20世紀の有名な銀行強盗犯ウィリー・サットンに帰属される有名な言葉があります。銀行を襲った理由を聞かれたサットンは、「金があるからだ」と答えました。
サットンの全盛期から80年以上経った今、その論理は依然として当てはまります。金融サービス機関は依然として攻撃者の主要なターゲットです。今日では、ロビーを占領して現金と硬貨でいっぱいのキャンバスバッグを詰めるのではなく、攻撃者は暗号ウォレットを満たすために高価値データを探しています。
2025年だけでも、米国の金融サービス機関に739件のデータ漏洩の影響がありました1。AIが攻撃の速度と規模を増加させるにつれて、その数は増える可能性があります。
カードホルダーデータをサイバー犯罪から保護するために、組織はペイメントカード業界データセキュリティ規格(PCI DSS)フレームワークを開発しました。しかし、定期的なスキャン、静的なコントロール、またはポイントイン タイムの監査では不十分です。セキュリティチームはランタイムセキュリティが必要です。
ランタイムセキュリティは、実際に機密データを処理および保存するシステムに継続的な可視性、リアルタイム検出、および実行可能なコンテキストをもたらします。これはコンプライアンスをチェックリスト上のアイテムからリスクを本当に軽減する戦略へとシフトします。
ネットワークセキュリティコントロールの継続的な保証
PCI DSSはネットワークトラフィックの厳密なコントロールとカードホルダーデータ環境(CDE)のセグメンテーションを要求しています。従来、チームはファイアウォール、VLAN、および静的ダイアグラムに依存していました。依然として重要である一方で、これらのコントロールは包括的ではありません。
ランタイムセキュリティはギャップを埋めます。リアルタイムでセグメンテーションを検証するのに役立ちます。チームはイースト-ウェストトラフィックを監視し、不正な接続を検出し、ポリシードリフトを発生時に識別できます。
ランタイムの可視性は爆発半径も削減します。攻撃者が予防的なコントロールを回避する場合、チームは迅速に範囲を理解し、影響を含め、露出を制限できます。これにより監査の複雑さが低下し、コンプライアンスコストが削減されます。
ドリフトなしでセキュアな構成を維持する
PCI DSSは強化されたシステムとセキュアな構成を要求していますが、動的なクラウド環境で時間をかけてその状態を維持することは難しく、設定ミスは依然として主要な懸念事項です。2
ランタイム対応クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は継続的に構成を監視し、ドリフトを検出し、クラウドおよびKubernetes環境全体でベンチマークに対して検証します。また、デプロイメント時にポリシーを実施し、不安全なワークロードが本番環境に到達するのを防ぎます。
カーネルレベルの可視性は、攻撃者がログを改ざんしても活動をキャプチャし、監査に耐える法医学的証拠を提供します。
データアクセスと移動の可視性を獲得する
保存されたデータの保護とデータ転送中の保護はPCI DSSの基本的な要件です。ただし、悪用や不正アクセスを検出できない場合、暗号化だけでは十分ではありません。
ランタイムセキュリティは、3つの重要な方法でデータがリアルタイムでどのようにアクセスおよび移動されるかを示します:
- 異常な活動をしているファイルアクセスとプロセスの動作を監視する
- 不安全なプロトコルとプレーンテキスト通信を特定する
- 流出を示す異常な外向きトラフィックを検出する
これらのランタイムインサイトは大規模なデータ漏洩の可能性を低減し、爆発半径を制限するための対応を加速し、潜在的な法的および法医学的コストを軽減します。
ランタイムの動作をデータの場所と相関させることで、組織はすべてのインフラストラクチャを平等に扱うのではなく、最も機密性の高い資産に努力を集中させることができます。
リアルタイムで脅威を検出して対応する
従来のアンチマルウェアツールはコンテナ化および一時的な環境で苦労し、署名ベースの検出は最新のクラウド攻撃を見逃します。
ランタイムセキュリティは既知の署名だけでなく動作を検出します。クリプトマイナー、リバースシェル、権限昇格、および異常なプロセスを発生時に特定します。
セキュリティチームは事実上のインシデント再構成の代わりに即座に対応します。これはランサムウェアのダウンタイムを削減し、対応コストを低下させます。秒が重要な場合、ワークロードの分離または侵害されたコンテナの終了などの自動アクションは、攻撃が拡散する前にそれらを停止します。
悪用可能な脆弱性に優先順位をつける
脆弱性管理はほとんどのPCIプログラムを遅くします。チームは多くの結果に埋もれており、文脈が不足しています。
攻撃者はポイントイン タイムスキャンよりも速く動きます。既知の悪用可能な脆弱性(KEV)の約29%は、CVEが公開された日にまたは公開前に悪用の証拠を示しています。3
ランタイムインサイトをCI/CDパイプラインに統合することで、セキュリティと開発チーム間のコラボレーションが向上します。これにより、脆弱性がライフサイクルの早期に対処されることが保証され、ダウンストリームのリスクが削減されます。
セキュリティと開発者はランタイムコンテキストを持つ場合、より速く移動します。彼らは活動中のワークロードの脆弱性に優先順位をつけ、アラートノイズを削減し、修復のバックログを縮小して、実際に悪用可能なものに焦点を当てることができます。
AI駆動の修復ガイダンスとデータ感度コンテキストと組み合わせると、チームは手動調査とデータサイロに時間を無駄にするのではなく、最も重要な脆弱性を修正します。
動的環境で最小権限を実施する
PCI DSSは厳密なアクセスコントロールを要求していますが、クラウド環境はアイデンティティの拡散と権限の増加をもたらします。定期的なレビューでは対応できません。
ランタイムセキュリティはアイデンティティを活動に接続します。チームは誰が何にアクセスしたか、いつ、どのようにアクセスしたかを確認できます。彼らはリアルタイムで権限昇格、認証情報の悪用、および過剰な権限を検出できます。
これはインサイダーリスクを軽減し、侵害された認証情報からの露出を制限し、監査証拠を強化します。
ログを実行可能なインテリジェンスに変える
ログはPCI DSSにとって不可欠ですが、コンテキストなしのボリュームはノイズに過ぎません。ランタイムセキュリティはシステムコールレベルで高忠度テレメトリをキャプチャし、プロセス、ネットワーク接続、およびコマンドを追跡します。
これは検出までの平均時間(MTTD)と対応までの平均時間(MTTR)を改善し、侵害リスクを低減し、コストを削減します。
クラウドとワークロード全体の統合された可視性は盲点を排除し、PCI対象資産の完全なカバレッジを保証します。
ポイントイン タイムコンプライアンスを超える
PCI DSSは四半期スキャンや年次侵入テストなどの定期的なテストに依存しています。これらはコントロールを検証しますが、評価間のギャップを残します。攻撃者はスケジュールに従って動作せず、この非対称性は彼らに利点を与えます。これは防御側のジレンマです。
ランタイムセキュリティは継続的な検証を提供します。チームはセグメンテーション ドリフト、露出、および設定ミスを発生時に検出できます。
自動化されたレポートはガバナンスを簡素化し、監査の防御可能性を強化し、セキュリティをビジネス優先事項に合わせます。
PCI コンプライアンスをセキュリティ上の利点に変える
PCI コンプライアンスはしばしばチェックボックス演習と見なされます。必要で、時間がかかり、負担になります。ランタイムセキュリティは継続的な可視性、リアルタイム検出、およびリスクベースの優先順位付けを提供することで、コンプライアンスを利点に変換します。
ランタイム搭載のCNAPPで、次のことができます:
- 攻撃面を削減する
- 脅威をより速く検出および封じ込める
- コンプライアンス運用を合理化する
- 監査の信頼性を強化する
さらに重要なことに、このアプローチはリスクを軽減し、コストを削減し、ブランドレピュテーションを保護することで、セキュリティをビジネス成果に合わせます。
ランタイムセキュリティを採用している金融サービス機関は、単にPCI要件を満たしているわけではありません。彼らはより弾力的で適応可能なセキュリティプログラムを構築しています。
静的なコントロールと遅延信号への依存を停止します。実際に実行されているものをセキュアすることを開始します。
Sysdig Secureはリアルタイムで、AI搭載クラウド防御でPCI コンプライアンスを達成および維持するのに役立ちます。
SysdigがリアルタイムでPCIリスクを軽減する方法を確認してください。デモをリクエストしてください。
翻訳元: https://webflow.sysdig.com/blog/why-runtime-security-matters-for-pci-dss-compliance
