ブログ

PCI DSS 4.0.1 アップデート: 顧客決済プロセッサに必要な主要な新しい API セキュリティ アップグレード

イアン・ディノ サムネイル
イアン・ディノ
2024年8月30日公開

最新の PCI DSS (Payment Card Industry Data Security Standard) 4.0.1アップデートは重要であり、API やクライアント側スクリプトを含むソフトウェア サプライ チェーンに重点が置かれています。

PCI DSS 3.2.1 の廃止に伴い、支払いを処理する組織は、最新のマイクロサービスベースのアプリケーション、マルチクラウド環境、API の実装の増加といった進化する環境に適応する必要があります。

このブログ投稿では、ほぼすべての業界や組織での取引に不可欠なものとなっている API の保護を特に目的とした、 PCI DSS 4.0.1 で導入された重要な新しい要件のいくつかについて説明します。

新しい義務には以下が含まれます。

  • 展開前テスト 6.2.3: これは、コードの脆弱性を特定して修正するために、リリース前の API を含む特注およびカスタム ソフトウェアの厳格なレビュー、テスト、および安全な開発プラクティスを重視しています。
  • 一般的な脅威に対する保護 6.2.4: 組織は、特注およびカスタム ソフトウェアにおける一般的なソフトウェア攻撃や関連する脆弱性を防止または軽減するための制御を実装する必要があります。 重点は、ビジネス ロジックの悪用、インジェクション攻撃 (SQL、LDAP、XPATH、その他のコマンド、パラメーター、オブジェクト、障害など)、アクセス制御とデータに対する攻撃などです。 これらはすべて API の保護に重要です。
  • 特注ソフトウェアのインベントリと洞察 6.3.2: 企業はまた、脆弱性の管理とパッチ適用を容易にし、包括的なセキュリティ体制を確保するために、API やサードパーティ コンポーネントを含む特注およびカスタム ソフトウェアの可視性とインベントリを維持する必要もあります。
  • 運用の可視性、脅威の検出、およびテスト 6.4.1 および 6.4.2: このアップデートでは、脆弱性、既知の攻撃、新たな脅威に対する、公開されている Web アプリケーションと API の定期的なテストと継続的な監視および保護の必要性が強調されています。 これらの要件には次のものがあります:
    • 公開されているウェブアプリと API の定期的な (少なくとも年に 1 回) スキャンとテスト
    • 公開されているウェブアプリやAPIの前に展開され、ウェブやAPIベースの攻撃を検出して防止する技術ソリューション

組織は 2025 年 3 月までに遵守する必要があります

PCI DSS 4.0 標準の最新の改訂版は、2024 年 6 月に PCI セキュリティ標準協議会によってリリースされ、近年観察されたビジネスおよび技術の変革に対応したものです。 これらの変更は、API の広範な採用と、対面、Web、モバイル決済システムなど、今日のますますデジタル化が進む経済を支えるサービスややり取りの増加をサポートするアプリとインフラストラクチャの進化を反映しています。

API は脅威のパラダイムの変化を表しており、 API OWASP TOP 10で取り上げられている特定の脅威の独自のセットがあります。 従来の Web アプリと同じような攻撃や脆弱性の影響を受けやすく、ビジネス ロジックが直接公開されることが多いため、攻撃者にとってますます魅力的なターゲットになっています。 また、プライバシーを確保し、ユーザーと関係者の信頼を維持し、API 通信の機密性、整合性、可用性を確保するために、不正アクセス、操作、または漏洩からデータを保護する特定の制御セットが求められます。

組織が準拠しなければならない期限は 2025 年 3 月であり、企業が API とそのクライアント側スクリプトを保護するためにこれらの新しい仕様に準拠することが緊急に必要であることを強調しています。

コンプライアンスを確保するためのいくつかの戦略

PCI DSS 4.0 標準を効果的に満たし、脅威の対象領域全体を保護するには、組織は既存のセキュリティ インフラストラクチャ、プロセス、機能を評価し、次の機能を提供するソリューションの実装を検討する必要があります。

  • 包括的な API 検出: これは、コード リポジトリとの統合から始まり、ソースから直接、完全かつ正確なインベントリとドキュメントを構築します。 ただし、シャドウ API、ゾンビ API、管理されていない API、サードパーティ API を識別するためのトラフィック ベースの分析とドメイン クロールも含まれます。
  • 堅牢な API テスト: このようなテストでは、API コードのプリプロダクション分析と、公開アプリおよび API の動的テストを組み合わせて提供し、コンテキストと修復ガイダンスとともに脆弱性を継続的に特定します。
  • ランタイム保護: 適切な API 動作をブロック、制限、および強制するには、インライン強制および制御メカニズムが必要です。 これには、API 保護ルール、レート制限、データ マスキング、スキーマ強制機能を実装して、確実なセキュリティ モデルを実現するための WAF やその他の API 固有の機能が含まれます。
  • 継続的な監視と異常検出: AI/ML ベースの動作分析と API の継続的なトラフィック検査が含まれており、潜在的な攻撃、機密データの漏洩、API エンドポイントの不正使用や侵害を示す可能性のあるその他の異常な API 動作を識別します。

アップデートは重要ですが、コンプライアンスはそれほど難しいものではありません。

PCI DSS 4.0.1 が API セキュリティに重点を置いていることは、今日の複雑かつ進化し続ける IT 環境におけるデジタル トランザクションの保護に向けた重要なステップを意味します。

期限が近づくにつれ、コンプライアンスの達成と維持には、API セキュリティを強化するための積極的な対策が極めて重要になります。 また、API やクライアント側スクリプトを標的としたサイバー脅威や攻撃に対するインフラストラクチャの回復力が向上し、顧客の支払いカードデータと情報の保護が強化され、顧客や規制機関に対する組織の信用と信用が深まります。

現在の API セキュリティ プラクティスを評価し、ギャップを特定し、必要な改善を実施することで、組織を PCI DSS 4.0.1 準拠に備えることができます。 2025 年 3 月までの準備を確実に整えるために、 PCI セキュリティ標準協議会が提供する追加のリソースとガイダンスについて最新情報を入手してください。

これは難しい作業である必要はありません。 F5 は、組織が新しい要件に適合する制御を評価および実装し、Web アプリと API のセキュリティ体制を強化するのに役立つ専門知識とソリューションを備えています。

F5 の完全な API セキュリティのデモを実際にご覧になり、今すぐお問い合わせの上、当社の専門家とのミーティングを設定してください。