上プログラムの一環としてスキル向上を図るため、戦略的な支援が必要となるでしょう。 これは、新たな基準が要求する最高水準のセキュリティを実装・維持するために必要な専門知識を確実に習得させるためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新し続けるよう求めています。 旧基準では、基本的なセキュリティプログラム、あるいは「チェックリストを埋める」だけの年次コンプライアンス研修で要件を満たせました。しかし新基準では、セキュリティ研修プログラムが自社の環境特有の脅威や脆弱性に対処することを要求するなど、はるかに高い水準が求められます。例えば、組織にとってID盗難が重大な問題である場合、研修ではその対策が扱われる必要があります。
最低限のトレーニングでは、実用的な観点からも新たな基準を満たす上でも、もはや不十分であることは明らかです。代わりに、組織は開発者に包括的かつ柔軟な学習パスを提供し、実際の日常業務にセキュリティのベストプラクティスを適用する方法を教える必要があります。 最低限のコンプライアンス対応を超えて、開発者がセキュリティを真に理解するために必要なリソースを提供することで、組織は開発者が全体的に優れたセキュリティ判断を下せるよう支援すると同時に、PCI DSS 4.0への準拠も達成できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に精通している領域を対象としていることです。 開発者がスキルを磨くために適切で関連性があり、よく知られたリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準とより大きな責任に向けて、開発者をより容易に準備させることができます。
PCI DSS 4.0 を活用した総合的なセキュリティ強化への道筋
開発者のニーズに優れたセキュリティ教育で対応することは、新たなPCI DSS 4.0基準を成功裏に満たすための鍵となるが、組織のサイバーセキュリティ強化に向けた取り組みはそこで終わる必要はない。 確かに要件は厳格ですが、大半の組織が対応に苦労することを踏まえれば、この取り組みを起点として、セキュリティ全般に関する意識向上と教育を推進しない理由はありません。 これは組織がコンプライアンス要件を満たすのに役立つだけでなく、ベストプラクティスを優先し、組織の全員が「セキュリティ最優先」という共通目標に向けて取り組むことを保証する、健全なセキュリティ文化の醸成にもつながります。
もちろん、学習曲線はありますが、開発者たちはその努力に同意するでしょう。エヴァンス・データ社の調査によると、世界中で積極的に活動している 1200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードを作成し、組織内でより優れたセキュリティ文化を確立するという概念を支持すると回答しています。 明らかに、開発者の大半は、安全なコーディングと、開発プロセスにおけるセキュリティの優先順位の見直しに向けた、戦略的かつ支援的な変化を歓迎しています。
PCI DSS 4.0で要求されるセキュリティ更新は、企業がセキュリティのベストプラクティスとトレーニングに投資し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会を提供する。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度のより高いレベルをより容易に達成できます。 これにより、開発者がより良い意思決定を行う力を持ち、組織全体のセキュリティ態勢を強化するセキュリティ文化の醸成が促進されます。これは、厳格化された新たなPCI DSS 4.0基準を超えても有効です。
この記事のバージョンはもともと Zona Dに掲載されました。更新の上、こちらで公開しています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け付ける企業や組織(そのほとんどが該当します)のセキュリティに関するほぼ全てを変更します 。そして間違いなく、この更新は多くの企業にとって変革をもたらすでしょう。なぜなら、暗号化、認証、アクセス制御、鍵管理、その他のこれまで導入が遅れていた分野において、多くのセキュリティプロセスを更新し、おそらく新たな保護策を導入することを企業に義務付けるからです。
新たな要件の複雑さのため、組織は2025年3月までに要件を完全に満たす必要があります。しかし、その期限は多くの人が考えているよりも早く訪れます。実際、先見の明のある多くの企業は、開発者が今後のコンプライアンス対応の状況を乗り切れるよう、今まさに対策を講じ始めています。
対面式研修を超えて
組織の開発者は、インフラの大部分を支えるコードを記述するため、PCI DSS 4.0の新要件を実装する際の出発点として適しています。ただし、大半の開発者は、更新されたセキュリティ意識向上プログラムの一環としてスキル向上を図るため、戦略的な支援が必要となるでしょう。 これは、新たな基準が要求する最高水準のセキュリティを実装・維持するために必要な専門知識を確実に習得させるためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新し続けるよう求めています。 旧基準では、基本的なセキュリティプログラム、あるいは「チェックリストを埋める」だけの年次コンプライアンス研修で要件を満たせました。しかし新基準では、セキュリティ研修プログラムが自社の環境特有の脅威や脆弱性に対処することを要求するなど、はるかに高い水準が求められます。例えば、組織にとってID盗難が重大な問題である場合、研修ではその対策が扱われる必要があります。
最低限のトレーニングでは、実用的な観点からも新たな基準を満たす上でも、もはや不十分であることは明らかです。代わりに、組織は開発者に包括的かつ柔軟な学習パスを提供し、実際の日常業務にセキュリティのベストプラクティスを適用する方法を教える必要があります。 最低限のコンプライアンス対応を超えて、開発者がセキュリティを真に理解するために必要なリソースを提供することで、組織は開発者が全体的に優れたセキュリティ判断を下せるよう支援すると同時に、PCI DSS 4.0への準拠も達成できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に精通している領域を対象としていることです。 開発者がスキルを磨くために適切で関連性があり、よく知られたリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準とより大きな責任に向けて、開発者をより容易に準備させることができます。
PCI DSS 4.0 を活用した総合的なセキュリティ強化への道筋
開発者のニーズに優れたセキュリティ教育で対応することは、新たなPCI DSS 4.0基準を成功裏に満たすための鍵となるが、組織のサイバーセキュリティ強化に向けた取り組みはそこで終わる必要はない。 確かに要件は厳格ですが、大半の組織が対応に苦労することを踏まえれば、この取り組みを起点として、セキュリティ全般に関する意識向上と教育を推進しない理由はありません。 これは組織がコンプライアンス要件を満たすのに役立つだけでなく、ベストプラクティスを優先し、組織の全員が「セキュリティ最優先」という共通目標に向けて取り組むことを保証する、健全なセキュリティ文化の醸成にもつながります。
もちろん、学習曲線はありますが、開発者たちはその努力に同意するでしょう。エヴァンス・データ社の調査によると、世界中で積極的に活動している 1200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードを作成し、組織内でより優れたセキュリティ文化を確立するという概念を支持すると回答しています。 明らかに、開発者の大半は、安全なコーディングと、開発プロセスにおけるセキュリティの優先順位の見直しに向けた、戦略的かつ支援的な変化を歓迎しています。
PCI DSS 4.0で要求されるセキュリティ更新は、企業がセキュリティのベストプラクティスとトレーニングに投資し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会を提供する。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度のより高いレベルをより容易に達成できます。 これにより、開発者がより良い意思決定を行う力を持ち、組織全体のセキュリティ態勢を強化するセキュリティ文化の醸成が促進されます。これは、厳格化された新たなPCI DSS 4.0基準を超えても有効です。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンはもともと Zona Dに掲載されました。更新の上、こちらで公開しています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け付ける企業や組織(そのほとんどが該当します)のセキュリティに関するほぼ全てを変更します 。そして間違いなく、この更新は多くの企業にとって変革をもたらすでしょう。なぜなら、暗号化、認証、アクセス制御、鍵管理、その他のこれまで導入が遅れていた分野において、多くのセキュリティプロセスを更新し、おそらく新たな保護策を導入することを企業に義務付けるからです。
新たな要件の複雑さのため、組織は2025年3月までに要件を完全に満たす必要があります。しかし、その期限は多くの人が考えているよりも早く訪れます。実際、先見の明のある多くの企業は、開発者が今後のコンプライアンス対応の状況を乗り切れるよう、今まさに対策を講じ始めています。
対面式研修を超えて
組織の開発者は、インフラの大部分を支えるコードを記述するため、PCI DSS 4.0の新要件を実装する際の出発点として適しています。ただし、大半の開発者は、更新されたセキュリティ意識向上プログラムの一環としてスキル向上を図るため、戦略的な支援が必要となるでしょう。 これは、新たな基準が要求する最高水準のセキュリティを実装・維持するために必要な専門知識を確実に習得させるためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新し続けるよう求めています。 旧基準では、基本的なセキュリティプログラム、あるいは「チェックリストを埋める」だけの年次コンプライアンス研修で要件を満たせました。しかし新基準では、セキュリティ研修プログラムが自社の環境特有の脅威や脆弱性に対処することを要求するなど、はるかに高い水準が求められます。例えば、組織にとってID盗難が重大な問題である場合、研修ではその対策が扱われる必要があります。
最低限のトレーニングでは、実用的な観点からも新たな基準を満たす上でも、もはや不十分であることは明らかです。代わりに、組織は開発者に包括的かつ柔軟な学習パスを提供し、実際の日常業務にセキュリティのベストプラクティスを適用する方法を教える必要があります。 最低限のコンプライアンス対応を超えて、開発者がセキュリティを真に理解するために必要なリソースを提供することで、組織は開発者が全体的に優れたセキュリティ判断を下せるよう支援すると同時に、PCI DSS 4.0への準拠も達成できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に精通している領域を対象としていることです。 開発者がスキルを磨くために適切で関連性があり、よく知られたリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準とより大きな責任に向けて、開発者をより容易に準備させることができます。
PCI DSS 4.0 を活用した総合的なセキュリティ強化への道筋
開発者のニーズに優れたセキュリティ教育で対応することは、新たなPCI DSS 4.0基準を成功裏に満たすための鍵となるが、組織のサイバーセキュリティ強化に向けた取り組みはそこで終わる必要はない。 確かに要件は厳格ですが、大半の組織が対応に苦労することを踏まえれば、この取り組みを起点として、セキュリティ全般に関する意識向上と教育を推進しない理由はありません。 これは組織がコンプライアンス要件を満たすのに役立つだけでなく、ベストプラクティスを優先し、組織の全員が「セキュリティ最優先」という共通目標に向けて取り組むことを保証する、健全なセキュリティ文化の醸成にもつながります。
もちろん、学習曲線はありますが、開発者たちはその努力に同意するでしょう。エヴァンス・データ社の調査によると、世界中で積極的に活動している 1200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードを作成し、組織内でより優れたセキュリティ文化を確立するという概念を支持すると回答しています。 明らかに、開発者の大半は、安全なコーディングと、開発プロセスにおけるセキュリティの優先順位の見直しに向けた、戦略的かつ支援的な変化を歓迎しています。
PCI DSS 4.0で要求されるセキュリティ更新は、企業がセキュリティのベストプラクティスとトレーニングに投資し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会を提供する。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度のより高いレベルをより容易に達成できます。 これにより、開発者がより良い意思決定を行う力を持ち、組織全体のセキュリティ態勢を強化するセキュリティ文化の醸成が促進されます。これは、厳格化された新たなPCI DSS 4.0基準を超えても有効です。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
