2010年10月29日8:50
決済アプリケーションセキュリティ基準「PA-DSS」入門 第3回(4/4)
要件7. 脆弱性の対応に関するペイメントアプリケーションのテスト
新たに発見された脆弱性の識別、対応とパッチの配布
要件7では、脆弱性の識別と、それに対するパッチの開発および配布プロセスについて言及されている。本要件では、パッチ開発開始に至るまでのプロセス(7.1)と、パッチ開発開始からパッチ配布までのプロセス(7.2)について、それぞれ対応する必要がある。
脆弱性の公開時は、下記2点が要求される。(7.1)
・新しく公開された脆弱性を識別する (日々の情報収集を行う)
・公開された脆弱性の、決済アプリケーションや関連システムへの影響を調査する
影響があり、パッチを開発する必要がある場合は、下記2点が要求される。(7.2)
・迅速にパッチを開発、配布する
・整合性を保った状態で安全にパッチを配布する
まとめと次回予告
決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回
今回はPA-DSS要件5~7の解説を行った。これらは開発プロセスに係る要件だ。開発標準ドキュメントや正式な開発プロセスは、システム開発を行っている企業であれば通常存在する。しかし、かなり古い状態で更新されておらず、ドキュメントが策定された当時から考えると比較的新しい概念である‟セキュリティ”や‟ワイヤレス”といった部分については不十分である場合も多い。仮想技術などについても同様のことが言えるだろう。今一度、PCI DSSおよびPA-DSSにしたがって、開発標準ドキュメントや開発プロセスを見直してみては如何だろうか。
次回、決済アプリケーションセキュリティ基準「PA-DSS」入門第4回では、要件8~13の解説を行う。また、PA-DSSの新バージョンであるv2.0が近日公開予定であるため、バージョンアップにあたっての変更点も可能な範囲で紹介したい。
⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第3回(1/4)へ戻る
⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第3回(2/4)へ戻る
