日本シノプシスは、セキュア開発成熟度モデル(Building Security In Maturity Model:BSIMM)の調査から得られた知見をまとめた「BSIMM14トレンド&インサイト・レポート(日本語版)」を公開した。 14回目の調査となる今回は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジー業界の最先端企業をはじめとする130の企業/団体におけるソフトウェアセキュリティの実践状況を分析した。
調査対象企業130社のうち、日本企業は3社含まれている。調査結果からは、「セキュリティテストの自動化の取り組みが急速に拡大しており、その結果ソフトウェア開発ライフサイクル全体を通じてセキュリティテストを実施する『シフト・エブリウェア』の理念が、より多くの組織に浸透しつつある」と分かったという。
日本シノプシス ソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏
説明を担当したソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏は、ソフトウェア・インテグリティ・グループ(SIG)の事業内容について「包括的なAppSecテストツールとサービス」「統合されたAppSecリスク管理ソリューション」「AppSecとリスク管理のコンサルティング」を3本柱として展開していることを紹介した上で、「このコンサルティングの中で、各企業がどのようなセキュア開発の取り組みをしているのかといったところを調査しており、その調査の中から出てきたデータを基に作成しているのがBSIMMである」と説明した。
同社では2008年以降600回を超える診断を実施しているという。調査結果のデータプールからは古いデータが毎年削除されて更新されており、今回のレポート対象となったデータプールには日本企業3社のデータが含まれている。基本的には、外部のコンサルティングサービスを利用してアプリケーション開発のセキュリティレベルを引き上げようと取り組んでいる企業であり、基本的にセキュリティに対する意識が高く、その改善のためにしっかりとした活動を行っている企業を対象とした調査であるといえる。
BSIMMの内容。ドメイン-プラクティス-アクティビティーの形で階層的に整理されており、調査対象企業の何社がそのアクティビティーを実施しているのかが分かる
大森氏はBSIMMの取り組みの意義について「より良い経営にはより良いデータが必要だ。セキュリティの取り組み/セキュア開発の取り組みにおいても、より良いデータを提示することでよりセキュアなソフトウェア製品を開発していただくことがわれわれの目的だ」と語った。
BSIMMでは、「ガバナンス」「インテリジェンス」「Secure Software Development Lifecycle(SSDL)タッチポイント」「デプロイメント」の4つのドメインがあり、各ドメインにはそれぞれ3つの「プラクティス」がある。計12個のプラクティスの中に、個々の具体的なアクティビティー(活動)がある。それぞれのアクティビティーについて、データプールの130社がそのアクティビティーを実施しているかどうかを調査し、実施している企業数をカウントすることで判断材料としている。
同氏は「多くの企業が実施しているからと言って必ずしも良い取り組みとは限らず、必ずしも実施しなくてはいけない取り組みとも限らないが、多くの企業が実施しているからにはそれなりの理由があるはずなので、『やる価値がある、あるいは検討する価値があるもの』だとはいえる」とした。
その上で「自社での取り組みと比較することで、全体的な世の中で行われていることと自社での取り組みの間の差異が見えてくる。そこで、多くの企業が実施しているが自社では実施していないものについてはやらなくて良いものなのかどうか、逆に多くの企業が実施していないのに自社ではやっている場合、やる価値があるのか、それをやるとした投資判断は正しかったのか、というチェックができる」と説明した。
