Blog

適切なサポートがあれば、開発者は組織を優れた PCI DSS 4.0 コンプライアンスに導くことができます

March 8, 2024
マティアス・マドゥ博士

この記事のバージョンは、最初に掲載されました Dゾーン。ここで更新され、シンジケートされました。

ペイメントカード業界データセキュリティ基準 (PCI DSS) バージョン 4.0 は ほとんどすべてを変える 電子決済を受け入れる企業や組織(その大多数)のセキュリティについて。そして間違いなく、この更新はほとんどの企業にとって変革をもたらすでしょう。セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理など、これまで採用が遅かったかもしれない分野に関する新しい保護を導入する必要があります。

新しい要件は複雑なため、組織には2025年3月までに完全に準拠することが義務付けられています。しかし、その期限は、ほとんどの人が認識しているよりも早く到来します。実際、先見の明のある企業の多くは、開発者が未解決のコンプライアンス状況を乗り切れるようにするための対策を今すぐ講じています。

既成概念にとらわれないトレーニングの枠を超えて

組織の開発者は、インフラストラクチャの多くが依存するコードを作成するので、新しい PCI DSS 4.0 要件の実装に関しては、開発者が手始めとして適しているのは理にかなっています。ただし、ほとんどの開発者は、最新のセキュリティ意識向上プログラムの一環として、スキルアップのための戦略的サポートを必要としています。これは、新しい標準で要求されるより高いレベルのセキュリティを実装し、維持するために必要な経験を身に付けるためです。

実際、PCI DSS 4.0の要件12.6.2は、組織に正式なセキュリティプログラムを実装し、最新の脅威情報と防御技術で常に最新の状態に保つよう指示しています。古い標準では、基本的なセキュリティプログラムや「チェックザボックス」形式の年次コンプライアンストレーニングでも目的は達成できました。この新しい基準ではさらに多くのことが義務付けられており、企業環境内の特定の脅威や脆弱性に対処するセキュリティトレーニングプログラムも義務付けられています。たとえば、個人情報の盗難が組織にとって大きな問題である場合、トレーニングではそれに対処する必要があります。

実践的な観点からも、新しい基準に準拠する場合でも、最小限のトレーニングではもはや十分ではないことは明らかです。代わりに、組織は、セキュリティのベストプラクティスを実際の日常業務に適用する方法を教える、包括的でアジャイルな学習経路を開発者に提供する必要があります。最低限のコンプライアンスへの取り組みにとどまらず、開発者がセキュリティを真に理解するために必要なリソースを提供することで、組織は開発者がPCI DSS 4.0に準拠しつつ、全体としてより適切なセキュリティ上の意思決定を行えるようにすることができます。

幸いなことに、PCI DSS 4.0の新しい要件の多くは、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者がすでに慣れ親しんでいる分野を対象としています。開発者にスキル向上のための、適切で関連性のある使い慣れたリソースが提供されれば、組織は PCI DSS 4.0 が必要とする新しい標準や責任の増大に対して、開発者がより簡単に準備できるようになります。

PCI DSS 4.0をランウェイとして使用して全体的なセキュリティを強化する

新しい PCI DSS 4.0 標準への準拠を成功させるには、適切なセキュリティ教育を通じて開発者のニーズに応えることが鍵ですが、組織のサイバーセキュリティ強化に向けた取り組みは、それだけでは終わりません。確かに、要件は厳しいものですが、ほとんどの組織は要件に準拠するために努力する必要があるため、全体的なセキュリティ意識とトレーニングを向上させるための足がかりとしてこの取り組みを行わない理由はありません。これは、組織がコンプライアンス要件を満たすのに役立つだけでなく、ベストプラクティスを優先し、組織内の全員が同じセキュリティ第一の目標に向かって取り組むことを保証する、ポジティブなセキュリティ文化の醸成にもつながります。

確かに学習には時間がかかりますが、開発者はそのような努力で参加してくれるでしょう。エバンスデータでは 調査 世界中で活発に活動している1,200人以上のプロ開発者のうち、圧倒的多数が安全なコードを作成し、組織でより良いセキュリティ文化を確立するという概念を支持していると答えています。ほとんどの開発者が、開発プロセスの一環として、戦略的かつ支援された安全なコーディングへの移行とセキュリティの優先順位変更を歓迎していることは明らかです。

PCI DSS 4.0で義務付けられているセキュリティアップグレードは、企業がセキュリティのベストプラクティスとトレーニングの改善に投資し、組織内でより良い全体的なセキュリティ文化を取り入れるための絶好の口実となります。

セキュアコーディングのスキルを関連するツールやトレーニングと統合できるプログラムに企業が投資すれば、開発者はより簡単にセキュリティ成熟度を高めることができます。その結果、開発者がより的確な意思決定を行えるようになり、新しい厳格なPCI DSS 4.0標準をはるかに超えて、組織の全体的なセキュリティ体制を改善するうえで、開発者がより的確な意思決定を行えるようになるという、セキュリティ文化の醸成に役立ちます。

[ダウンロード] PCI DSS 4.0 コンプライアンスに関する究極のガイド
キャッチフレーズ

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
キャッチフレーズ

Explore more blogs

これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo