退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える:パート1-AppSec

これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。

「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。

私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを（垂直方向に）読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している（そして常に正しいことをしようとしている）が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。

重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている（またはそうあるべき）ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。

しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。

PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。

データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。

PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。

ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません

大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。

PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化（悪意のある攻撃を阻止するために不可欠）を求めています。 コード・インジェクション または改ざん）、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。

ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。

著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。

これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。

しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。

エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める

エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます（ほとんどの場合、それが素晴らしい経験ではなかったことは別として）。

クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。

では、良いトレーニングとはどのようなものなのでしょうか？一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね？

上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。

このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。