直近で実施したBuilding Security in Maturity Model調査の結果、過去10年間で120の企業/団体が実践してきたソフトウェア・セキュリティ強化プログラムの状況が判明
2018年11月29日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、ソフトウェア・セキュリティ成熟度モデル調査の最新版であるBSIMM9を公開した。BSIMM(Building Security in Maturity Model)は、ソフトウェア・セキュリティ強化プログラム(SSI:software security initiatives)の計画/実施/査定を行う組織を支援するサービスである。今回で9度目となるBSIMMには、過去10年間に120の企業/団体が実践してきたSSIの実態がまとめられている。注目すべきは、クラウド化の進展の影響、調査データから浮き彫りになった新しい業界 -小売業界- の取り組み、ソフトウェア・セキュリティ・コミュニティの成長である。BSIMM9の結果は下記よりダウンロードできる。
www.bsimm.com/download.html
オラクル社 NetSuite部門 インフラストラクチャ/セキュリティ担当上級副社長 Dr. Brian Chess氏は、次のように述べている。「SWの開発/セキュリティ確保/運用は連携する必要がありますが、BSIMM9のデータからも、この取り組みがプロセス自動化を通じて実施され始めていること、特にこの動きはソフトウェアのクラウド化によって顕著になっていることが明らかになっています。これは正しい方向に向けた大きなムーブメントです。すなわちより高度なセキュリティをより迅速に確立するための動きです」
BSIMM9では、7,800人のソフトウェア・セキュリティ専門家の取り組みが類型化されている。こうした取り組みは、約13万5千ものアプリケーションに携わる41万5千人のソフトウェア開発者のセキュリティ対策をガイドし、その努力を最大限に活かすのに役立つものとなる。金融関連、独立系ソフトウェア開発企業(ISV:Independent Software Vendors)、クラウド関連、医療関連、IoT関連、保険関連、小売関連などをはじめとするさまざまな業界の企業/団体がBSIMM9に参加している。
BSIMM9の結果で注目されるポイントは以下のような項目である。
クラウド化の進展
企業/団体は、業務負荷や開発パイプラインをクラウド上に移行しつつある。これは、ソフトウェア・セキュリティの点でこれまでと異なるアプローチが要求されるパラダイム・シフトである。クラウド化に直接/間接に関連する3つの取り組みが、新たにBSIMM項目として登場した。さらに、もっとも取り組みが活発な業界のうちの3業種であるISV、IoT企業、クラウド・ファームに見られる取り組みは、似かよった内容に収斂しつつあり、このことは、クラウド・アーキテクチャという共通項が、同じようなソフトウェア・セキュリティ対策を要求していることを示している。
数多くの業界を網羅したBSIMM調査
BSIMMは、個別業界内あるいは業界をまたがるSSI評価に用いることができる。今回新たに小売業界が、BSIMMデータに加わった。小売業界の発展にとってイーコマースというビジネスモデルが必須となっているため、この業界でのSSIの取り組みは比較的急速に成熟しつつある。医療関連や保険関連の業界と比べても、より成熟した取り組みが見て取れる。
BSIMM9への参加企業/団体はBSIMM8の109社から増加して、120社となっている。その中で、ソフトウェア・セキュリティ対策を実施している企業/団体の数は65%増加しており、開発に携わる企業/団体の数も43%増加している。この注目すべきBSIMM人口の増加は、ソフトウェア・セキュリティ対策のプライオリティがこれまで以上に高くなっていることを示している。
シノプシス セキュリティ・テクノロジ担当副社長 Dr. Gary McGrawは、次のように語っている。「BSIMMプロジェクトは、自社のSSIの取り組みレベルを査定し改善していくための事実上の業界標準プロセスとなっています。BSIMMスコア*1を用いて自社の取り組みを査定することにより、最も成熟した取り組みを実践している世界の企業/団体のセキュリティ対策レベルと自社のそれを比較対照することができます。BSIMM9は、過去10年のSSI実践現場の客観的な観測に基づいた最高指標であり、ソフトウェア・セキュリティ対策に関するあらゆる側面から収集された最も広範囲をカバーしたデータです」
*1 BSIMMスコアは、SSIの査定プロセスで明らかとなったソフトウェア・セキュリティ対策実施項目の
合計スコアから算出されている。各項目は1ポイントで、BSIMM全体は116項目で構成されている。
BSIMMは、企業/団体によるSSI確立への取り組みを観測し、各社に共通する取り組みと独自の取り組みを明確にするために116種の項目の実践の度合いを数値化している。こうして得られたBSIMMデータ集計をチャート化すると、モデル(指標)化されて12分野に分けて組み込まれている多数の取り組み項目の実施度合いによって異なるチャート形状となり、セキュリティ成熟度が高い場合には正12角形に近いチャートを形成することになる。参加企業/団体は、BSIMMを活用して自社の取り組み度合いを査定し、次にどういった取り組みを実践するのが自社戦略全体にとって有効であるかを判断できる。
謝辞
過去10年にわたって実施してきたセキュリティ・リサーチを通じて収集したデータを分析したDr. McGrawならびにシノプシス 主席サイエンティスト Sammy Migues氏、オラクル社 NetSuite部門 クラウド・オペレーション担当副社長 Jacob West氏、そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。
Adobe, The Advisory Board Company, Aetna, Alibaba Group, Amgen, Anda, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dahua, Depository Trust & Clearing Corporation, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, Highmark Health, The Home Depot, Horizon Healthcare Services, HSBC, Independent Health, iPipeline, Johnson & Johnson, JPMorgan Chase, Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, Nvidia, NXP Semiconductors, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, ソニーモバイルコミュニケーションズ, Splunk, Synopsys, Target, TD Ameritrade, Trainline, Trane, U.S. Bank, The Vanguard Group, Veritas, Verizon, Wells Fargo, Zendesk, and Zephyr Health.
BSIMMについて
BSIMM(Building Security in Maturity Model)は、企業/団体が取り組むソフトウェア・セキュリティ強化プログラム(SSI:software security initiatives)を査定/評価するサービスとして、2008年より実施されている。BSIMMは、データに裏付けされたモデル(指標)と、各社のSSIを注意深く調査/分析して開発した測定ツール、100社以上の企業/団体から収集した現実のデータからなっている。ソフトウェア・セキュリティ対策の実践状況を基にしたフレームワークのオープン・スタンダードであり、自社のセキュリティへの取り組みを査定するために活用されている。詳細は、https://www.bsimm.com/にて確認できる。
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア・コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941