調査

「レフト」から「エブリウェア」へ--アプリケーションセキュリティの新トレンド

渡邉利和

2024-03-01 15:52

 日本シノプシスは、セキュア開発成熟度モデル(Building Security In Maturity Model:BSIMM)の調査から得られた知見をまとめた「BSIMM14トレンド&インサイト・レポート(日本語版)」を公開した。 14回目の調査となる今回は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジー業界の最先端企業をはじめとする130の企業/団体におけるソフトウェアセキュリティの実践状況を分析した。

 調査対象企業130社のうち、日本企業は3社含まれている。調査結果からは、「セキュリティテストの自動化の取り組みが急速に拡大しており、その結果ソフトウェア開発ライフサイクル全体を通じてセキュリティテストを実施する『シフト・エブリウェア』の理念が、より多くの組織に浸透しつつある」と分かったという。

日本シノプシス ソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏
日本シノプシス ソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏

 説明を担当したソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏は、ソフトウェア・インテグリティ・グループ(SIG)の事業内容について「包括的なAppSecテストツールとサービス」「統合されたAppSecリスク管理ソリューション」「AppSecとリスク管理のコンサルティング」を3本柱として展開していることを紹介した上で、「このコンサルティングの中で、各企業がどのようなセキュア開発の取り組みをしているのかといったところを調査しており、その調査の中から出てきたデータを基に作成しているのがBSIMMである」と説明した。

 同社では2008年以降600回を超える診断を実施しているという。調査結果のデータプールからは古いデータが毎年削除されて更新されており、今回のレポート対象となったデータプールには日本企業3社のデータが含まれている。基本的には、外部のコンサルティングサービスを利用してアプリケーション開発のセキュリティレベルを引き上げようと取り組んでいる企業であり、基本的にセキュリティに対する意識が高く、その改善のためにしっかりとした活動を行っている企業を対象とした調査であるといえる。

 大森氏はBSIMMの取り組みの意義について「より良い経営にはより良いデータが必要だ。セキュリティの取り組み/セキュア開発の取り組みにおいても、より良いデータを提示することでよりセキュアなソフトウェア製品を開発していただくことがわれわれの目的だ」と語った。

 BSIMMでは、「ガバナンス」「インテリジェンス」「Secure Software Development Lifecycle(SSDL)タッチポイント」「デプロイメント」の4つのドメインがあり、各ドメインにはそれぞれ3つの「プラクティス」がある。計12個のプラクティスの中に、個々の具体的なアクティビティー(活動)がある。それぞれのアクティビティーについて、データプールの130社がそのアクティビティーを実施しているかどうかを調査し、実施している企業数をカウントすることで判断材料としている。

 同氏は「多くの企業が実施しているからと言って必ずしも良い取り組みとは限らず、必ずしも実施しなくてはいけない取り組みとも限らないが、多くの企業が実施しているからにはそれなりの理由があるはずなので、『やる価値がある、あるいは検討する価値があるもの』だとはいえる」とした。

 その上で「自社での取り組みと比較することで、全体的な世の中で行われていることと自社での取り組みの間の差異が見えてくる。そこで、多くの企業が実施しているが自社では実施していないものについてはやらなくて良いものなのかどうか、逆に多くの企業が実施していないのに自社ではやっている場合、やる価値があるのか、それをやるとした投資判断は正しかったのか、というチェックができる」と説明した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]