Transformer la fastidieuse conformité à la norme PCI-DSS en un exercice pertinent pour tous : partie 2 - Sensibilisation des responsables de la sécurité informatique et des développeurs
本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。この最終章では、CTO と CISO が、サイバーリスクを低減し、プロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。パート1をご覧になりましたか? こちらをご覧ください。AppSecのスペシャリストがどのようにしてこのチャンスをつかみ、より良いセキュリティ成果を得ることができるかをご覧ください)。)
PCI-DSS のベストプラクティスは、間違いなく共通の責任ですが、CISO と CTO は、繁栄する積極的なセキュ リティプログラムを構築する上で、その大きな影響力をトップから活用することができます。CISO と CTO は、エンドユーザに対するサイバーセキュリティの信頼性とそれに関連する感情の代弁者であり、意識を早期に高めることで強力なトリクルダウン効果を発揮し、開発者や AppSec の専門家が社内の強固なセキュリティ体制に貢献するために必要な知識、ツール、サポートを得られるようにします。
コンプライアンスを維持することは重要ですが、全員が「なぜ」に賛同し、成果を実感し、適切な方法で育成されれば、プログラムは法律を超えて自然なものになります。
CTOとCISOは、相互の信頼関係を築く役割を担っている
最近、あるサイトにアクセスした際に、クレジットカードの詳細情報を渡すのをためらったことはありませんか?近所のピザ屋さんのオンライン注文に使われている怪しげなウェブアプリでもない限り、このような経験をすることはあまりないのではないでしょうか。
もちろん、データ違反を公表していなければの話ですが。
世界的な宿泊施設大手のマリオットは、3年以内に2回目の情報漏洩を公表し、今回は520万人の顧客記録が盗まれました。2018年に発生した大規模な情報漏えい事件では、3億8300万人の顧客が危険にさらされ、暗号化されていない500万人分のパスポート番号と800万人分のクレジットカード番号が盗まれましたが、今回は支払い情報はまだ盗まれていないようです。
マリオットブランドに対する顧客の信頼度がまだ低かったとしても、もうすぐ底をつくと言っても過言ではありません。このような事態に陥ると、CISOはサイバー脅威との戦いでカモにされているような気がして、夜も眠れなくなります。Equifax、Yahoo、Sony、Targetなど、大規模な情報漏洩に見舞われた大手企業の例を見ても、盗まれたデータ記録は数十億件、被害額は数千億ドルにのぼり、経済的には顧客の心に穴が開いたような状態になっています。企業にとっては最悪の事態であり(Target社は2014年の情報漏えい事件の後の四半期に4億4,000万ドルの減益を報告しています)、個人の責任は通常問われませんが(結局のところ、ソフトウェアのセキュリティは共有の責任であるべきなのです)、たまたま当時これらの組織で働いていたとしたら、輝かしい履歴書には書きたくないことです。
決済、センシティブなデータ、そして好意的な顧客感情という無形の金を扱う組織において、コンプライアンスを達成するために強固なセキュリティプログラムを見送ることは、企業がリスクを抱えているだけでなく、イノベーションに大きく遅れをとっていることを示しています。
お客様と組織の関係における信頼性の問題は、誰もが気になるはずです。
IT部門、開発部門、セキュリティ部門が侵害された後に直面するストレスや災難を別にすれば、信頼の要素は、新しい会社の長期的な成功や、既存の会社が継続的に成長するための主要な要素です。信頼を失った結果、会社が経済的に落ち込むことになれば、失うものは明らかに仕事です。
PCI-DSS規制は、企業に責任を負わせるものであり、上記の通り、これらの綿密な計画を無視することは非常に大きな意味を持ちます。しかし、PCI-DSS規制は、導入されたセキュリティプログラムとその中で働く人々によってのみ有効です。PCI-DSS規制に真剣に取り組み、意識を高く持ち、他の企業の模範となれば、非常に良い意味での差別化を図ることができます。
意識がすべてです。
セキュリティ意識向上プログラムが機能していないと、PCI に準拠しようとしてもほとんど意味がありません。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識が最も重要な部分を構成しています。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識をどのように部門横断的な役割で実施できるか、また、正しく実施している企業ではどのように見えるかについて、独自のトレーニングモジュールを提供しています。
セキュアなソフトウェア開発の現在のゴールドスタンダードであるDevSecOpsに向けて、共有責任としてのセキュリティが基本となりますが、企業は、ベンダーやコントラクターを含むすべての人がセキュリティを意識し、ベストプラクティスに従っていることを確認するために、時間、費用、労力を費やす必要があります。
セキュリティを意識した開発者は、コンプライアンスを意識した開発者である(そして、そこに到達することは退屈ではない
PCI-DSS に準拠した「認定」デベロッパーになることに関しては、明白な選択肢はそれほど多くありません。なぜでしょうか?それはおそらく、「1回で完了する」というわけにはいかないからでしょう。
OWASPは、一般的な脆弱性を阻止する方法を学ぶという点では、地球上で最も優れた組織の 1 つであり、そのトップ 10 は、開発者向けの PCI-DSS ガイドラインに正式に記載されています。しかし、セキュリティを常に念頭に置き、スキルを磨くには、時間と継続的な努力が必要です。しかし、セキュリティを意識してスキルを磨くには、時間と努力が必要です。
積極的なセキュリティ文化は、組織の中で「あればいい」というものではありません。セキュリティに真剣に取り組んでいるのであれば、それは会社の日常業務の一部である必要があります。
開発者は、脆弱性を阻止するための最前線にいます。開発者は、PCI-DSS に準拠するために必要なサポート、ツール、トレーニングを受けているでしょうか?
実際のところ、適切なトレーニングとは、よりシームレスなものであり、講義のように感じるべきではなく、日々行われている作業に大いに関連するものでなければなりません。そして、このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの機会なのです。
あなたのセキュアコーディングスキルを今すぐ試してみませんか? ミッションを選択してください.
Il s'agit de la deuxième partie d'une mini-série sur la conformité PCI-DSS au sein d'une organisation. Dans ce dernier chapitre, nous expliquons comment les directeurs techniques et les responsables de la sécurité informatique peuvent jouer un rôle de premier plan en matière de réduction des cyberrisques et de rendre le processus fluide, efficace... et peut-être un peu amusant pour les développeurs.
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。この最終章では、CTO と CISO が、サイバーリスクを低減し、プロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。パート1をご覧になりましたか? こちらをご覧ください。AppSecのスペシャリストがどのようにしてこのチャンスをつかみ、より良いセキュリティ成果を得ることができるかをご覧ください)。)
PCI-DSS のベストプラクティスは、間違いなく共通の責任ですが、CISO と CTO は、繁栄する積極的なセキュ リティプログラムを構築する上で、その大きな影響力をトップから活用することができます。CISO と CTO は、エンドユーザに対するサイバーセキュリティの信頼性とそれに関連する感情の代弁者であり、意識を早期に高めることで強力なトリクルダウン効果を発揮し、開発者や AppSec の専門家が社内の強固なセキュリティ体制に貢献するために必要な知識、ツール、サポートを得られるようにします。
コンプライアンスを維持することは重要ですが、全員が「なぜ」に賛同し、成果を実感し、適切な方法で育成されれば、プログラムは法律を超えて自然なものになります。
CTOとCISOは、相互の信頼関係を築く役割を担っている
最近、あるサイトにアクセスした際に、クレジットカードの詳細情報を渡すのをためらったことはありませんか?近所のピザ屋さんのオンライン注文に使われている怪しげなウェブアプリでもない限り、このような経験をすることはあまりないのではないでしょうか。
もちろん、データ違反を公表していなければの話ですが。
世界的な宿泊施設大手のマリオットは、3年以内に2回目の情報漏洩を公表し、今回は520万人の顧客記録が盗まれました。2018年に発生した大規模な情報漏えい事件では、3億8300万人の顧客が危険にさらされ、暗号化されていない500万人分のパスポート番号と800万人分のクレジットカード番号が盗まれましたが、今回は支払い情報はまだ盗まれていないようです。
マリオットブランドに対する顧客の信頼度がまだ低かったとしても、もうすぐ底をつくと言っても過言ではありません。このような事態に陥ると、CISOはサイバー脅威との戦いでカモにされているような気がして、夜も眠れなくなります。Equifax、Yahoo、Sony、Targetなど、大規模な情報漏洩に見舞われた大手企業の例を見ても、盗まれたデータ記録は数十億件、被害額は数千億ドルにのぼり、経済的には顧客の心に穴が開いたような状態になっています。企業にとっては最悪の事態であり(Target社は2014年の情報漏えい事件の後の四半期に4億4,000万ドルの減益を報告しています)、個人の責任は通常問われませんが(結局のところ、ソフトウェアのセキュリティは共有の責任であるべきなのです)、たまたま当時これらの組織で働いていたとしたら、輝かしい履歴書には書きたくないことです。
決済、センシティブなデータ、そして好意的な顧客感情という無形の金を扱う組織において、コンプライアンスを達成するために強固なセキュリティプログラムを見送ることは、企業がリスクを抱えているだけでなく、イノベーションに大きく遅れをとっていることを示しています。
お客様と組織の関係における信頼性の問題は、誰もが気になるはずです。
IT部門、開発部門、セキュリティ部門が侵害された後に直面するストレスや災難を別にすれば、信頼の要素は、新しい会社の長期的な成功や、既存の会社が継続的に成長するための主要な要素です。信頼を失った結果、会社が経済的に落ち込むことになれば、失うものは明らかに仕事です。
PCI-DSS規制は、企業に責任を負わせるものであり、上記の通り、これらの綿密な計画を無視することは非常に大きな意味を持ちます。しかし、PCI-DSS規制は、導入されたセキュリティプログラムとその中で働く人々によってのみ有効です。PCI-DSS規制に真剣に取り組み、意識を高く持ち、他の企業の模範となれば、非常に良い意味での差別化を図ることができます。
意識がすべてです。
セキュリティ意識向上プログラムが機能していないと、PCI に準拠しようとしてもほとんど意味がありません。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識が最も重要な部分を構成しています。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識をどのように部門横断的な役割で実施できるか、また、正しく実施している企業ではどのように見えるかについて、独自のトレーニングモジュールを提供しています。
セキュアなソフトウェア開発の現在のゴールドスタンダードであるDevSecOpsに向けて、共有責任としてのセキュリティが基本となりますが、企業は、ベンダーやコントラクターを含むすべての人がセキュリティを意識し、ベストプラクティスに従っていることを確認するために、時間、費用、労力を費やす必要があります。
セキュリティを意識した開発者は、コンプライアンスを意識した開発者である(そして、そこに到達することは退屈ではない
PCI-DSS に準拠した「認定」デベロッパーになることに関しては、明白な選択肢はそれほど多くありません。なぜでしょうか?それはおそらく、「1回で完了する」というわけにはいかないからでしょう。
OWASPは、一般的な脆弱性を阻止する方法を学ぶという点では、地球上で最も優れた組織の 1 つであり、そのトップ 10 は、開発者向けの PCI-DSS ガイドラインに正式に記載されています。しかし、セキュリティを常に念頭に置き、スキルを磨くには、時間と継続的な努力が必要です。しかし、セキュリティを意識してスキルを磨くには、時間と努力が必要です。
積極的なセキュリティ文化は、組織の中で「あればいい」というものではありません。セキュリティに真剣に取り組んでいるのであれば、それは会社の日常業務の一部である必要があります。
開発者は、脆弱性を阻止するための最前線にいます。開発者は、PCI-DSS に準拠するために必要なサポート、ツール、トレーニングを受けているでしょうか?
実際のところ、適切なトレーニングとは、よりシームレスなものであり、講義のように感じるべきではなく、日々行われている作業に大いに関連するものでなければなりません。そして、このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの機会なのです。
あなたのセキュアコーディングスキルを今すぐ試してみませんか? ミッションを選択してください.
本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。この最終章では、CTO と CISO が、サイバーリスクを低減し、プロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。パート1をご覧になりましたか? こちらをご覧ください。AppSecのスペシャリストがどのようにしてこのチャンスをつかみ、より良いセキュリティ成果を得ることができるかをご覧ください)。)
PCI-DSS のベストプラクティスは、間違いなく共通の責任ですが、CISO と CTO は、繁栄する積極的なセキュ リティプログラムを構築する上で、その大きな影響力をトップから活用することができます。CISO と CTO は、エンドユーザに対するサイバーセキュリティの信頼性とそれに関連する感情の代弁者であり、意識を早期に高めることで強力なトリクルダウン効果を発揮し、開発者や AppSec の専門家が社内の強固なセキュリティ体制に貢献するために必要な知識、ツール、サポートを得られるようにします。
コンプライアンスを維持することは重要ですが、全員が「なぜ」に賛同し、成果を実感し、適切な方法で育成されれば、プログラムは法律を超えて自然なものになります。
CTOとCISOは、相互の信頼関係を築く役割を担っている
最近、あるサイトにアクセスした際に、クレジットカードの詳細情報を渡すのをためらったことはありませんか?近所のピザ屋さんのオンライン注文に使われている怪しげなウェブアプリでもない限り、このような経験をすることはあまりないのではないでしょうか。
もちろん、データ違反を公表していなければの話ですが。
世界的な宿泊施設大手のマリオットは、3年以内に2回目の情報漏洩を公表し、今回は520万人の顧客記録が盗まれました。2018年に発生した大規模な情報漏えい事件では、3億8300万人の顧客が危険にさらされ、暗号化されていない500万人分のパスポート番号と800万人分のクレジットカード番号が盗まれましたが、今回は支払い情報はまだ盗まれていないようです。
マリオットブランドに対する顧客の信頼度がまだ低かったとしても、もうすぐ底をつくと言っても過言ではありません。このような事態に陥ると、CISOはサイバー脅威との戦いでカモにされているような気がして、夜も眠れなくなります。Equifax、Yahoo、Sony、Targetなど、大規模な情報漏洩に見舞われた大手企業の例を見ても、盗まれたデータ記録は数十億件、被害額は数千億ドルにのぼり、経済的には顧客の心に穴が開いたような状態になっています。企業にとっては最悪の事態であり(Target社は2014年の情報漏えい事件の後の四半期に4億4,000万ドルの減益を報告しています)、個人の責任は通常問われませんが(結局のところ、ソフトウェアのセキュリティは共有の責任であるべきなのです)、たまたま当時これらの組織で働いていたとしたら、輝かしい履歴書には書きたくないことです。
決済、センシティブなデータ、そして好意的な顧客感情という無形の金を扱う組織において、コンプライアンスを達成するために強固なセキュリティプログラムを見送ることは、企業がリスクを抱えているだけでなく、イノベーションに大きく遅れをとっていることを示しています。
お客様と組織の関係における信頼性の問題は、誰もが気になるはずです。
IT部門、開発部門、セキュリティ部門が侵害された後に直面するストレスや災難を別にすれば、信頼の要素は、新しい会社の長期的な成功や、既存の会社が継続的に成長するための主要な要素です。信頼を失った結果、会社が経済的に落ち込むことになれば、失うものは明らかに仕事です。
PCI-DSS規制は、企業に責任を負わせるものであり、上記の通り、これらの綿密な計画を無視することは非常に大きな意味を持ちます。しかし、PCI-DSS規制は、導入されたセキュリティプログラムとその中で働く人々によってのみ有効です。PCI-DSS規制に真剣に取り組み、意識を高く持ち、他の企業の模範となれば、非常に良い意味での差別化を図ることができます。
意識がすべてです。
セキュリティ意識向上プログラムが機能していないと、PCI に準拠しようとしてもほとんど意味がありません。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識が最も重要な部分を構成しています。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識をどのように部門横断的な役割で実施できるか、また、正しく実施している企業ではどのように見えるかについて、独自のトレーニングモジュールを提供しています。
セキュアなソフトウェア開発の現在のゴールドスタンダードであるDevSecOpsに向けて、共有責任としてのセキュリティが基本となりますが、企業は、ベンダーやコントラクターを含むすべての人がセキュリティを意識し、ベストプラクティスに従っていることを確認するために、時間、費用、労力を費やす必要があります。
セキュリティを意識した開発者は、コンプライアンスを意識した開発者である(そして、そこに到達することは退屈ではない
PCI-DSS に準拠した「認定」デベロッパーになることに関しては、明白な選択肢はそれほど多くありません。なぜでしょうか?それはおそらく、「1回で完了する」というわけにはいかないからでしょう。
OWASPは、一般的な脆弱性を阻止する方法を学ぶという点では、地球上で最も優れた組織の 1 つであり、そのトップ 10 は、開発者向けの PCI-DSS ガイドラインに正式に記載されています。しかし、セキュリティを常に念頭に置き、スキルを磨くには、時間と継続的な努力が必要です。しかし、セキュリティを意識してスキルを磨くには、時間と努力が必要です。
積極的なセキュリティ文化は、組織の中で「あればいい」というものではありません。セキュリティに真剣に取り組んでいるのであれば、それは会社の日常業務の一部である必要があります。
開発者は、脆弱性を阻止するための最前線にいます。開発者は、PCI-DSS に準拠するために必要なサポート、ツール、トレーニングを受けているでしょうか?
実際のところ、適切なトレーニングとは、よりシームレスなものであり、講義のように感じるべきではなく、日々行われている作業に大いに関連するものでなければなりません。そして、このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの機会なのです。
あなたのセキュアコーディングスキルを今すぐ試してみませんか? ミッションを選択してください.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。この最終章では、CTO と CISO が、サイバーリスクを低減し、プロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。パート1をご覧になりましたか? こちらをご覧ください。AppSecのスペシャリストがどのようにしてこのチャンスをつかみ、より良いセキュリティ成果を得ることができるかをご覧ください)。)
PCI-DSS のベストプラクティスは、間違いなく共通の責任ですが、CISO と CTO は、繁栄する積極的なセキュ リティプログラムを構築する上で、その大きな影響力をトップから活用することができます。CISO と CTO は、エンドユーザに対するサイバーセキュリティの信頼性とそれに関連する感情の代弁者であり、意識を早期に高めることで強力なトリクルダウン効果を発揮し、開発者や AppSec の専門家が社内の強固なセキュリティ体制に貢献するために必要な知識、ツール、サポートを得られるようにします。
コンプライアンスを維持することは重要ですが、全員が「なぜ」に賛同し、成果を実感し、適切な方法で育成されれば、プログラムは法律を超えて自然なものになります。
CTOとCISOは、相互の信頼関係を築く役割を担っている
最近、あるサイトにアクセスした際に、クレジットカードの詳細情報を渡すのをためらったことはありませんか?近所のピザ屋さんのオンライン注文に使われている怪しげなウェブアプリでもない限り、このような経験をすることはあまりないのではないでしょうか。
もちろん、データ違反を公表していなければの話ですが。
世界的な宿泊施設大手のマリオットは、3年以内に2回目の情報漏洩を公表し、今回は520万人の顧客記録が盗まれました。2018年に発生した大規模な情報漏えい事件では、3億8300万人の顧客が危険にさらされ、暗号化されていない500万人分のパスポート番号と800万人分のクレジットカード番号が盗まれましたが、今回は支払い情報はまだ盗まれていないようです。
マリオットブランドに対する顧客の信頼度がまだ低かったとしても、もうすぐ底をつくと言っても過言ではありません。このような事態に陥ると、CISOはサイバー脅威との戦いでカモにされているような気がして、夜も眠れなくなります。Equifax、Yahoo、Sony、Targetなど、大規模な情報漏洩に見舞われた大手企業の例を見ても、盗まれたデータ記録は数十億件、被害額は数千億ドルにのぼり、経済的には顧客の心に穴が開いたような状態になっています。企業にとっては最悪の事態であり(Target社は2014年の情報漏えい事件の後の四半期に4億4,000万ドルの減益を報告しています)、個人の責任は通常問われませんが(結局のところ、ソフトウェアのセキュリティは共有の責任であるべきなのです)、たまたま当時これらの組織で働いていたとしたら、輝かしい履歴書には書きたくないことです。
決済、センシティブなデータ、そして好意的な顧客感情という無形の金を扱う組織において、コンプライアンスを達成するために強固なセキュリティプログラムを見送ることは、企業がリスクを抱えているだけでなく、イノベーションに大きく遅れをとっていることを示しています。
お客様と組織の関係における信頼性の問題は、誰もが気になるはずです。
IT部門、開発部門、セキュリティ部門が侵害された後に直面するストレスや災難を別にすれば、信頼の要素は、新しい会社の長期的な成功や、既存の会社が継続的に成長するための主要な要素です。信頼を失った結果、会社が経済的に落ち込むことになれば、失うものは明らかに仕事です。
PCI-DSS規制は、企業に責任を負わせるものであり、上記の通り、これらの綿密な計画を無視することは非常に大きな意味を持ちます。しかし、PCI-DSS規制は、導入されたセキュリティプログラムとその中で働く人々によってのみ有効です。PCI-DSS規制に真剣に取り組み、意識を高く持ち、他の企業の模範となれば、非常に良い意味での差別化を図ることができます。
意識がすべてです。
セキュリティ意識向上プログラムが機能していないと、PCI に準拠しようとしてもほとんど意味がありません。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識が最も重要な部分を構成しています。ベストプラクティスガイドラインでは、組織全体のセキュリティ意識をどのように部門横断的な役割で実施できるか、また、正しく実施している企業ではどのように見えるかについて、独自のトレーニングモジュールを提供しています。
セキュアなソフトウェア開発の現在のゴールドスタンダードであるDevSecOpsに向けて、共有責任としてのセキュリティが基本となりますが、企業は、ベンダーやコントラクターを含むすべての人がセキュリティを意識し、ベストプラクティスに従っていることを確認するために、時間、費用、労力を費やす必要があります。
セキュリティを意識した開発者は、コンプライアンスを意識した開発者である(そして、そこに到達することは退屈ではない
PCI-DSS に準拠した「認定」デベロッパーになることに関しては、明白な選択肢はそれほど多くありません。なぜでしょうか?それはおそらく、「1回で完了する」というわけにはいかないからでしょう。
OWASPは、一般的な脆弱性を阻止する方法を学ぶという点では、地球上で最も優れた組織の 1 つであり、そのトップ 10 は、開発者向けの PCI-DSS ガイドラインに正式に記載されています。しかし、セキュリティを常に念頭に置き、スキルを磨くには、時間と継続的な努力が必要です。しかし、セキュリティを意識してスキルを磨くには、時間と努力が必要です。
積極的なセキュリティ文化は、組織の中で「あればいい」というものではありません。セキュリティに真剣に取り組んでいるのであれば、それは会社の日常業務の一部である必要があります。
開発者は、脆弱性を阻止するための最前線にいます。開発者は、PCI-DSS に準拠するために必要なサポート、ツール、トレーニングを受けているでしょうか?
実際のところ、適切なトレーニングとは、よりシームレスなものであり、講義のように感じるべきではなく、日々行われている作業に大いに関連するものでなければなりません。そして、このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの機会なのです。
あなたのセキュアコーディングスキルを今すぐ試してみませんか? ミッションを選択してください.
目次
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロードはじめの一歩を踏み出すためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
