FinServ コンプライアンスはソフトウェアセキュリティに依存
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
이 글은 Secure Code Warrior의 업계 전문가 팀이 작성했습니다. 개발자가 처음부터 안전한 소프트웨어를 구축하기 위한 지식과 기술을 습득하는 것을 목표로 합니다. 보안 코딩 실천에 관한 깊은 전문 지식, 업계 동향, 현실 세계의 통찰력을 활용하고 있습니다.
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
이 글은 Secure Code Warrior의 업계 전문가 팀이 작성했습니다. 개발자가 처음부터 안전한 소프트웨어를 구축하기 위한 지식과 기술을 습득하는 것을 목표로 합니다. 보안 코딩 실천에 관한 깊은 전문 지식, 업계 동향, 현실 세계의 통찰력을 활용하고 있습니다.
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
확인해 주세요 시큐어 코드 워리어 블로그 페이지에서는 사이버 보안, 즉 점점 더 위험해지는 위협 환경에 대한 통찰력을 깊이 있게 살펴보고, 혁신적인 기술과 교육을 도입하여 조직과 고객을 더 잘 보호하는 방법을 배울 수 있습니다.
목차
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
