サイバーニュース.jp

世界のサイバーなニュースを配信

Quttera、SOC 2およびPCI DSS v4.0のセキュリティコンプライアンスを自動化する「Evidence-as-Code」APIを発表

カテゴリ:

概要:コンプライアンス自動化の新時代

Qutteraは、WebマルウェアスキャナーAPIの大幅な機能強化を発表しました。これにより、静的なセキュリティスキャンが自動化されたコンプライアンス証拠へと変革されます。今回のアップデートでは、リアルタイムの証拠ストリーミングコンプライアンスマッピングが導入され、従来監査準備に費やされていた手動作業の負担(監査サイクルごとに30〜40時間)を直接的に軽減します。この発表には、GRCプラットフォームに構造化されたセキュリティ証拠を提供するAPI駆動型コンプライアンス自動化と、検出された脅威に即座に文脈を提供するAI駆動型リソース「Quttera脅威百科事典」という2つの統合機能が含まれています。

手動による証拠収集からの脱却

SOC 2、ISO 27001、PCI DSS v4.0の監査を準備する組織は、これまでセキュリティ証拠の収集に何十時間も費やしてきました。これは、レポートのエクスポート、スクリーンショットの取得、発見事項のコンプライアンスコントロールへのマッピングといった手動プロセスによるものです。このアプローチは、古くなった証拠を生み出し、複数のフレームワークにわたってスケールせず、継続的な監視を証明できませんでした。

QutteraのCTOであるマイケル・ノヴォファストフスキー氏は、「セキュリティチームは、あらゆる監査前に求められる手動の『証拠追跡』に疲弊しています。私たちはマルウェア検出を『Evidence-as-Code』へと変革しています。これは、構造化されたリアルタイムのセキュリティデータであり、コンプライアンスワークフローに自動的に流れ込みます。Drata、Vanta、またはカスタムGRCシステムを使用しているかどうかにかかわらず、当社のAPIは人間の介入なしに継続的な証明を提供します」と述べています。

QutteraのAPIは、脅威検出をコンプライアンスメタデータが埋め込まれた構造化JSONに変換し、SOC 2 (CC6.1, CC7.2)、PCI DSS v4.0 (要件6.4.3, 11.6.1)、ISO 27001、GDPRといった複数のフレームワークに同時にマッピングします。

PCI DSS v4.0の新たな要件への対応

このアップデートは、特に2025年3月から義務化されたPCI DSS v4.0の要件を対象としています。中でも、要件6.4.3(決済ページでのスクリプト承認)と11.6.1(ファイル整合性監視)は、手動プロセスでは大規模に提供できない継続的な自動検出を求めています。

ノヴォファストフスキー氏は、「PCI DSS v4.0は、決済スクリプトへの不正な変更のリアルタイム検出を要求しています。当社のAPIは、監視が24時間365日アクティブであること、変更が自動的に検出されること、およびコントロールが継続的に検証されていることを示すタイムスタンプ付きの証拠を提供します」と説明しました。

AIを活用した脅威インテリジェンス

「脅威百科事典」は、検出対応時にセキュリティチームが直面する情報不足を解消します。スキャンレポートに直接統合され、以下の情報を提供します。

  • マルウェアの技術的分析
  • ビジネスへの影響とリスク分類
  • 段階的な修復ガイダンス
  • 既知の攻撃キャンペーンとの関連付け

ノヴォファストフスキー氏は、「私たちは問題の両面を自動化しています。APIはコンプライアンスの証明を処理し、脅威百科事典は運用上の対応を処理します。これらを合わせることで、手動による証拠収集と調査のオーバーヘッドがなくなります」と述べました。現在、百科事典には80以上のウェブマルウェアカテゴリが文書化されており、AIアシストにより新たな脅威に基づいて拡張されています。

主要な機能

  • 自動化されたコントロールマッピング:複数のコンプライアンスフレームワークに対して同時に検出結果をタグ付け。
  • リアルタイム証拠ストリーミング:静的なPDFレポートに代わる継続的なJSONフィード。
  • 行動検出:ヒューリスティック分析により、ゼロデイおよびポリモーフィックな脅威を特定。
  • 統合の柔軟性:標準REST APIを介して既存のGRCプラットフォームと連携可能。

提供状況

強化された機能は、すべてのQuttera API加入者が即座に利用可能です。

Qutteraについて

Qutteraは、自動化されたウェブサイトセキュリティおよびマルウェア検出ソリューションを提供し、金融サービス、ヘルスケア、Eコマース、テクノロジー分野の組織向けにコンプライアンス対応の証拠を提供しています。同社の包括的なスイートには、高度なヒューリスティック分析、ブラックリスト監視、および修復サービスが含まれており、世界中の企業がデジタル資産と評判を保護するのに役立っています。

元記事: https://gbhackers.com/quttera-launches-evidence-as-code-api-to-automate-security-compliance/

投稿をさらに読み込む