適切なサポートにより、開発者は貴組織がPCI DSS 4.0基準を上回るコンプライアンスを達成するお手伝いができます。
この記事のバージョンは当初、 Zone Dに掲載されました。更新され、こちらで公開されています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れる企業や組織(そのほとんどが該当します)のセキュリティに関するほぼすべてを変えることになります 。そして間違いなく、この更新によりほとんどの企業は変革を迫られ、セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理、その他これまで導入が遅れていた分野における新たな保護策の導入を余儀なくされるでしょう。
新たな要件の複雑さから、組織は2025年3月までに完全な準拠を達成する必要があります。しかしこの期限は、多くの人が考えているよりも早く到来します。実際、多くの先進的な企業は現在、開発者が未確定なコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックスの訓練を超えて
企業内の開発者は、そのインフラの大部分を支えるコードを記述しています。したがって、PCI DSS 4.0の新規要件を実装する際、彼らを起点とすることは理にかなっています。しかし、大半の開発者は、更新されたセキュリティ意識向上プログラムにおいてスキルを向上させるため、戦略的な支援を必要とするでしょう。 これにより、新たな基準が要求する高度なセキュリティレベルを実装・維持するために必要な経験を確実に習得できます。
実際、PCI DSS 4.0の要件12.6.2では、企業が正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新するよう求めています。旧規格では、基本的なセキュリティプログラムや、単なる「チェックリスト形式」の年次コンプライアンス研修でさえ、この目的を達成できていました。 この新基準はさらに厳格化され、セキュリティ研修プログラムにおいて企業環境固有の脅威や脆弱性に対処することを要求するに至っています。例えば、組織にとってID盗難が深刻な問題である場合、研修ではその対策が必須となります。
最低限のトレーニングではもはや不十分であることは明らかであり、実務面でも新たな基準への適合においても同様です。企業はむしろ、開発者に対して包括的かつ柔軟な学習パスを提供し、日々の業務にセキュリティのベストプラクティスを適用する方法を習得させる必要があります。 最低限の準拠努力を超える取り組みを行い、開発者がセキュリティを真に理解するために必要なリソースを提供することで、企業は開発者に全体的なセキュリティ判断力を高める手段を与えつつ、PCI DSS 4.0基準への準拠を実現できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に熟知している領域に関するものであることです。 開発者がスキルを向上させるために適切で関連性が高く、慣れ親しんだリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準や増大する責任に対して、開発者をより容易に準備させることができます。
PCI DSS 4.0規格を活用し、総合的なセキュリティ強化への架け橋とする
新しいPCI DSS 4.0基準への準拠を成功させるためには、開発者のニーズに応える適切なセキュリティ教育が不可欠ですが、組織のサイバーセキュリティ強化に向けた取り組みはそこで止まるべきではありません。 確かに要件は厳格ですが、ほとんどの組織が準拠に向けて努力する必要がある以上、この取り組みをセキュリティ意識と教育全般を強化する足掛かりとして活用しない理由はありません。 これにより組織はコンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全構成員がセキュリティ中心の共通目標に向けて取り組む、健全なセキュリティ文化の醸成を開始できるのです。
もちろん、学習曲線はありますが、開発者たちはおそらくそのような取り組みに同意するでしょう。エヴァンス社の調査によると、世界中で積極的に活動している 1,200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードの作成と、組織におけるセキュリティ文化の向上という概念を支持すると回答しています。 開発者の大半は、安全なコーディングへの戦略的かつ持続的な移行、および開発プロセスにおけるセキュリティの優先順位の見直しを支持していることは明らかです。
PCI DSS 4.0規格で義務付けられたセキュリティ対策の強化は、企業がセキュリティ分野におけるベストプラクティスの向上や研修への投資を推進し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会となる。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度レベルをより容易に達成できます。 これにより、開発者がより優れた判断を下せるセキュリティ文化が醸成され、組織全体のセキュリティ態勢が強化されます。その効果は、新たな厳格な基準であるPCI DSS 4.0をはるかに超えるものとなるでしょう。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンは当初、 Zone Dに掲載されました。更新され、こちらで公開されています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れる企業や組織(そのほとんどが該当します)のセキュリティに関するほぼすべてを変えることになります 。そして間違いなく、この更新によりほとんどの企業は変革を迫られ、セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理、その他これまで導入が遅れていた分野における新たな保護策の導入を余儀なくされるでしょう。
新たな要件の複雑さから、組織は2025年3月までに完全な準拠を達成する必要があります。しかしこの期限は、多くの人が考えているよりも早く到来します。実際、多くの先進的な企業は現在、開発者が未確定なコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックスの訓練を超えて
企業内の開発者は、そのインフラの大部分を支えるコードを記述しています。したがって、PCI DSS 4.0の新規要件を実装する際、彼らを起点とすることは理にかなっています。しかし、大半の開発者は、更新されたセキュリティ意識向上プログラムにおいてスキルを向上させるため、戦略的な支援を必要とするでしょう。 これにより、新たな基準が要求する高度なセキュリティレベルを実装・維持するために必要な経験を確実に習得できます。
実際、PCI DSS 4.0の要件12.6.2では、企業が正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新するよう求めています。旧規格では、基本的なセキュリティプログラムや、単なる「チェックリスト形式」の年次コンプライアンス研修でさえ、この目的を達成できていました。 この新基準はさらに厳格化され、セキュリティ研修プログラムにおいて企業環境固有の脅威や脆弱性に対処することを要求するに至っています。例えば、組織にとってID盗難が深刻な問題である場合、研修ではその対策が必須となります。
最低限のトレーニングではもはや不十分であることは明らかであり、実務面でも新たな基準への適合においても同様です。企業はむしろ、開発者に対して包括的かつ柔軟な学習パスを提供し、日々の業務にセキュリティのベストプラクティスを適用する方法を習得させる必要があります。 最低限の準拠努力を超える取り組みを行い、開発者がセキュリティを真に理解するために必要なリソースを提供することで、企業は開発者に全体的なセキュリティ判断力を高める手段を与えつつ、PCI DSS 4.0基準への準拠を実現できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に熟知している領域に関するものであることです。 開発者がスキルを向上させるために適切で関連性が高く、慣れ親しんだリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準や増大する責任に対して、開発者をより容易に準備させることができます。
PCI DSS 4.0規格を活用し、総合的なセキュリティ強化への架け橋とする
新しいPCI DSS 4.0基準への準拠を成功させるためには、開発者のニーズに応える適切なセキュリティ教育が不可欠ですが、組織のサイバーセキュリティ強化に向けた取り組みはそこで止まるべきではありません。 確かに要件は厳格ですが、ほとんどの組織が準拠に向けて努力する必要がある以上、この取り組みをセキュリティ意識と教育全般を強化する足掛かりとして活用しない理由はありません。 これにより組織はコンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全構成員がセキュリティ中心の共通目標に向けて取り組む、健全なセキュリティ文化の醸成を開始できるのです。
もちろん、学習曲線はありますが、開発者たちはおそらくそのような取り組みに同意するでしょう。エヴァンス社の調査によると、世界中で積極的に活動している 1,200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードの作成と、組織におけるセキュリティ文化の向上という概念を支持すると回答しています。 開発者の大半は、安全なコーディングへの戦略的かつ持続的な移行、および開発プロセスにおけるセキュリティの優先順位の見直しを支持していることは明らかです。
PCI DSS 4.0規格で義務付けられたセキュリティ対策の強化は、企業がセキュリティ分野におけるベストプラクティスの向上や研修への投資を推進し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会となる。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度レベルをより容易に達成できます。 これにより、開発者がより優れた判断を下せるセキュリティ文化が醸成され、組織全体のセキュリティ態勢が強化されます。その効果は、新たな厳格な基準であるPCI DSS 4.0をはるかに超えるものとなるでしょう。
この記事のバージョンは当初、 Zone Dに掲載されました。更新され、こちらで公開されています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れる企業や組織(そのほとんどが該当します)のセキュリティに関するほぼすべてを変えることになります 。そして間違いなく、この更新によりほとんどの企業は変革を迫られ、セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理、その他これまで導入が遅れていた分野における新たな保護策の導入を余儀なくされるでしょう。
新たな要件の複雑さから、組織は2025年3月までに完全な準拠を達成する必要があります。しかしこの期限は、多くの人が考えているよりも早く到来します。実際、多くの先進的な企業は現在、開発者が未確定なコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックスの訓練を超えて
企業内の開発者は、そのインフラの大部分を支えるコードを記述しています。したがって、PCI DSS 4.0の新規要件を実装する際、彼らを起点とすることは理にかなっています。しかし、大半の開発者は、更新されたセキュリティ意識向上プログラムにおいてスキルを向上させるため、戦略的な支援を必要とするでしょう。 これにより、新たな基準が要求する高度なセキュリティレベルを実装・維持するために必要な経験を確実に習得できます。
実際、PCI DSS 4.0の要件12.6.2では、企業が正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新するよう求めています。旧規格では、基本的なセキュリティプログラムや、単なる「チェックリスト形式」の年次コンプライアンス研修でさえ、この目的を達成できていました。 この新基準はさらに厳格化され、セキュリティ研修プログラムにおいて企業環境固有の脅威や脆弱性に対処することを要求するに至っています。例えば、組織にとってID盗難が深刻な問題である場合、研修ではその対策が必須となります。
最低限のトレーニングではもはや不十分であることは明らかであり、実務面でも新たな基準への適合においても同様です。企業はむしろ、開発者に対して包括的かつ柔軟な学習パスを提供し、日々の業務にセキュリティのベストプラクティスを適用する方法を習得させる必要があります。 最低限の準拠努力を超える取り組みを行い、開発者がセキュリティを真に理解するために必要なリソースを提供することで、企業は開発者に全体的なセキュリティ判断力を高める手段を与えつつ、PCI DSS 4.0基準への準拠を実現できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に熟知している領域に関するものであることです。 開発者がスキルを向上させるために適切で関連性が高く、慣れ親しんだリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準や増大する責任に対して、開発者をより容易に準備させることができます。
PCI DSS 4.0規格を活用し、総合的なセキュリティ強化への架け橋とする
新しいPCI DSS 4.0基準への準拠を成功させるためには、開発者のニーズに応える適切なセキュリティ教育が不可欠ですが、組織のサイバーセキュリティ強化に向けた取り組みはそこで止まるべきではありません。 確かに要件は厳格ですが、ほとんどの組織が準拠に向けて努力する必要がある以上、この取り組みをセキュリティ意識と教育全般を強化する足掛かりとして活用しない理由はありません。 これにより組織はコンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全構成員がセキュリティ中心の共通目標に向けて取り組む、健全なセキュリティ文化の醸成を開始できるのです。
もちろん、学習曲線はありますが、開発者たちはおそらくそのような取り組みに同意するでしょう。エヴァンス社の調査によると、世界中で積極的に活動している 1,200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードの作成と、組織におけるセキュリティ文化の向上という概念を支持すると回答しています。 開発者の大半は、安全なコーディングへの戦略的かつ持続的な移行、および開発プロセスにおけるセキュリティの優先順位の見直しを支持していることは明らかです。
PCI DSS 4.0規格で義務付けられたセキュリティ対策の強化は、企業がセキュリティ分野におけるベストプラクティスの向上や研修への投資を推進し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会となる。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度レベルをより容易に達成できます。 これにより、開発者がより優れた判断を下せるセキュリティ文化が醸成され、組織全体のセキュリティ態勢が強化されます。その効果は、新たな厳格な基準であるPCI DSS 4.0をはるかに超えるものとなるでしょう。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンは当初、 Zone Dに掲載されました。更新され、こちらで公開されています。
ペイメントカード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れる企業や組織(そのほとんどが該当します)のセキュリティに関するほぼすべてを変えることになります 。そして間違いなく、この更新によりほとんどの企業は変革を迫られ、セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理、その他これまで導入が遅れていた分野における新たな保護策の導入を余儀なくされるでしょう。
新たな要件の複雑さから、組織は2025年3月までに完全な準拠を達成する必要があります。しかしこの期限は、多くの人が考えているよりも早く到来します。実際、多くの先進的な企業は現在、開発者が未確定なコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックスの訓練を超えて
企業内の開発者は、そのインフラの大部分を支えるコードを記述しています。したがって、PCI DSS 4.0の新規要件を実装する際、彼らを起点とすることは理にかなっています。しかし、大半の開発者は、更新されたセキュリティ意識向上プログラムにおいてスキルを向上させるため、戦略的な支援を必要とするでしょう。 これにより、新たな基準が要求する高度なセキュリティレベルを実装・維持するために必要な経験を確実に習得できます。
実際、PCI DSS 4.0の要件12.6.2では、企業が正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新するよう求めています。旧規格では、基本的なセキュリティプログラムや、単なる「チェックリスト形式」の年次コンプライアンス研修でさえ、この目的を達成できていました。 この新基準はさらに厳格化され、セキュリティ研修プログラムにおいて企業環境固有の脅威や脆弱性に対処することを要求するに至っています。例えば、組織にとってID盗難が深刻な問題である場合、研修ではその対策が必須となります。
最低限のトレーニングではもはや不十分であることは明らかであり、実務面でも新たな基準への適合においても同様です。企業はむしろ、開発者に対して包括的かつ柔軟な学習パスを提供し、日々の業務にセキュリティのベストプラクティスを適用する方法を習得させる必要があります。 最低限の準拠努力を超える取り組みを行い、開発者がセキュリティを真に理解するために必要なリソースを提供することで、企業は開発者に全体的なセキュリティ判断力を高める手段を与えつつ、PCI DSS 4.0基準への準拠を実現できる。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に熟知している領域に関するものであることです。 開発者がスキルを向上させるために適切で関連性が高く、慣れ親しんだリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準や増大する責任に対して、開発者をより容易に準備させることができます。
PCI DSS 4.0規格を活用し、総合的なセキュリティ強化への架け橋とする
新しいPCI DSS 4.0基準への準拠を成功させるためには、開発者のニーズに応える適切なセキュリティ教育が不可欠ですが、組織のサイバーセキュリティ強化に向けた取り組みはそこで止まるべきではありません。 確かに要件は厳格ですが、ほとんどの組織が準拠に向けて努力する必要がある以上、この取り組みをセキュリティ意識と教育全般を強化する足掛かりとして活用しない理由はありません。 これにより組織はコンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全構成員がセキュリティ中心の共通目標に向けて取り組む、健全なセキュリティ文化の醸成を開始できるのです。
もちろん、学習曲線はありますが、開発者たちはおそらくそのような取り組みに同意するでしょう。エヴァンス社の調査によると、世界中で積極的に活動している 1,200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードの作成と、組織におけるセキュリティ文化の向上という概念を支持すると回答しています。 開発者の大半は、安全なコーディングへの戦略的かつ持続的な移行、および開発プロセスにおけるセキュリティの優先順位の見直しを支持していることは明らかです。
PCI DSS 4.0規格で義務付けられたセキュリティ対策の強化は、企業がセキュリティ分野におけるベストプラクティスの向上や研修への投資を推進し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会となる。
開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度レベルをより容易に達成できます。 これにより、開発者がより優れた判断を下せるセキュリティ文化が醸成され、組織全体のセキュリティ態勢が強化されます。その効果は、新たな厳格な基準であるPCI DSS 4.0をはるかに超えるものとなるでしょう。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
