PDF版を開く

PCI-DSS要件をサポートするためのインフラとプロセスの評価

新しいPCI-DSS 4.0要件の主な更新とスケジュール

PCI-DSS 4.0 は、ペイメントカード業界における現在のリスクと技術の進歩に対応し、カード会員デー タのセキュリティを強化するための更新を導入しています。この改訂では、セキュリティ目標に準拠していることを証明すれば、組織はカスタマイズされたセキュ リティ対策を採用できるようになり、カード会員データ環境のすべてのアクセスに多要素認証を拡張し、 すべてのネットワークで暗号化を強化しています。さらに、継続的なリスク分析と緩和、セキュリティインシデントのタイムリーな検出と対応能力の向 上がより重視されています。これらの新しい要件には移行期間が設けられており、組織は既存の基準でのコンプライアンスを維持しながら新バージョンを採用する時間を確保することができます。

CISOがpci-dssの最新アップデートを優先すべき理由

これらの更新された基準を遵守することは、コンプライアンスを維持するだけでなく、新たなサイバー脅威やリスクから保護するためにも極めて重要である。これらの基準を実施することで、企業は侵害に強くなり、評判を守り、コンプライアンス違反による多額の罰金を回避することができます。

DSS 4.0の発効日：2024年3月、2025年3月までに実現。

PCI-DSS 4.0 は、継続的なセキュリティプロセスを日常業務に組み込むことの重要性を強調しています。

コンプライアンスは、assessment 一度きりで終わるものではありません。PCI-DSS 4.0 の導入は、安全な決済環境を支える堅牢なセキュリティインフラストラクチャの構築によ るビジネス価値の向上にも役立ちます。PCI-DSS 4.0 の導入は、安全でセキュアな決済環境を支える堅牢なセキュリティインフラストラクチャを構築することで、ビジネス価値を高めることにもつながります。

開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか？

開発者は、卓越したソフトウェアセキュリティの状態に到達するために不可欠な存在でありながら、あまり活用されていないことが多い。開発者は、PCI DSS 4.0 の全体像を理解し、ソフトウェア構築に対する既定のアプローチの一部として何を管理し、統合できるかを理解することが極めて重要です。

PCI DSS の要件 6 は、安全なソフトウェアを開発および維持するための期待事項を概説しています。

これには、安全な開発標準から開発者トレーニング、構成および変更管理まで、さまざまな項目が含まれます。カード会員データネットワーク（CHD）で使用されるソフトウェアを開発するすべての組織は、これらの義務に準拠する必要があります。

要件6.2.2に概説されているように、オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける：

• 職務や開発言語に関連したソフトウェアセキュリティについて。
• 安全なソフトウェア設計と安全なコーディング技術を含む。
• ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使い方を含む。

同基準はさらに、トレーニングには少なくとも以下の項目を含めるべきであると概説している：

• 使用されている開発言語
• 安全なソフトウェア設計
• 安全なコーディング技術
• コードの脆弱性を発見するための技術／方法の使用
• 解決済みの脆弱性の再導入を防止するためのプロセス

さらに、開発者はすべての攻撃手法（要件 6.2.4.に概説されている）に精通しているべきである：

• SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
• バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
• 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
• API、通信プロトコルやチャネル、クライアント側の機能、その他のシステム/アプリケーションの機能やリソースを操作することで、アプリケーションの機能や特徴を悪用したり迂回しようとする試みを含む、ビジネスロジックに対する攻撃。これには、クロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（CSRF）が含まれます。
• 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
• 要件 6.3.1.で定義される、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。

PCI-DSS 4.0準拠を達成するためにSecure Code Warrior 。

トレーニングの最も効果的なオプションは、コンプライアンスが包括的なセキュアコード学習プログラムの副産物になる、アジャイルlearning platform です。具体的には、Secure Code Warrior によって、脆弱性を減らし、開発者の生産性を向上させることができます：

• 知識のギャップに対処し、開発者が使用する言語やフレームワークの正確なトレーニングを提供することで、PCIデータの安全性を維持する方法について確実かつ一貫した理解を提供します。詳細は Learning Platform.
• 継続的、測定的、確立されたスキル検証プロセスを提供し、トレーニングが確実に吸収され、実践されていることを確認します。開発者向けのセキュアコード・トレーニングパスの 詳細については、こちらをご覧ください。
• ジャスト・イン・タイムで、状況に応じたマイクロバースト学習を提供するアジャイル学習メソッドによるトレーニングの実施。一般的で頻度の低いトレーニングはもはや実行不可能であり、脆弱性削減に期待される効果も得られません。サポートされる脆弱性の詳細については、こちらをご覧ください。
• セキュリティトレーニングおよびコーディング標準の文書化を支援し、PCI-DSS 監査時に準拠を実証するのに役立ちます。PCI-DSS 4.0 の詳細については、ホワイトペーパー「PCI DSS 4.0 Unraveled」をご覧ください。

‍

PDF版を開く

‍

PDF版を開く

セキュアコーディングプログラムの影響を定量化する業界初のベンチマーク

企業全体のソフトウェア・チームは、高品質でセキュアなコードをより速く、本番前に確実に提供しなければならないというプレッシャーにさらされている。これは、開発者主導のセキュリティという概念を生み出しました。この強力な動きは、開発者の生産性を向上させ、ソフトウェア開発サイクル全体の動きを迅速化し、イノベーションを増大させ、最終的にビジネスの成長につながります。セキュアな学習プログラムの世界では、同じセキュアコードプログラムを受けているにもかかわらず、チームには、トップパフォーマー、平均的な成績の者、追加のサポートが必要な者など、さまざまな専門知識が含まれていることが多い。しかし、優れた学習とはどのようなものなのか、また、どのような学習と比較して優れた学習なのかを、どのように見分けることができるのでしょうか。組織は、開発者のセキュリティ上の地位のベルカーブを定義するベンチマークを必要としている。セキュリティ学習プログラムの現状を測定し、その有効性を評価し、チームがパフォーマンスを最適化できるようにするための基準値として使用できるスコアである。

価値とメリット

• シンプルで効果的、意味のあるデータ
• セキュリティ・プログラムの成功を測定する
• ソフトウェア品質の向上
• チーム関係の改善
• 安全なコーディング・スキルへの洞察
• 熱心なユーザーと開発者の維持

セキュリティ・プログラムの現状をベンチマークする

自社のセキュリティ・プログラムを業界の同業他社と比較してベンチマークを作成し、ビジネス目標に沿った標準を確立します。ベンチマークを活用することで、パフォーマンス比較の基準値が得られ、データに基づく意思決定と継続的な改善の機会が得られ、セキュリティ体制を最適化できます。

‍

同業他社、競合他社、グローバル組織との比較において評価される。

SCW Trust Score は、個々の受講者のスキルレベルを集計し、組織の信頼スコアを算出することで、セキュリティプログラムの有効性を測定します。銀行・金融サービス、テクノロジー、グローバルの各業界に合わせたベンチマークにより、企業の信頼スコア、業界ベンチマークの分布、学習者のスキルレベルの分布に関する洞察を、カスタマイズ可能なドリルダウンおよびフィルタリングオプションとともに提供します。

‍

業界で最も包括的なセキュリティスキルベンチマークに自信を持つ

SCW Trust Scoreは、600社以上、25万人の学習者から収集した2000万件以上の学習データから得られた洞察を活用し、動的アルゴリズムを活用した業界初のソリューションです。このスコアは、OWASPトップ10に関する知識の習得の深さなど、当社のプラットフォーム内で完了した学習活動の数々を考慮します。これらの比類のない洞察は、組織が自信を持って他者に対するパフォーマンスを測定するのに役立ちます。

‍

PDFを見る

‍

金融機関は、日進月歩の金融業界において、テクノロジーを効率的かつ効果的に活用できるかどうかが鍵となる、さまざまな課題に直面している。

組織は、クラウドベースの競争の激しいビジネス環境の中で、社内でも業界全体でも急速な変化の時を迎えている。例えば、現在進行中のデジタルトランスフォーメーションを追求する中で、企業は、決済プロセスやその他の手続きを加速させる人工知能などの新技術への投資を妨げる組織的な摩擦を回避しようと取り組んでいる。 

しかし、この成長が安全なコーディング環境を維持する能力にどのような影響を与えるかについても、もっと認識する必要がある。

このガイドでは、金融サービス企業のセキュリティ・トレンドについてご紹介します：

• AI開発ツールはソフトウェア開発ライフサイクルにどのような影響を与えているか。
• 規制強化はなぜ金融サービスにとって重要なのか、そしてそれがあなたのチームにどのような影響を与えるのか。
• アジャイル学習がチームの安全なコーディングにもたらすもの。
• サードパーティアプリの増加は、セキュリティ環境にどのように貢献するか。
• チーム全体でROIを重視する傾向が強まっているが、トレーニングに関しては心配する必要はない。

‍

PCI DSS 4.0 を解く：開発者のセキュリティスキルアップの機会を捉える

もしあなたがAppSecや開発マネージャーなら、ほとんどの開発者がコンプライアンス・トレーニングに乗り気でないことにお気づきだろう。コンプライアンス」という言葉でさえ、ほとんどの人はあくびをこらえている。しかし、コンプライアンス研修は極めて重要なものであり、開発者の心をつかむためには、もっとうまくやる必要がある。

セキュアなソフトウェア開発は、もはやどの企業にとっても「あればいい」ものではなく、どの組織においても最重要課題であるべきだ。そして、その組織が膨大な量の機密性の高い顧客情報を保有しているのであれば、コストのかかるサイバー攻撃を受ける可能性は十分にある。開発者は、最初にコードに触れる立場にあるため、他のチームと同様に、セキュリティ・コンプライアンス対策に関与する必要がある。

これは、開発者とAppSecの専門家がより高い水準のコードを追求するために団結する機会である。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるわけではない（サイロ化したセキュリティ専門家だけでは責任を負えない）という事実に、世界は少しずつ追いついてきている。しかし、業界がAIを活用し、セキュリティを共有責任とするDevSecOpsの未来に向かうにつれて、繰り返し発生する脆弱性の流れを食い止めるのに必要なスキルセットを構築することができる。

PCI DSS 4.0に準拠する2025年の期限は、ソフトウェア・セキュリティに積極的な影響を与えるために必要なスキルと技術スタックを備えた開発者を一から育成する業界最大のチャンスです。この最新のガイドラインは、これまでで最も柔軟な運用が可能であり、今こそ開発者を有意義な変革の運転席に座らせる強力なカスタムセキュリティプログラムを作成する時です。

開発チームをPCI DSS準拠に導くためのノーセンスガイドをお読みください：

• PCI DSS 4.0準拠を達成するために、最新の開発者に求められること。
• セキュリティ専門家と開発マネジャーが協力して、開発者主導の強力なセキュリティ・プログラムを構築する方法。
• 最も効果的でやりがいのあるトレーニングを段階的に推奨し、脆弱性を永久に軽減する。

‍

人工知能エンジンはいたるところで普及し始めており、新しいモデルやバージョンが登場するたびに、さまざまな分野に応用できる、より強力で印象的な能力がもたらされているようだ。AIの可能性のある使用例として提案されている分野のひとつは、コードを書くことであり、いくつかのモデルはすでに多数のプログラミング言語を使ってその能力を証明している。

しかし、AIが人間のソフトウェア・エンジニアの仕事を引き継ぐという前提は誇張されすぎている。現在稼働しているトップクラスのAIモデルはすべて、その高度なプログラミング能力に関して決定的な限界を示しており、特に、クラッキングスピードでコンパイルしたコードにエラーや脆弱性を混入させる傾向がある。 

AIの活用が過重労働のプログラマーの時間短縮に役立つことは事実だが、将来は人間とAIが協力し、すべてのコードが可能な限りセキュアであることを保証するクリティカルシンキングと正確なスキルを適用する才能ある人材が完全に担当するようになるだろう。そのため、セキュアなコードを書く能力、脆弱性を発見する能力、そしてアプリケーションが本番環境に入るずっと前から可能な限り保護されていることを確立する能力は不可欠である。

Secure Code Warrior のこの新しいホワイトペーパーでは、以下のことを学ぶことができる：

• LLMのコード出力を盲信することの落とし穴。
• AIコーディングツールで安全に「ペアプログラミング」を行うには、なぜセキュリティに精通した開発者が鍵となるのか。
• AIがプログラミングを支援する時代に、開発者のスキルを向上させる最善の戦略。
• AIの限界（と、それをどのように回避するか）を紹介するインタラクティブなチャレンジ。

‍