FinServ コンプライアンスはソフトウェアセキュリティに依存
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
PCI DSSなどの金融サービス業界を統制する規制は、安全なコードの重要性と、セキュリティのベストプラクティスについて開発者を訓練する必要性を強調しています。
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。
金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。
たとえば、ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA(DORA)と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。
そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。
それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則
金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。
その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。
セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です
ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。
PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。
要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。
たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。
また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。
- 職務や開発言語に関連するソフトウェアセキュリティ
- 安全なソフトウェア設計とコーディング技術。
- ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)
しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。
PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。
また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。
コンプライアンスはSDLCの開始時に始まる
これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。
組織は、DevOpsチーム(開発のスピードに重点を置いている)とAppSecチーム(プロセスにセキュリティを導入しようと急いでいる)の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。
金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル(50万ドル)、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。
クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
Veuillez vérifier Secure Code Warrior Sur notre blog, vous pourrez approfondir vos connaissances sur la cybersécurité et les menaces de plus en plus dangereuses, et découvrir comment mieux protéger votre organisation et vos clients grâce à des technologies et des formations innovantes.
Table des matières
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
