適切な支援を通じて、開発者は組織を優れたPCI DSS 4.0準拠へと導くことができます。
この記事のバージョンはもともとに掲載されました。 DZone.ここで更新およびシンジケートされました。
決済カード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れるほぼすべてのビジネスや組織のセキュリティに関する情報をほぼすべて変更します(大多数)。今回の更新は、ほとんどの企業に画期的な変化をもたらし、企業は多くのセキュリティプロセスをアップグレードし、暗号化、認証、アクセス制御、キー管理、およびこれまで導入が遅れていたその他の領域に対する新しい保護機能を導入する必要があるかもしれません。
新たな要件の複雑性により、組織は2025年3月までに規制を完全に遵守しなければなりません。しかしこの期限は、多くの人が考えているよりも早く到来するでしょう。実際、多くの先見性のある企業は、開発者が現在進行中のコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックストレーニングを超える
組織の開発者はインフラの大部分が使用するコードを記述するため、新しいPCI DSS 4.0要件を実装する際には、開発者が着手するのに適した出発点と言えます。しかし、大半の開発者は更新されたセキュリティ意識向上プログラムの一環として、技術向上のための戦略的支援を必要としています。これは、新たな基準が要求するより高いレベルのセキュリティを実現し維持するために必要な経験を積むためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し公式なセキュリティプログラムを実装し、最新の脅威情報と防御技術を用いてセキュリティプログラムを更新するよう指示しています。以前の基準では、基本的なセキュリティプログラムや「チェックボックス方式」の年次コンプライアンス研修でも目標を達成できました。この新しい基準は、セキュリティ研修プログラムが企業環境内の特定の脅威や脆弱性に対処することを要求するなど、はるかに多くのことを求めています。例えば、組織においてID盗難が重大な問題である場合、教育を通じてこれを解決する必要があります。
最低限の教育だけでは、実用的な観点からも新たな基準を遵守する上でも、もはや十分とは言えません。代わりに組織は、開発者にセキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的で機敏な学習パスを提供すべきです。組織は、最低限のコンプライアンス対応を超えて、開発者がセキュリティを正しく理解するために必要なリソースを提供することで、PCI DSS 4.0への準拠を維持しつつ、開発者が全体的により優れたセキュリティ判断を下せるよう能力を強化できます。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者にとって既に馴染み深い領域を対象としていることです。開発者向けに技術向上に役立つ適切で関連性が高く親しみやすいリソースが提供されれば、組織はPCI DSS 4.0で求められる新たな基準と強化された責任により容易に対応できるようになります。
PCI DSS 4.0を基盤として、全体的なセキュリティ強化を実現
優れたセキュリティ教育を通じて開発者の要件を解決することは、新しいPCI DSS 4.0基準への準拠を成功させる上で重要ですが、組織をより良いサイバーセキュリティへ導くための取り組みはここで終わらせる必要はありません。 要件は厳格ですが、ほとんどの組織が準拠努力を求められる以上、こうした取り組みを全体的なセキュリティ意識向上と教育の足掛かりとして活用しない理由はありません。これにより組織は、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全員が共通のセキュリティ目標に向けて取り組む前向きなセキュリティ文化の醸成を開始できるのです。
もちろん学習曲線は存在しますが、開発者たちもこうした努力を惜しまないでしょう。エバンズ・データの調査によると、世界中で活発に活動する1,200人以上のプロフェッショナル開発者の圧倒的多数が、セキュリティコードの作成と組織におけるより良いセキュリティ文化の構築という概念を支持すると回答しました。ほとんどのデベロッパーが、セキュリティコーディングへの戦略的かつ支援された移行、そして開発プロセスの一部としてのセキュリティ優先度の変更を歓迎していることは明らかです。
PCI DSS 4.0で要求されるセキュリティ強化は、企業が改善されたセキュリティのベストプラクティスと教育に投資し、組織内に優れた全体的なセキュリティ文化を導入するための絶好の機会を提供します。
企業がセキュリティコーディング技術を関連ツールや教育と統合できるプログラムに投資すれば、開発者はより容易にセキュリティ成熟度を高められます。これにより開発者は、厳格な新たなPCI DSS 4.0基準を大幅に上回る優れた意思決定を行う権限を与えられ、セキュリティ文化を醸成できます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンはもともとに掲載されました。 DZone.ここで更新およびシンジケートされました。
決済カード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れるほぼすべてのビジネスや組織のセキュリティに関する情報をほぼすべて変更します(大多数)。今回の更新は、ほとんどの企業に画期的な変化をもたらし、企業は多くのセキュリティプロセスをアップグレードし、暗号化、認証、アクセス制御、キー管理、およびこれまで導入が遅れていたその他の領域に対する新しい保護機能を導入する必要があるかもしれません。
新たな要件の複雑性により、組織は2025年3月までに規制を完全に遵守しなければなりません。しかしこの期限は、多くの人が考えているよりも早く到来するでしょう。実際、多くの先見性のある企業は、開発者が現在進行中のコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックストレーニングを超える
組織の開発者はインフラの大部分が使用するコードを記述するため、新しいPCI DSS 4.0要件を実装する際には、開発者が着手するのに適した出発点と言えます。しかし、大半の開発者は更新されたセキュリティ意識向上プログラムの一環として、技術向上のための戦略的支援を必要としています。これは、新たな基準が要求するより高いレベルのセキュリティを実現し維持するために必要な経験を積むためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し公式なセキュリティプログラムを実装し、最新の脅威情報と防御技術を用いてセキュリティプログラムを更新するよう指示しています。以前の基準では、基本的なセキュリティプログラムや「チェックボックス方式」の年次コンプライアンス研修でも目標を達成できました。この新しい基準は、セキュリティ研修プログラムが企業環境内の特定の脅威や脆弱性に対処することを要求するなど、はるかに多くのことを求めています。例えば、組織においてID盗難が重大な問題である場合、教育を通じてこれを解決する必要があります。
最低限の教育だけでは、実用的な観点からも新たな基準を遵守する上でも、もはや十分とは言えません。代わりに組織は、開発者にセキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的で機敏な学習パスを提供すべきです。組織は、最低限のコンプライアンス対応を超えて、開発者がセキュリティを正しく理解するために必要なリソースを提供することで、PCI DSS 4.0への準拠を維持しつつ、開発者が全体的により優れたセキュリティ判断を下せるよう能力を強化できます。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者にとって既に馴染み深い領域を対象としていることです。開発者向けに技術向上に役立つ適切で関連性が高く親しみやすいリソースが提供されれば、組織はPCI DSS 4.0で求められる新たな基準と強化された責任により容易に対応できるようになります。
PCI DSS 4.0を基盤として、全体的なセキュリティ強化を実現
優れたセキュリティ教育を通じて開発者の要件を解決することは、新しいPCI DSS 4.0基準への準拠を成功させる上で重要ですが、組織をより良いサイバーセキュリティへ導くための取り組みはここで終わらせる必要はありません。 要件は厳格ですが、ほとんどの組織が準拠努力を求められる以上、こうした取り組みを全体的なセキュリティ意識向上と教育の足掛かりとして活用しない理由はありません。これにより組織は、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全員が共通のセキュリティ目標に向けて取り組む前向きなセキュリティ文化の醸成を開始できるのです。
もちろん学習曲線は存在しますが、開発者たちもこうした努力を惜しまないでしょう。エバンズ・データの調査によると、世界中で活発に活動する1,200人以上のプロフェッショナル開発者の圧倒的多数が、セキュリティコードの作成と組織におけるより良いセキュリティ文化の構築という概念を支持すると回答しました。ほとんどのデベロッパーが、セキュリティコーディングへの戦略的かつ支援された移行、そして開発プロセスの一部としてのセキュリティ優先度の変更を歓迎していることは明らかです。
PCI DSS 4.0で要求されるセキュリティ強化は、企業が改善されたセキュリティのベストプラクティスと教育に投資し、組織内に優れた全体的なセキュリティ文化を導入するための絶好の機会を提供します。
企業がセキュリティコーディング技術を関連ツールや教育と統合できるプログラムに投資すれば、開発者はより容易にセキュリティ成熟度を高められます。これにより開発者は、厳格な新たなPCI DSS 4.0基準を大幅に上回る優れた意思決定を行う権限を与えられ、セキュリティ文化を醸成できます。
この記事のバージョンはもともとに掲載されました。 DZone.ここで更新およびシンジケートされました。
決済カード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れるほぼすべてのビジネスや組織のセキュリティに関する情報をほぼすべて変更します(大多数)。今回の更新は、ほとんどの企業に画期的な変化をもたらし、企業は多くのセキュリティプロセスをアップグレードし、暗号化、認証、アクセス制御、キー管理、およびこれまで導入が遅れていたその他の領域に対する新しい保護機能を導入する必要があるかもしれません。
新たな要件の複雑性により、組織は2025年3月までに規制を完全に遵守しなければなりません。しかしこの期限は、多くの人が考えているよりも早く到来するでしょう。実際、多くの先見性のある企業は、開発者が現在進行中のコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックストレーニングを超える
組織の開発者はインフラの大部分が使用するコードを記述するため、新しいPCI DSS 4.0要件を実装する際には、開発者が着手するのに適した出発点と言えます。しかし、大半の開発者は更新されたセキュリティ意識向上プログラムの一環として、技術向上のための戦略的支援を必要としています。これは、新たな基準が要求するより高いレベルのセキュリティを実現し維持するために必要な経験を積むためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し公式なセキュリティプログラムを実装し、最新の脅威情報と防御技術を用いてセキュリティプログラムを更新するよう指示しています。以前の基準では、基本的なセキュリティプログラムや「チェックボックス方式」の年次コンプライアンス研修でも目標を達成できました。この新しい基準は、セキュリティ研修プログラムが企業環境内の特定の脅威や脆弱性に対処することを要求するなど、はるかに多くのことを求めています。例えば、組織においてID盗難が重大な問題である場合、教育を通じてこれを解決する必要があります。
最低限の教育だけでは、実用的な観点からも新たな基準を遵守する上でも、もはや十分とは言えません。代わりに組織は、開発者にセキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的で機敏な学習パスを提供すべきです。組織は、最低限のコンプライアンス対応を超えて、開発者がセキュリティを正しく理解するために必要なリソースを提供することで、PCI DSS 4.0への準拠を維持しつつ、開発者が全体的により優れたセキュリティ判断を下せるよう能力を強化できます。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者にとって既に馴染み深い領域を対象としていることです。開発者向けに技術向上に役立つ適切で関連性が高く親しみやすいリソースが提供されれば、組織はPCI DSS 4.0で求められる新たな基準と強化された責任により容易に対応できるようになります。
PCI DSS 4.0を基盤として、全体的なセキュリティ強化を実現
優れたセキュリティ教育を通じて開発者の要件を解決することは、新しいPCI DSS 4.0基準への準拠を成功させる上で重要ですが、組織をより良いサイバーセキュリティへ導くための取り組みはここで終わらせる必要はありません。 要件は厳格ですが、ほとんどの組織が準拠努力を求められる以上、こうした取り組みを全体的なセキュリティ意識向上と教育の足掛かりとして活用しない理由はありません。これにより組織は、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全員が共通のセキュリティ目標に向けて取り組む前向きなセキュリティ文化の醸成を開始できるのです。
もちろん学習曲線は存在しますが、開発者たちもこうした努力を惜しまないでしょう。エバンズ・データの調査によると、世界中で活発に活動する1,200人以上のプロフェッショナル開発者の圧倒的多数が、セキュリティコードの作成と組織におけるより良いセキュリティ文化の構築という概念を支持すると回答しました。ほとんどのデベロッパーが、セキュリティコーディングへの戦略的かつ支援された移行、そして開発プロセスの一部としてのセキュリティ優先度の変更を歓迎していることは明らかです。
PCI DSS 4.0で要求されるセキュリティ強化は、企業が改善されたセキュリティのベストプラクティスと教育に投資し、組織内に優れた全体的なセキュリティ文化を導入するための絶好の機会を提供します。
企業がセキュリティコーディング技術を関連ツールや教育と統合できるプログラムに投資すれば、開発者はより容易にセキュリティ成熟度を高められます。これにより開発者は、厳格な新たなPCI DSS 4.0基準を大幅に上回る優れた意思決定を行う権限を与えられ、セキュリティ文化を醸成できます。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事のバージョンはもともとに掲載されました。 DZone.ここで更新およびシンジケートされました。
決済カード業界データセキュリティ基準(PCI DSS)バージョン4.0は、電子決済を受け入れるほぼすべてのビジネスや組織のセキュリティに関する情報をほぼすべて変更します(大多数)。今回の更新は、ほとんどの企業に画期的な変化をもたらし、企業は多くのセキュリティプロセスをアップグレードし、暗号化、認証、アクセス制御、キー管理、およびこれまで導入が遅れていたその他の領域に対する新しい保護機能を導入する必要があるかもしれません。
新たな要件の複雑性により、組織は2025年3月までに規制を完全に遵守しなければなりません。しかしこの期限は、多くの人が考えているよりも早く到来するでしょう。実際、多くの先見性のある企業は、開発者が現在進行中のコンプライアンス環境を乗り切れるよう対策を講じています。
チェックボックストレーニングを超える
組織の開発者はインフラの大部分が使用するコードを記述するため、新しいPCI DSS 4.0要件を実装する際には、開発者が着手するのに適した出発点と言えます。しかし、大半の開発者は更新されたセキュリティ意識向上プログラムの一環として、技術向上のための戦略的支援を必要としています。これは、新たな基準が要求するより高いレベルのセキュリティを実現し維持するために必要な経験を積むためです。
実際、PCI DSS 4.0の要件12.6.2は、組織に対し公式なセキュリティプログラムを実装し、最新の脅威情報と防御技術を用いてセキュリティプログラムを更新するよう指示しています。以前の基準では、基本的なセキュリティプログラムや「チェックボックス方式」の年次コンプライアンス研修でも目標を達成できました。この新しい基準は、セキュリティ研修プログラムが企業環境内の特定の脅威や脆弱性に対処することを要求するなど、はるかに多くのことを求めています。例えば、組織においてID盗難が重大な問題である場合、教育を通じてこれを解決する必要があります。
最低限の教育だけでは、実用的な観点からも新たな基準を遵守する上でも、もはや十分とは言えません。代わりに組織は、開発者にセキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的で機敏な学習パスを提供すべきです。組織は、最低限のコンプライアンス対応を超えて、開発者がセキュリティを正しく理解するために必要なリソースを提供することで、PCI DSS 4.0への準拠を維持しつつ、開発者が全体的により優れたセキュリティ判断を下せるよう能力を強化できます。
良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者にとって既に馴染み深い領域を対象としていることです。開発者向けに技術向上に役立つ適切で関連性が高く親しみやすいリソースが提供されれば、組織はPCI DSS 4.0で求められる新たな基準と強化された責任により容易に対応できるようになります。
PCI DSS 4.0を基盤として、全体的なセキュリティ強化を実現
優れたセキュリティ教育を通じて開発者の要件を解決することは、新しいPCI DSS 4.0基準への準拠を成功させる上で重要ですが、組織をより良いサイバーセキュリティへ導くための取り組みはここで終わらせる必要はありません。 要件は厳格ですが、ほとんどの組織が準拠努力を求められる以上、こうした取り組みを全体的なセキュリティ意識向上と教育の足掛かりとして活用しない理由はありません。これにより組織は、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全員が共通のセキュリティ目標に向けて取り組む前向きなセキュリティ文化の醸成を開始できるのです。
もちろん学習曲線は存在しますが、開発者たちもこうした努力を惜しまないでしょう。エバンズ・データの調査によると、世界中で活発に活動する1,200人以上のプロフェッショナル開発者の圧倒的多数が、セキュリティコードの作成と組織におけるより良いセキュリティ文化の構築という概念を支持すると回答しました。ほとんどのデベロッパーが、セキュリティコーディングへの戦略的かつ支援された移行、そして開発プロセスの一部としてのセキュリティ優先度の変更を歓迎していることは明らかです。
PCI DSS 4.0で要求されるセキュリティ強化は、企業が改善されたセキュリティのベストプラクティスと教育に投資し、組織内に優れた全体的なセキュリティ文化を導入するための絶好の機会を提供します。
企業がセキュリティコーディング技術を関連ツールや教育と統合できるプログラムに投資すれば、開発者はより容易にセキュリティ成熟度を高められます。これにより開発者は、厳格な新たなPCI DSS 4.0基準を大幅に上回る優れた意思決定を行う権限を与えられ、セキュリティ文化を醸成できます。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
