日本シノプシスは11月2日、「セキュア開発成熟度モデル」(BSIMM:Building Security in Maturity Model)の最新調査レポート「BSIMM13(日本語版)」を公開した。同レポートには、AdobeやPayPal、Lenovoをはじめとする130の企業/団体における、約1万1900人のセキュリティ専門家と約41万人の開発者による、14万5000を越すアプリケ-ションのセキュリティ強化のために実践してきた取り組みの実態が反映されているという。
ソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング マネージング・プリンシパルの大森健史氏は、BSIMMについて「2008年にCigitalが始めたプログラムで、2016年にSynopsysがCigitalを買収したことで、以後はSynopsysが継続している」と説明。続いて、「先進的な企業のソフトウェアセキュリティ対策はどうなっているのかを調査し、その結果をフレームワークとしてまとめている」といい、同社ではBSIMMの内容に基づいたアセスメントサービスも実施している。「BSIMMは、『年次レポート』であり『アセスメントサービス』でもある」と語った。
BSIMM13は、130の企業/団体のデータをもとに集計されたもの。参加企業/団体の地域分布は北米が75%、EMEA(欧州、中東、アフリカ)が13%、アジア太平洋(APAC)が12%で、日本企業は公表されているNECプラットフォームズのほか、匿名2社の計3社という。
調査で明らかになった最新のトレンドとして、大森氏は「シフトエブリウェア」「開発ツールチェーンへのセキュリティの統合」「ソフトウェアサプライチェーンリスク管理への進化」「アプリケーションや製品以外へのソフトウェアセキュリティの拡大」の4点を挙げた。
シフトエブリウェアは、開発プロセスのできるだけ早い段階にセキュリティ対応を組み込むという「シフトレフト」ではもはや不十分として出てきた考え方で、ソフトウェア開発ライフサイクルの適切な段階に、適切なコンテキストに特化したテストを実施するという手法だ。BSIMM13の調査対象企業の90%で、これに関連して「セキュリティチェックポイントおよび関連するガバナンスを実装する」という取り組みが実施されていたという。
開発ツールチェーンへのセキュリティの統合もシフトエブリウェアと密接に関しており、開発プロセスを構成する開発ツールチェーンに複数のセキュリティチェックポイントを設けてセキュリティツールを実行する形になる。
ソフトウェアサプライチェーンリスク管理に関しては、オープンソースソフトウェア(OSS)をはじめとするソフトウェアコンポーネントの使用状況を把握するためのソフトウェア部品表(SBOM)の作成が一般化してきており、OSS以外も対象とした総合的な対策が実行されるようになってきているという。
最後に、アプリや製品を超えたソフトウェアセキュリティの拡大では、ソフトウェア開発ライフサイクル全体で起こっていることをポリシーに反映するなど、総合的な取り組みで「セキュア・ソフトウェア・デベロップメント・ライフサイクル」の確立に向けた取り組みが行われているという。中でも実施企業が急増していた取り組みは、「直すと決めたバグについては全てのインスタンスで修正する」というというもの。修正すべきバグが修正されずに残ってしまう事態を避ける、ということだが、運用環境が複雑化している中で実施を確実にするための方策が必要になっているということの反映だろうと思われる。
キャプション
大森氏によると、BSIMMは「実際に世の中がどうなっているかの観測ベース」という。かつて一般的だった対策手法であっても、時代の変遷とともに実施されなくなったものについてはフレームワークから除外していくなど、毎年更新される点も特徴となっている。サイバー攻撃の手法が高度化、洗練化されてきている現在、ソフトウェアコンポーネントに脆弱性が発見されると即座にそこを狙った攻撃が実施されるようになっている。こうした状況に対応し、安全なソフトウェア開発プロセスをどのように構築すれば良いのかを考える上で、BSIMMの内容は参考になるのではないだろうか。