最新のBSIMMレポートにおいて、122の企業/団体が実践してきたソフトウェア・セキュリティ・イニシアティブの状況が判明
2019年11月28日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、セキュア開発成熟度モデル(BSIMM)の調査レポートの最新版であるBSIMM10(日本語版)を公開した。BSIMMは、ソフトウェア・セキュリティ・イニシアティブ(SSI:software security initiatives)の計画/実施/成熟/測定を行う組織を支援するものである。シノプシスは、過去10年にわたり延べ185の企業/団体を対象に450回近くのBSIMM調査に関わってきた。今回で10度目となるBSIMMには、122の企業/団体で取り組まれているソフトウェア・セキュリティのアクティビティの状況がまとめられている。BSIMM10ではセキュリティ対策に対するDevOps(開発と運用の連携)の影響、エンジニアリング主導のセキュリティへの取り組みという新しい動きの出現、セキュリティ対策の成熟の3つのフェーズをどのように進展させるかについて強調されている。BSIMM10レポートは下記よりダウンロードできる。
https://www.bsimm.com/ja-jp/download.html?cmp=pr-sig
MassMutual社 エンタープライズ・インフォメーション・リスク・マネージメント部門責任者 Jim Routh氏は、次のように述べている。「2008年の調査開始以来、BSIMMは全世界の最先端のセキュリティ・チームを含む様々な形態/規模の組織が、いかにしてソフトウェア・セキュリティ戦略に取り組んでいるかを把握するための非常に有効なツールとして貢献してきました。今回のBSIMMデータからは、リリース・サイクルの短縮、自動化の進行、ソフトウェア定義インフラストラクチャなど、最新の開発およびデプロイメントの手法の最新動向に合わせて、多くの組織がアプローチを適合させていることが伺えます」
BSIMM10では、7,900人のソフトウェア・セキュリティ専門家の取り組みが類型化されている。こうした取り組みは、17万3千以上のアプリケーションに携わる47万人近くのソフトウェア開発者のセキュリティ対策をガイドし、その取り組みを最大限に活かすのに役立つものとなる。金融、ハイテク、独立系ソフトウェアベンダー(ISV:Independent Software Vendors)、クラウド、医療、IoT、保険、小売などをはじめとするさまざまな業界の企業/団体がBSIMM10に参加している。
BSIMM10の結果で注目されるポイントは以下のような項目である。
DevOpsのソフトウェア・セキュリティへの影響
BSIMMデータは、DevOpsの動きと継続的インテグレーションと継続的デリバリー(CI/CD)ツールの採用が、企業のソフトウェア・セキュリティへのアプローチに影響を与えていることを示している。このことは、企業/団体が新しい機能を市場に提供するスピードに合わせてセキュリティ対策を自動化するために、いかにして積極的に取り組んでいるかを示す3つの新しいアクティビティを、BSIMMの調査項目に追加したことから確認できる。またBSIMM10では、既存の活動が先進のDevOpsの一環として実践されているかどうかを明確にするために、そうした活動についての表現や例を刷新している。
エンジニアリング主導のセキュリティ文化という新しい動き
BSIMM10により、SSIの文化の変化が初めて浮き彫りとなった。この変化は、ソフトウェア・セキュリティへの取り組みが、ソフトウェア・セキュリティ部門からのトップダウンではなく、エンジニアリング主導により開発/運用部門からのボトムアップで開始されているケースで起きている。いくつかの組織では、エンジニアリング主導でのセキュリティ文化が、ソフトウェア・セキュリティの効果的な取り組みを実現/発展させるのに伴う困難を克服している。このエンジニアリング主導のセキュリティ文化の新しい波は、アジャイルやDevOpsなどの先進的なソフトウェア・リリース手法を活用したい、これまでのSSIで発生した不必要な摩擦を回避したいという要求を背景に生まれている。
BSIMM10では、これまでの調査とは異なり、初めてSSIへの取り組みの進捗を導入期/成熟期/最適化期の3段階に分けて定義し、各社の成熟度を調査している。今回の調査から、各社の取り組みは時間の経過とともに明らかに改善しており、多くの組織ではより多くの活動を常に追求するのではなく、実施している活動の深さ、幅、規模に焦点を当てた成熟度を達成していることを示している。
シノプシス 主席サイエンティスト Sammy Miguesは、次のように語っている。「効果的なソフトウェア・セキュリティ・イニシアティブの実践は困難を伴い、DevOpsやCI/CDの導入による劇的な技術的/組織的変化によって、そのタスクが容易になるものではありません。BSIMMは、世界中の数百ものソフトウェア・セキュリティ・グループの経験を反映するために常に進化を続けており、その調査内容と参加企業/団体のコミュニティは、導入段階であれ、取り組みを最適化していく段階であれ、新たな課題にチャレンジする段階であれ、かけがえのない支援材料となります」
BSIMMは、SSIを確立した実際の企業/団体から収集されたデータが含まれ、各社に共通する取り組みと独自の取り組みを明確にするために119種の項目の実践の度合いを定量化している。こうして得られたBSIMMデータは、セキュリティ成熟度が高い場合にはモデルで説明されている12のプラクティス全てで多数のアクティビティを実行している、バランスが取れたものになることを示している。参加企業/団体は、BSIMMを活用して自社の取り組みを比較し、どのような追加の取り組みを実践するのが自社戦略全体にとって有効であるかを判断できる。
謝辞
過去11年にわたって実施してきたセキュリティ・リサーチを通じて収集したデータを分析しBSIMM10を執筆したシノプシス 主席サイエンティスト Sammy Miguesならびにマネージング・プリンシパル Michael Ware、ZeroNorth社 CTO John Steven氏、そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。
Adobe, Aetna, Alibaba, Ally Bank, Amadeus, Amgen, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, NVIDIA, PayPal, Principal Financial Group, Royal Bank of Canada, Scientific Games, Synopsys Software Integrity Group, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Wells Fargo, and Zendesk.
BSIMMについて
BSIMM(セキュア開発成熟度モデル)は、企業/団体が取り組むソフトウェア・セキュリティ・イニシアティブを測定し、評価するツールとして、2008年より提供されている。BSIMMは、データに裏付けされたモデル(指標)と、各社のSSIを注意深く調査/分析して開発した測定ツール、100社以上の企業/団体から収集した現実のデータからなっている。ソフトウェア・セキュリティ対策の実践状況を基にしたフレームワークのオープン・スタンダードであり、自社のセキュリティへの取り組みを査定するために活用されている。詳細は、https://www.bsimm.comにて確認できる。
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアの品質とセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、静的解析、ソフトウェア・コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーションの中に潜む脆弱性や不具合を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティと品質を達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software™)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加