ランサムウェア犯罪の増加やサプライチェーンの混乱を契機にソフトウェア・セキュリティの重要性への認識が上昇していることが最新のBSIMMレポートで判明
2021年11月18日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、セキュア開発成熟度モデル(BSIMM)の調査レポートの最新版であるBSIMM12(日本語版)を公開した。BSIMMは、ソフトウェア・セキュリティ・イニシアティブ(SSI:software security initiatives)の計画/実行/測定/改善を行う企業/団体を支援するものである。BSIMM12には、金融、フィンテック、独立系ソフトウェア・ベンダ(ISV:Independent Software Vendors)、クラウド、医療、IoTといった様々な業界に属する128の企業/団体のソフトウェア・セキュリティへの取組みの実態が反映されており、約3,000名のソフトウェア・セキュリティ・グループのメンバーならびに6,000を超すサテライト(開発チーム等におけるソフトウェア・セキュリティ担当者)の取り組みが類型化されている。BSIMMは、世界中の様々な企業/団体が、BSIMM調査から得られたデータと自社の取り組み状況を比較/対照する際の評価軸となる。
BSIMM12では、オープンソース・コードを識別して管理しているソフトウェア・セキュリティ・グループが、過去2年間で61%増加していることが明らかになった。その背景としてほぼ確実に言えることは、最近のソフトウェアにおけるオープンソース・コンポーネントの普及、ならびに一般的なオープンソース・プロジェクトを媒介したセキュリティ攻撃の増加が挙げられる。
クラウド・プラットフォームやコンテナ技術の分野で取り組みが増加しているという事実は、企業/団体がソフトウェアをどのように使用し、保護しているかという点に関して、こうした技術がもたらす影響の大きさを示している。事実、「コンテナと仮想環境にオーケストレーションを使用する」という取り組みが観測された企業は、過去2年間で560%も増加している。
BSIMM12のダイジェストは下記より入手可能。
BSIMM122021 インサイト&トレンド・レポートは下記より入手可能。
https://www.bsimm.com/ja-jp/download.html?cmp=pr-sig&utm_medium=referral
BSIMMコミュニティのメンバーであるNavy Federal Credit Unionのインフォメーション・セキュリティ・プリンシパル Mike Ware氏は、次のように語っている。「過去18ヶ月の間に、企業/団体におけるデジタル・トランスフォーメーションへの取り組みは大きく進展しました。その結果、ソフトウェア環境とクラウド技術の展開/管理にあたって、ソフトウェア定義アプローチを適用するケースが増加しています。このような変化の複雑さとペースを考えると、セキュリティ・チームにとって、現状を理解し、次に軸足を置くべきところを示唆するツールを持つことの重要性は、これまでになく大きくなっています。BSIMMは、まさにそのための管理ツールです。BSIMMは、こうした企業/団体が、最新のソフトウェア開発の原則と実践に合わせるために、コードとしてのポリシー(policy as code)のようなソフトウェア定義のセキュリティ機能を実装するために、戦略をどうシフトしているのかを見ることのできる独自のレンズを提供します」
BSIMMコミュニティのメンバーであるGenetec社のプリンシパル・セキュリティ・アーキテクト Mathieu Chevalier氏は、次のように語っている。「BSIMMは、企業/団体にとって、自分たちが現在実践しているセキュリティへの取り組みを評価する基準となります。これによって、セキュリティ分野における最新トレンドに対応した視点を持ち、優先順位を設定することができるようになります。BSIMMの記述モデルは、企業/団体がソフトウェア・セキュリティへの取り組みをどのようにスタートさせ、またどうやって効果的に進化させるかを決定する際の助けになります。特に、責任分担モデルに関してBSIMM12がもたらしてくれる所見は、セキュリティ責任者にとって、自分たちのセキュリティ戦略に潜む弱点を最小化し補正するためにはどういう進化が必要なのかについての考察を促す力となります」
BSIMMコミュニティのメンバーであるLandis+Gyr社の最高情報セキュリティ責任者(CISO) Todd Wiedman氏は、次のように語っている。「BSIMMの内容は、業界のベスト・プラクティスに触れるという観点から非常に良く整理されています。多岐に渡る開発チームで実践されている様々なセキュリティへの取り組みの成熟度を把握することができるのです。ソフトウェア開発の手法が急速に進化している現状を反映して、BSIMMデータからは、セキュリティ開発プログラムの現場で起きている現実の変化を読み取ることができます。この情報を用いることで、企業/団体はイノベーションを損なうことなく、自組織とその顧客を保護するために自らの戦略を適応させることができます」
BSIMMコミュニティのメンバーであるFinastra社のプロダクト&データ・セキュリティ・プログラム担当ディレクター Vinod Raghavan氏は、次のように語っている。「当社のプロダクト&データ・セキュリティ・プログラムの一環として、我々は、BSIMMフレームワークを使用し、セキュリティ戦略の推進を支援してきました。BSIMMは、金融業界や他の業界の企業/団体の取り組みと比較・評価するのに役立ち、セキュリティ対策を成熟させる一助となりました」
BSIMM12の結果から浮かび上がってきた新しいトレンドは以下のような項目である。
過去2 年間のBSIMM のデータを見ると、「オープン・ソースを特定する」のアクティビティを実施している企業/団体の数は61% 増加し、「SLAの定型書式を作成する」のアクティビティを実施している企業/団体の数は57% 増加している。
「ソフトウェア・セキュリティに関するデータを内部的に公開する」のアクティビティを実施している企業/団体の数が過去24 ヶ月で30% 増加するなど、ソフトウェア・セキュリティ・イニシアティブに関するデータの収集と公表に注力する企業が増えている。
幹部の関心の高まりに加え、おそらくはエンジニアリング主導の取り組みもあいまって、企業/団体はクラウド・セキュリティの管理および責任共有モデルの評価に関して独自の能力を開発するようになっている。クラウド・セキュリティとの関連性が高いアクティビティを過去2 年間で新たに実施した企業/団体の数は平均で36 社となっている。
ソフトウェア・セキュリティ・チームは以前のようなセキュリティの行動を義務付ける役割から、パートナーとしての役割へと移行しており、ソフトウェア・デリバリのクリティカル・パスにセキュリティの取り組みを直接含めることができるように、リソース、スタッフ、知識を開発チームに提供していることがBSIMM のデータから明らかになっている。
ソフトウェアの棚卸を行い、ソフトウェア部品表(BOM)を作成し、ソフトウェアがどのように開発/構成/展開されて来たかを理解し、セキュリティ・データの遠隔測定結果を基にソフトウェア再展開するといった組織能力を強化するということに焦点を当てた能力の増強も、BSIMMデータから読み取ることができる。多くの企業/団体が包括的かつ最新のソフトウェアBOMの必要性を重く受け止めているという事実は、BSIMM調査に表れているこれに関連する取り組み(「運用BoM(Bill of Materials)を使用してアプリケーション・インベントリを強化する」)が、過去2年間で3から14に増加していることからも明らかである。実に367%の増加である。
「シフト・レフト」のコンセプトは、セキュリティ・テストを開発プロセスの早期段階に前倒しすることに焦点を当てている。「シフト・エブリウェア」はその考えをさらに拡張し、セキュリティ・テストをソフトウェア・ライフサイクル全体で継続的に実行することを指す。すなわち、短時間で完了する小規模なパイプライン駆動型セキュリティ・テストを可能な限り早い時点で実施するという意味だが、「可能な限り早い時点」は設計段階のこともあれば、最終的な本番環境のこともある。
伝統的な運用インベントリの維持管理に代わり、自動資産検出とBoM 作成へと移行していくことは、コンテナを使用したセキュリティ制御の適用、オーケストレーション、コードとしてのインフラストラクチャのスキャンなど、「シフト・エブリウェア」のアクティビティを追加することを包含する。「運用BoM(Bill of Materials)を使用してアプリケーション・インベントリを強化する」、「コンテナと仮想環境にオーケストレーションを使用する」、「資産の自動生成を監視する」などのBSIMM アクティビティを実施する企業が増えているのは、いずれもこうしたトレンドの現れといえる。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「2008年の開始以来、BSIMM調査に携わったコンサルタント、リサーチ、およびデータ分析の専門家が、ソフトウェア・セキュリティ対策として企業/団体が実施している様々なアプローチに関するデータを収集してきました。BSIMMに参加している企業/団体のソフトウェア・セキュリティ・グループの平均年数は4.4年であり、BSIMM結果からは、彼らが最新のソフトウェア開発ならびに展開に観られるダイナミックな変化に対応するためのアプローチを実践している様が伺えます。この情報を用いて、企業/団体はイノベーションを損なうことなく、自組織とその顧客を保護するために自らの戦略を適応させることができます」
BSIMM12 2021 インサイト&トレンド・レポートは下記より入手可能。
https://www.bsimm.com/ja-jp/download.html?cmp=pr-sig&utm_medium=referral
ブログには以下よりアクセス可能。
BSIMM12の調査結果についてのインタラクティブな議論は、下記オンラインセミナー(10月21日開催)にて視聴可能。
https://www.brighttalk.com/webcast/13983/467735?cmp=pr-sig&utm_medium=referral
謝辞
過去13年近くにわたって実施してきたソフトウェア・セキュリティ・リサーチを通じて収集したデータを分析しBSIMM12を執筆したシノプシスのプリンシパル・サイエンティストであるSammy Migues、同マネージング・プリンシパル Eli Erlikhman、同プリンシパル・セキュリティ・コンサルタント Jacob Ewers、ならびにGemini社のアプリケーション・セキュリティ担当ディレクターのKevin Nassery氏、そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。
AARP, Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, Black Knight Financial Services, Canadian Imperial Bank of Commerce, Cisco, Citigroup, Depository Trust & Clearing Corporation, Eli Lilly, eMoney Advisor, EQ Bank, Equifax, F-Secure, Fannie Mae, Finastra, Freddie Mac, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, HSBC, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, McKesson, Medtronic, MediaTek, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, Oppo, PayPal, Pegasystems, Principal Financial Group, RB, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, Teradata, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon Media.
BSIMMについて
2008年に開始されたBSIMM(セキュア開発成熟度モデル)は、ソフトウェア・セキュリティ・イニシアティブを作成し、測定し、評価するツールだ。200以上のソフトウェア・セキュリティ・イニシアティブの注意深い調査/分析により開発された、データ駆動型モデルならびに測定ツールであるBSIMM12は、128社の企業/団体から収集した現実のデータからなっている。BSIMMは、ソフトウェア・セキュリティ・プラクティスに基づくフレームワークを含むオープン・スタンダードであり、自社のソフトウェア・セキュリティの取り組みを評価し成熟させるために活用されている。詳細は、https://www.bsimm.com/jpにて確認できる。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・渡辺
Email:synopsys@inoue-pr.com