セキュリティ・パッチは1カ月以内に適用しなければならない:ITPro
Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standardsの話。 http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais_downloads.shtmlで日本語化されたPCI に関する資料および関連リンクがあるので、 あわせて読んでいただきたい。 また、メーリングリストに参加していながら,届いたメールの確認が遅れ,対応が後手に回っては意味が無い。 新たな脆弱性を知らせるメールの確認からセキュリティ・パッチの適用までの保守・運用体制を整備することが重要である。に関しては、例えば、セキュリティホールmemoやOpenmyaMLなど日本語のセキュリティ関連のMLを購読していたところで、 そこに確実に情報が流れるかどうかという話もあるし、じゃぁRSSなどで、そういたサイトの情報を購読していても見落としや確認時間が取れずに...orz ともなりかねないので、企業内では、そういう情報収集の時間も業務時間としてきちんととることが大事ですね。 # なかなか 情報収集=業務 と認めてもらえない知人を知っているので、企業によっては大変かもしれませんが。 シリーズ:セキュリティ基準「PCI DSS」---目次 | 日経 xTECH(クロステック)