FinServ コンプライアンスはソフトウェアセキュリティに依存

金融サービス機関には、使用するソフトウェアコードの安全性を確保する十分な理由があります。もちろん、明らかな動機は、個人情報漏えい、クリーンアップ費用、罰金や賠償、組織の評判の低下という点でコストがかさむ可能性がある侵害からデータを保護する必要性です。もう 1 つの理由として、業界や政府のさまざまな規制を順守し続ける必要があることが挙げられます。

金融サービスは人々のお金だけでなく、非常に多くの機密情報、個人情報、金融情報を扱うため、規制の厳しい業界です。提供するサービスにもよりますが、企業はさまざまな規則や要件を遵守しなければなりません。

たとえば、ペイメントカード業界データセキュリティ基準（PCI DSS）は、カード会員データの保護に関する規則でよく知られています。の要件 サーベンス・オクスリー法 財務記録管理を管理します。国際的に事業を展開する企業は、 デジタル・オペレーショナル・レジリエンス法 拘束力のあるリスク管理フレームワークであるDORA（DORA）と、DORAによって確立された資金移動のグローバルスタンダード 世界銀行間金融通信学会、スイフトとして知られています。

そして、次のような法律 カリフォルニア州消費者プライバシー法 (CCPA) と欧州連合 一般データ保護規制 (GDPR) は、お客様のプライバシーと個人情報を保護するための要件を定めています。その他にも、米国通貨監督局 (OCC) や欧州中央銀行 (ECB) が定める規制などがあります。

それだけでは不十分な場合は、 国家サイバーセキュリティ戦略 とりわけ、効果のないソフトウェアセキュリティについてはソフトウェアメーカーに責任を負わせるべきだと述べています。また、サイバーセキュリティ・インフラストラクチャー・セキュリティ機関 (CISA) は、17の米国および国際パートナーとともに、以下に関するガイダンスを発行しています。 セキュア・バイ・デザイン ソフトウェア開発の原則

金融サービス会社に共通しているのは、これらの規制の目標を達成するうえで安全なコードが重要な要素であり、規制の遵守を容易に実証するのに役立つということです。また、開発プロセスの開始時にコードにセキュリティが適用されるようにするために、開発者がトレーニングとスキルアップを必要とする理由も浮き彫りになっています。

その仕組みの例として、最新バージョンの PCI DSS を見てみましょう。

セキュアコーディング (および開発者トレーニング) は PCI DSS 4.0 の中核です

ピクシーダス 4.02024 年 4 月 1 日に義務付けられたこの更新には、PCI DSS 3.2.1 に対するいくつかの大幅な更新が含まれています。特に、安全なソフトウェアコードを確保する上で開発者が果たす役割に重点が置かれています。

PCIはこれまで、安全なソフトウェアの重要性を長い間認識してきました。2017 年にリリースされたバージョン 2.0 には、以下が含まれます。 開発者向けガイダンス モバイルデバイスでの安全な取引の確保について。バージョン 4.0 のガイダンスでは、ソフトウェア開発へのセキュリティのベストプラクティスの適用に重点が置かれ、開発者トレーニングに関する具体的なガイダンスもいくつか含まれています。

要件は大まかに述べられていることが多いですが、企業はより徹底したアプローチを採用したい場合があります。

たとえば、バージョン4.0の要件の1つは、「安全なシステムとソフトウェアを開発および保守するためのプロセスとメカニズムが定義され、理解されている」というものです。それを確実に理解するための良い方法は、知識のギャップを埋めるために、開発者が使用しているプログラミング言語とフレームワークに関する正確なトレーニングを受けることです。

また、特注ソフトウェアやカスタムソフトウェアを開発する開発者は、少なくとも12か月に1回、以下の内容を含むトレーニングを受ける必要があるという要件もあります。

• 職務や開発言語に関連するソフトウェアセキュリティ
• 安全なソフトウェア設計とコーディング技術。
• ソフトウェアの脆弱性を検出するためのセキュリティテストツールの使用方法 (使用している場合)

しかし実際には、中核となるセキュリティ問題に対処し、悪いコーディング習慣を断ち切るには、年に1回では十分な頻度ではありません。トレーニングは継続的かつ測定的に行い、スキル検証プロセスを経て効果的に活用されていることを確認する必要があります。

PCI DSS 4.0には、さまざまな種類の攻撃の防止と軽減、サードパーティ製ソフトウェアコンポーネントの文書化、脆弱性の特定と管理、その他のセキュリティ手順などの分野に対応する要件が6以上含まれています。いずれの場合も、組織はこれらの対策を徹底的に追求するのが賢明でしょう。攻撃ベクトルに関するトレーニングは、毎年ではなく、頻繁に実施する必要があります。脆弱性の原因となることが多いサードパーティ製コンポーネントは、ソフトウェア部品表 (SBOM) プログラムを通じて慎重にインベントリする必要があります。また、組織は脆弱性を管理する役割を明確に定義しておく必要があります。

また、新しいバージョンでは、認証制御、パスワードの長さ、共有アカウント、その他の要素に関する新しい要件を追加しながら、チェックボックスではなく結果に焦点を当てて、要件をある程度柔軟に満たすことができます。

コンプライアンスはSDLCの開始時に始まる

これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。また、最新の PCI DSS バージョンの場合と同様に、ソフトウェア開発ライフサイクル (SDLC) の初期段階で、セキュアコードの重要性がますます強調されるようになっています。また、国家サイバーセキュリティ戦略とCISAのSecure by Designの原則では、セキュリティの責任はソフトウェアが出荷される前にソフトウェアメーカーに委ねられているため、金融サービス規制の影響を直接受けていない企業であってもこれに従う必要があります。

組織は、DevOpsチーム（開発のスピードに重点を置いている）とAppSecチーム（プロセスにセキュリティを導入しようと急いでいる）の間に存在するギャップを埋める必要があります。そのためには、開発者をトレーニングして、それぞれのアプローチにセキュリティを組み込む必要があります。ただし、そのためには、毎年のトレーニングセッションや、標準的な停滞した教育プログラムでは提供できない複雑なスキルが必要です。トレーニングは継続的かつ機敏で、学習者をアクティブで現実世界のシナリオに引き込むように構築し、学習者の作業スケジュールに合わせて短期間で提供する必要があります。

金融サービス企業は、セキュリティ侵害からの保護と、ますます厳しくなる規制へのコンプライアンスの両方を実現するために、セキュリティを確保する必要があります。コンプライアンス違反によるコストは、企業の評判や金銭的コストへの影響という点では、違反と同様に損害を与える可能性があります。IBMの データ漏えいのコストに関するレポート 2023たとえば、コンプライアンス違反の度合いが高い組織は、平均して合計505万ドル（50万ドル）、つまり50万ドルの罰金やその他の費用に直面していることがわかりました。 もっと 実際のデータ漏えいによる平均コストを上回ります。

クラウドベースの環境とデジタルトランザクションの継続的な成長により、金融サービス業界におけるソフトウェアのセキュリティは最重要事項となっています。これは、PCI DSSなどの規制でも認識されています。ソフトウェアの安全を確保する最善の方法は、SDLC の開始時に安全なコーディングを行うことです。そのための方法は、安全なコーディング手法について開発者を効果的にトレーニングすることです。

セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされた電子書籍「Secure Code Warrior」をご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。

Compruébelo Guerrero del código seguro En la página del blog, podrá profundizar en sus conocimientos sobre ciberseguridad y el entorno de amenazas cada vez más peligroso, y aprenderá cómo proteger mejor a su organización y a sus clientes mediante la adopción de tecnologías innovadoras y formación.

‍