PCIDSS
学習書籍・・・
■PCIデータセキュリティ基準完全対策
出版社:日経BP社
価格:¥2,940(税込)
一部では、かなり大慌てになっている企業・ITベンダーも多い、PCI DSS(Payment Card Industry Data Security Standard)とWAF導入です。
遅かれ、早かれ、今後、Webショップなどにも「義務化される」と思いますよ。
カード情報を取得するショップも多いですよね。
F5 Networks Japan K.K.のWebを読むと、状況がわかりやすく書かれています。
http://www.f5networks.co.jp/solution/topics/pcidss/waf.html
これだけ、Webサーバーへの攻撃が行われているので、生易しい対策ではダメという判断がされたってことですね。
F5 Networks Japan K.K.のWebに書かれている、要注目箇所の
2008年6月30日以降は「必須となり、WAF(Webアプリケーション・ファイアウォール)の導入が不可欠」
が一番目を引くところですね。
正確には、この書籍「PCIデータセキュリティ基準完全対策」のP116~P127に目を通して理解しておかないといけません。
PCI DSSへの準拠のために、「ソースコード レビュー」もしくは、「WAFの構築が必須」です。
きちんとした企業では、両方行うことになる(なっている)はずです。
「脆弱性を管理するプログラムの整備(要件6)」だけでも、期限などの規定が明確になっているものが多いので、今後パッチあてなども、スケジュールに載せて、シビアに行わないといけなくなります。
まあ、今まできちんとやってきたところは、いいのでしょうが。
セキュリティパッチの適用も、きちんとした適用可否の判断と記録なども求められそうなので、Webショップをやっている人も、自分で知識のある人を、数名、知人としてアドバイスしてもらえるように確保しておかないといけなくなるでしょう。
でないと、PCI DSSで決められていることを怠ったとか指摘されて、訴訟になることも、近い将来十分考えられます。
P117の「開発ライフサイクルにおける情報セキュリティ」のところに書かれている「開発環境、テスト環境、本番環境は分離する」というところを見ると、素人目で見ても、ますます「Ruby on Rails」が流行りそうですね(^^)。
(もちろん、今までも環境って分離されていたはずですが・・・。Web系は、そうでもないかな?)
参考URLです。
OWASP(Open Web Application Security Project)です。
http://www.owasp.org/index.php/Main_Page
Webアプリ開発時のコーディングガイドラインを出しています。
学習書籍・・・
学習書籍・・・
