重要:Secure Code Warriorはコンプライアンスの専門家やコンサルタントではありません。この記事は一般的なガイドとして意図されており、各標準について公開されている情報に基づく洞察を提供し、特定の監査アドバイスとして解釈されるべきではありません。
PCI DSS
PCI DSSは、カード所有者のデータセキュリティを奨励および強化し、一貫したデータセキュリティ対策をグローバルに広く採用するために開発されました。PCI DSS は、アカウント データを保護するために設計された技術的および運用上の要件のベースラインを提供します。これは、加盟店、処理業者、アクワイアラー、イシュアー、サービスプロバイダーなど、ペイメントカードの処理に関与するすべてのエンティティに適用されます。PCI DSSは、カード会員データ(CHD)および/または機密性の高い認証データ(SAD)を保存、処理、または送信する他のすべてのエンティティにも適用されます。
PCI DSS v4.0 は、次の 6 つの制御目標にグループ化された 12 の要件を提供します。
- 制御目標 1: 安全なネットワークとシステムの構築と保守
- 制御目標 2: カード会員データの保護
- 制御目標 3: 脆弱性管理プログラムを維持する
- 統制目標4:強力なアクセス制御措置の実施
- 制御目標 5: ネットワークを定期的に監視およびテストする
- 統制目標 6: 情報セキュリティポリシーの維持
Secure Code Warriorは、これらの要件のうち8つを満たすのに役立ち、開発者の作業に最も直接的に関連する6つの制御目標のうち5つをカバーしています。
PCI DSS v4.0の推奨事項については、事前に作成されたコーステンプレートを確認してください。
ISO 27001 制御要件
この規格の核心である目標A.7.2.2は、「情報セキュリティの意識、教育、およびトレーニングを、職務に関連するすべての従業員に提供する必要がある」と述べています。それだけでなく、請負業者にもこの認識トレーニングを受ける必要があります。開発者やその他のエンジニアは、コストのかかるミスを避けるために、ソフトウェアセキュリティの基礎を習得する必要があります。これは通常、基本的な要件を超えているため、開発者はソフトウェアのセキュリティと信頼性の学習に継続的に時間を費やすことをお勧めします。
目標A.14.2は、特に開発プロセスにおけるセキュリティを求めています。まず、セキュア開発ライフサイクル (SDLC) に適用されるセキュア開発ポリシーを確立することから始まります
特に、目的A.14.2.3.は、各アプリケーションのテストとレビューを要求します。
目標A.14.2.5は、あらゆる情報システムに対して安全なシステムエンジニアリングの原則を実装する必要があります。脆弱性が発見された場合は、これらの脆弱性の悪用を防ぐための技術的な脆弱性管理プロセス(A.12.6)が必要です。適切なセキュア コーディング トレーニングがなければ、組織の開発者はこれらの脆弱性を修正する準備ができていないか、脆弱性管理が会社にとってコストがかかりすぎる可能性があります。
新たに改訂されたISO 27001:2022には、上記に加えて、Annex A Control 8.28は、適切な安全なソフトウェアコーディング手法を開発、実装、およびレビューすることにより、不十分なソフトウェアコーディング慣行によって発生する可能性のあるセキュリティリスクと脆弱性を組織が防止するのを支援します。
SCW プラットフォームから選択するコースの推奨事項。以下のコースのすべてまたは組み合わせ:
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- セキュリティ要件
- 脅威モデリング
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
SOC 2 - タイプ 2
SOC 2 は、開発者トレーニングの要件を規定するものではありませんが、より広くは、次のことを要求しています。
- 従業員は、採用時およびその後毎年、セキュリティ意識向上トレーニングを完了し、企業のセキュリティポリシーを遵守するための義務と責任を理解します。
サービス組織は、この制御の下で一般的なセキュリティトレーニングに加えて、開発者向けのトレーニングを組み込むことができます。
- 安全なコードの開発とテストのためのポリシーと手順。これには、開発者やテスター向けのセキュア コード トレーニングや、コードの脆弱性を特定して修正するためのツールや方法が含まれる場合があります。ポリシーの正確な範囲と内容は、サービス組織のコードとシステムの性質と複雑さによって異なる場合があります。一般的な目安として、組織はポリシー
に関して次のことを検討することをお勧めします - セキュアコーディングのベストプラクティスと標準:サービス組織は、開発者トレーニングを組み込んで、セキュアコーディングのベストプラクティスへの取り組みを示すことができます。
- 一般的な脆弱性とその回避
方法 - 安全なコードレビューおよびテストツールと方法
- インシデント対応と修復手順
SCW プラットフォームから選択するコースの推奨事項。以下にリストされているコースのすべてまたは組み合わせ
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- セキュリティ要件
- 脅威モデリング
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
GDPR
第5条(f)-個人データは、適切な技術的または組織的手段(完全性および機密性)を使用して、不正または違法な処理、偶発的な損失、破壊、または損害からの保護を含む、個人データの適切なセキュリティを確保する方法で処理する必要があります。
第32条 - 組織は、リスク、技術の進歩、および特定の処理状況に基づいて個人データを保護するための適切な技術的および組織的措置を実施し、個人の権利を効果的に保護することが求められる。GDPRのデータ保護原則(第5条 - 説明責任)の遵守を実証し、開発者が「最先端」(つまり、既存の技術や技術の最高レベルの開発)を十分に考慮できるようにするには、継続的な開発者トレーニングが必要です。
- 個人データを保護するための技術的措置を実施し(第32条)、プライバシー保護の慣行をデータ処理活動の開始時およびライフサイクル全体に統合する(第25条-設計によるデータ保護とデフォルト)。
- 定期的なトレーニングにより、セキュリティ対策がすべてのプロセスに一貫して適用され、新しいスタッフは規制要件と技術標準について等しく知らされます。
SCW プラットフォームから選択するコースの推奨事項。以下にリストされているコースのすべてまたは組み合わせ
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- ソフトウェアセキュリティの基礎
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
HIPAA
セキュリティルール(45 CFR 164)は、エンティティが処理する健康情報を保護し、特定の基準と実装の推奨事項に従うことを要求しています。セキュリティルールの要素の概要を以下に示します。
- 一般原則(45 CFR 164.306)-事業体は、すべての電子保護医療情報(ePHI)の機密性、完全性、および可用性を確保し、以下から保護する必要があります。
-
- 当該情報のセキュリティまたは完全性に対する合理的に予想される脅威または危険性
- 合理的に予想される使用または開示で、許可されていない、または要求
されていないもの
-
- 管理上の保護措置(45 CFR § 164.308) - 企業は、セキュリティ違反を防止、検出、封じ込め、および修正するためのポリシーと手順を実装する必要があります。
これには、従業員が適切に訓練され監督されていること、およびePHIに対するリスクを特定して軽減するためのセキュリティ管理プロセスが実施されていることを確認することが含まれます。
- 技術的保護措置 (45 CFR § 164.312) - 事業体は、許可された者のみが ePHI にアクセスできるようにするための技術的なポリシーと手順を実装する必要があります。これには、アクセス制御措置、監査制御、ePHIが不適切に変更または破壊されないようにするための完全性制御、および電子ネットワークを介して送信されるePHIへの不正アクセスを防ぐための送信セキュリティが含まれます。
管理上の保護措置の一部として直接呼び出されていますが、トレーニングはHIPPAの一般的な言及である「合理的に予想される脅威/使用」の下でも暗示されています。開発者が既知の脆弱性とePHIを適切に保護するために必要な対策について最新の知識を持っていることは合理的です。
SCW プラットフォームから選択するコースの推奨事項。以下にリストされているコースのすべてまたは組み合わせ
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- ソフトウェアセキュリティの基礎
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
NIS2
-
所轄官庁の監督
NIS2 第8条は、各EU加盟国が自国の領土内での指令の適用を監督する責任を持つ所轄官庁を任命することを義務付けています。これらの機関は、NIS2 の対象となるエンティティが、セキュア コード トレーニングに関連するものを含め、その要件に準拠していることを確認する任務を負っています。
-
エッセンシャルサービスの運営者のためのセキュリティ対策(OES):
第14条を参照すると、NIS2は、エネルギー、輸送、健康、金融などのセクターの運営者などのOESに対して適切なセキュリティ対策を実施することを要求していますネットワークと情報システムのセキュリティにもたらされるリスクを管理するため。関係者向けのセキュアコードトレーニングは、これらのセキュリティ対策の1つと見なすことができます。
-
リスクマネジメント:
NIS2は、サイバーセキュリティを強化する上でのリスク管理の重要性を強調しています。セキュアコードトレーニングは、安全でないコードプラクティスに起因するソフトウェアの脆弱性や侵害のリスクを軽減するためのプロアクティブな手段と見なすことができます。-
- リスク管理(第21条):組織はサイバーセキュリティリスクを特定し、管理しなければならない。安全なコーディング手法により、ソフトウェアの脆弱性が大幅に減少し、主要なリスク要因が軽減されます。
- サイバーハイジーン対策(第21条):この指令は、基本的なサイバーハイジーン対策を奨励しており、これには、適切な入力検証や安全なデータ処理などの安全なコーディング原則が含まれることがよくあります。
-
-
設計によるセキュリティとデフォルトのセキュリティ:
NIS2 では、14、16、18 などのいくつかの記事で、設計とデフォルトのセキュリティの原則を推進し、セキュリティに関する考慮事項を製品とサービスの開発に最初から統合することを要求しています。NIS 2の提案のリサイタル54は、セキュリティ・バイ・デザインの「原則」に明示的に言及しており、それを第18条の要件と関連付けています。リサイタルには法的拘束力はありませんが、指令の意図を解釈するための貴重な文脈を提供します。セキュア コード トレーニングは、開発者がソフトウェア開発ライフサイクル全体でセキュリティを優先する、セキュリティ意識の高い開発文化を育む上で重要な役割を果たします。要するに、NIS2 には Security by Design に関する章は 1 つもありませんが、さまざまな記事で予防的なセキュリティ対策とリスクベースのアプローチを提唱することで、この概念を推進しています。
SCW プラットフォームから選択するコースの推奨事項。以下にリストされているコースのすべてまたは組み合わせ
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- Secure Code Warrior の推奨事項
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
- 脅威モデリング
NIST
米国国立標準技術研究所(NIST)は、セキュアコードトレーニングなど、サイバーセキュリティのさまざまな側面に関するガイドラインと推奨事項を提供しています。NISTには規制機関のような特定の要件はありませんが、組織がサイバーセキュリティ体制を改善するために採用できるガイダンスとベストプラクティスを提供しています。ここでは、セキュア コード トレーニングに関する NIST のガイダンスの重要なポイントをいくつか紹介します。
-
NIST Special Publication 800-53:
この出版物は、連邦情報システムおよび組織のセキュリティおよびプライバシー制御のカタログを提供します。セキュア コード トレーニングについては特に取り上げていませんが、組織の全体的なセキュリティ プログラムの一部としてのトレーニングと意識向上プログラムの重要性を強調しています。
-
NIST Special Publication 800-64:
この出版物は、情報セキュリティリスクを管理するためのガイダンスを提供することに焦点を当てています。これは、ソフトウェア開発ライフサイクルに関与する開発者やその他の人員に対するセキュリティトレーニングの重要性を強調しています。特定のトレーニング要件は提供されていませんが、組織が特定のニーズとリスクに基づいてトレーニングプログラムを調整する必要性を強調しています。
-
- NIST Special Publication 800-64 Revision 2: この改訂版では、SP 800-64 で提供されているガイダンスを更新し、ソフトウェア開発ライフサイクルにセキュリティを統合することの重要性を強調しています。一般的な脆弱性を特定して軽減するための安全なコーディング手法と手法について、開発者をトレーニングすることをお勧めします。
- NIST Special Publication 800-64 Revision 2: この改訂版では、SP 800-64 で提供されているガイダンスを更新し、ソフトウェア開発ライフサイクルにセキュリティを統合することの重要性を強調しています。一般的な脆弱性を特定して軽減するための安全なコーディング手法と手法について、開発者をトレーニングすることをお勧めします。
-
-
NIST サイバーセキュリティ フレームワーク (CSF):
NIST CSF は、組織がサイバーセキュリティ体制を管理および改善するためのフレームワークを提供します。特定のトレーニング要件は規定されていませんが、サイバーセキュリティリスクを特定、保護、検出、対応、および回復するための組織の取り組みの一環として、サイバーセキュリティの認識とトレーニングの重要性を強調しています。
-
NIST Secure Software Development Framework (SSDF):
SSDF は、一連の要件ではありませんが、安全なソフトウェア開発のプラクティスを概説しています。これらのプラクティスの 1 つである PW.5: Create Source Code by Adhering to Secure Coding Practices は、セキュア コーディング手法の開発者をトレーニングすることの重要性を強調しています。このプラクティスでは、インプレース トレーニングを提供する開発環境の使用など、セキュリティで保護されたコーディング プラクティスを実装する方法について詳しく説明します。
SCW プラットフォームから選択するコースの推奨事項。以下にリストされているコースのすべてまたは組み合わせ
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- 大統領令(EO)14028に基づく「EOクリティカルソフトウェア」の使用に対するセキュリティ対策
- Secure Code Warrior の推奨事項
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
- 脅威モデリング
FedRAMP
FedRAMP (Federal Risk and Authorization Management Program) は、政府機関向けに設計されたフレームワークです。このフレームワークは、連邦政府機関がさまざまなインフラストラクチャプラットフォーム、クラウドベースのサービス、ソフトウェアソリューションに対するサイバー脅威とリスクを評価できるようにする標準化されたガイドラインを提供します。
このフレームワークは、ITインフラストラクチャとクラウド製品の継続的な監視にも基づいており、リアルタイムのサイバーセキュリティプログラムを促進します。さらに重要なことは、FedRAMP は、面倒で束縛され、セキュリティで保護されていない IT から、より安全でモバイルで迅速な IT への移行に重点を置いていることです。その目的は、連邦政府機関がセキュリティを損なうことなく、最新の信頼性の高いテクノロジーにアクセスできるようにすることです。
必要なセキュリティレベルを達成するために、FedRAMP はクラウドおよびサイバーセキュリティの専門家と協力して、他のセキュリティ フレームワークを維持しています。これらには、NSA、DOD、NIST、GSA、OMB、およびその他の民間セクターグループが含まれます。
FedRAMP とセキュア コーディングの関係は次のとおりです。
- セキュリティ制御: FedRAMP は、包括的なセキュリティ制御セットの実装を義務付けています。これらの制御には、多くの場合、次のような安全なコーディング手法に関連する要件が含まれます。
- 入力検証
- 出力エンコーディング
- アクセス制御
- エラー処理
- 暗号化の実践
- 第三者評価: FedRAMP は、クラウド サービス プロバイダー (CSP) に対して、独立したセキュリティ評価を受けることを義務付けています。これらの評価には、多くの場合、CSPの安全なコーディングプラクティスのレビューと、OWASP Top 10などの業界標準への準拠が含まれます。
- 継続的な監視: FedRAMP では、セキュリティ要件への継続的なコンプライアンスを確保するために、クラウド サービスを継続的に監視する必要があります。これには、安全でないコーディング手法によって発生する可能性のある脆弱性の監視が含まれます。
- 他の標準への準拠: FedRAMP は、多くの場合、NIST 800-53 などの他のセキュリティ標準を参照し、これにはセキュア コーディングに関連する要件も含まれています。
SCW プラットフォームから選択するコースの推奨事項。以下にリストされているコースのすべてまたは組み合わせ
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- 大統領令(EO)14028に基づく「EOクリティカルソフトウェア」の使用に対するセキュリティ対策
- Secure Code Warrior の推奨事項
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
- 脅威モデリング
HITRUST
HITRUST Common Security Framework (CSF) には、リスク分析とリスク管理のフレームワーク、および運用要件が含まれています。このフレームワークには 14 の異なる制御カテゴリがあり、医療を含むほぼすべての組織に適用できます。
このフレームワークは、医療業界の組織がITセキュリティを管理する際に直面するセキュリティ問題に対応するために開発されました。これは、このような機関に、リスクを管理し、さまざまなコンプライアンス規制を満たすための効率的、包括的、かつ柔軟なアプローチを提供することによるものです。
特に、個人情報の保護に関する各種コンプライアンス規程を統合した体制です。これには、シンガポールの個人データ保護法が含まれ、一般データ保護規則の関連要件を解釈します。
HITRUST とセキュア コーディングの関係は次のとおりです。
- セキュリティ制御: HITRUST の CSF (Common Security Framework) は、機密性の高い健康情報を保護するために組織が実装する必要がある一連のセキュリティ制御の概要を示しています。これらのコントロールの多くは、次のような安全なコーディング手法に直接関連しています。
-
- 入力検証
- 出力エンコーディング
- アクセス制御
- エラー処理
- 暗号化の実践
-
- 評価と認証: HITRUST は、組織のセキュリティ管理と CSF への準拠の厳格な評価を含む認証プロセスを提供します。これには、組織のソフトウェア開発プラクティスのセキュリティを評価し、それらが安全なコーディング原則に準拠していることを確認することが含まれます。
- 第三者評価: HITRUST は、認定評価者による独立した評価を受けることを組織に要求しています。これらの評価には、多くの場合、組織の安全なコーディング プラクティスのレビューと、OWASP Top 10 などの業界標準への準拠が含まれます。
- 継続的な監視: HITRUST は、CSF への継続的なコンプライアンスを確保するために、組織に継続的な監視プロセスを実装することを要求しています。これには、安全でないコーディング手法によって発生する可能性のある脆弱性の監視が含まれます。
SCWプラットフォームから選択するコースの推奨事項
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- Secure Code Warrior の推奨事項
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
DORA
デジタル・オペレーショナル・レジリエンス法(DORA)は、EUの金融セクターのための拘束力のある包括的な情報通信技術(ICT)リスク管理の枠組みを作成する欧州連合(EU)の規制です。
DORAは、金融機関とその重要なサードパーティテクノロジーサービスプロバイダーが2025年1月17日までにICTシステムに実装しなければならない技術基準を確立しています。
DORA は、セキュア コーディング標準に直接対処するものではありませんが、金融機関がソフトウェア開発とセキュリティのベスト プラクティスを採用するように奨励される規制環境を作り出します。ソフトウェアが安全に開発されていることを確認することで、金融機関はDORAの要件を満たし、運用の回復力を高めることができます。
DORA とセキュア コーディングの関係は次のとおりです。
- インシデント管理: DORA は、金融機関に堅牢なインシデント管理フレームワークを整備することを要求しています。安全なコーディング プラクティスは、データ侵害やシステム障害など、重要な運用を中断する可能性のあるインシデントを防ぐのに役立ちます。
- サードパーティリスク管理:DORAは、サードパーティサービスプロバイダーに関連するリスクを管理することの重要性を強調しています。安全なコーディング手法は、サードパーティのソフトウェアコンポーネントまたはサービスを扱う際のリスクを軽減するのに役立ちます。
- テクノロジーリスク管理:DORAは、金融機関に包括的なテクノロジーリスク管理フレームワークを持つことを要求しています。ソフトウェアの脆弱性は運用の中断につながる可能性があるため、安全なコーディング手法は、テクノロジーリスクを軽減するための基本的な側面です。
- 事業継続管理: DORA は、混乱が発生した場合でも重要な運用を継続できるように、事業継続計画を義務付けています。セキュア コーディングは、継続性計画のトリガーとなる可能性のあるインシデントの可能性を減らすことで、ビジネス継続性に貢献できます。
SCWプラットフォームから選択するコースの推奨事項
- OWASP Top 10 Awareness または OWASP Top 10 Awareness の詳細
- Secure Code Warrior の推奨事項
- セキュリティ要件
- 機密データの保管
- パスワードのプレーンテキスト保存
- 機密情報のプレーンテキスト保存
- 情報の露出
- 機密データの露出
コメント
0件のコメント
記事コメントは受け付けていません。