シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

BSIMM: ソフトウェア・セキュリティ・イニシアティブの向上を実現するソフトウェア・セキュリティ・アクティビティのトップ5

Black Duck Editorial Staff

Dec 05, 2021 / 1 min read

ソフトウェア・セキュリティの向上に取り組むなら、さまざまなオプションが用意されているBuilding Security in Maturity Model(BSIMM)による評価が最適です。

9月28日に発表されたBSIMMレポートの第12版では、参加企業128社で確認された122件のソフトウェア・セキュリティ・アクティビティについて詳しく説明しています。参加企業は、さまざまな地域に拠点を置く、金融サービス、フィンテック(FinTech)、独立系ソフトウェアベンダー(ISV)、IoTヘルスケア、クラウド、保険、テクノロジーを含む9つの業界に属しています。

アクティビティは、ガバナンス、インテリジェンス、SSDL(Secure Software Development Life Cycle)タッチポイント、デプロイメントの4つの領域に分かれ、12のプラクティスに分類されています。

しかし、ジョージ・オーウェルの言葉をもじって言い換えると、すべてのアクティビティは有用ですが、他よりもっと有用なアクティビティが存在するのは明らかです。(“All animals are equal, but some animals are more equal than others.”― George Orwell, Animal Farm) そこで、ソフトウェアセキュリティの成熟度に関する基本的なアクティビティから取り組みを始められるように、BSIMM12では特に一般的なアクティビティの簡単なリストを用意しています。

BSIMM: アプリケーション・セキュリティの成功モデル

BSIMM: アプリケーション・セキュリティの成功モデル

BSIMMレポートは、AppSecの成熟度評価の基準を提供し、セキュリティ専門家同士をつなぐコミュニティの役割を果たし、対策アクションプランの策定を支援する推進モデルです。

最先端のソフトウェア・セキュリティ・イニシアティブを追跡

BSIMMはソフトウェア・セキュリティ・イニシアティブ(SSI)の自己記述型の指標であり、ソフトウェア・セキュリティ・プログラムの実装の進化を追跡する独自の年次報告書の主題でもあります。BSIMMは、規範的なものではなく説明的なものです。組織が何をすべきかを示すのではなく、組織の行動をほぼリアルタイムで文書化し、SSIに最適な対策の決定を支援します。

ですから、BSIMMはソフトウェアセキュリティを強化するためのロードマップとしても役立ちます。モデル、データ収集、年次報告書の観察と説明を活用して、時系列データを使用し、SSIの目標を達成するためのインスタンス化と成熟の方法を定義することができます。目標は、組織に最適な、成熟した効果的なSSIの実現です。もちろん、物理的な道路地図の場合と同様、目的地にたどり着くためのルートはいくつも存在します。

ですから、BSIMM12で最も一般的に観察された上位5つのアクティビティがすべての組織に最適であるとは限りませんが、多くの企業が実践しているとすれば、相応の理由があると思われます。事実、これらのアクティビティは成功しているSSIで多く見られます。

シノプシス ソフトウェア・インテグリティ・グループの主席コンサルタントであり、BSIMM12の共同執筆者であるJacob Ewersは、「上位のアクティビティが広く利用されているのは、才知に富んだ多くの人々がほとんどのSSIで実装しているからです。こうした組織を見習わなければ、おそらく実行すべき対策を見落とすことになるでしょう」と述べています。

そして、4年たった現在も上位5つの座を確保しているということは、これらのアクティビティは「広く適用可能で、さまざまな形態、規模、成熟度のプログラムに応用できる有用なものであることを示しています。すべての企業が実践するべきだとは言いませんが、これらのアクティビティを実行していないのであれば、その理由を調査する価値はあるでしょう」とEwersは述べています。

BSIMMの上位5つのソフトウェア・セキュリティ・アクティビティ

手始めに、以下のアクティビティから着手することをお勧めします。各アクティビティ名の後に、そのアクティビティがBSIMMフレームワーク内のどのドメインおよびプラクティスに該当するかが表示されます。

1. ライフサイクルのインストルメンテーションを実装してガバナンスの定義に使用する

ガバナンス:戦略と指標
ソフトウェア・セキュリティ・リーダーがソフトウェア製品群全体でリスクベースの制御を使用する方向に急激にシフトしていることにより、開発チームはソフトウェア開発ライフサイクル(SDLC)の早期段階で不具合や欠陥を発見して修正することができます。BSIMM12参加企業の大多数(92%)が、何らかの形でこのアクティビティを実施しています。

BSIMMの上位5つのソフトウェア・セキュリティ・アクティビティ

セキュア・ソフトウェア・ライフサイクルのプロセスは、アプリケーション開発のライフサイクル全体にセキュリティを組み込む予防的アプローチです。「ライフサイクル・インストルメンテーション」の支持者は、SDLCのさまざまな段階でデータを収集し、そのデータを使用してソフトウェア・セキュリティ・ポリシーを作成・実施することで、ソフトウェアセキュリティをアプリケーション開発プロセスに緊密に組み込んでいます。
 

2. ホストおよびネットワークセキュリティの基本事項が実施されていることの確認

導入:ソフトウェア実行環境
BSIMM12に記載されているように、「ホストとネットワークのセキュリティを設定する前にソフトウェアセキュリティを実装するのは、本末転倒です。」 参加企業の大部分(91%)がホストおよびネットワークセキュリティの基本事項を実施していることが確認され、データセンターおよびネットワーク全体にわたるソフトウェアセキュリティの確固とした基盤を提供することの必要性を多くの企業が理解していることがわかります。
 

3. PII義務の特定

ガバナンス:コンプライアンスとポリシー
個人を特定できる情報(PII)のセキュリティ保護は、多くの組織にとって最優先課題です。参加企業の89%がPII要件を特定しており、43%がPIIインベントリを構築しています。ホスト環境をアウトソース(クラウドなど)している場合もPII義務からは免除されず、むしろ関連するすべての義務を把握することがますます困難になる可能性がある点に注意してください。PIIがどこにあるかを把握し、PIIの不正な開示を防ぐ必要があります。

PII義務の特定

4. セキュリティ機能のレビューの実施

SSDLタッチポイント:アーキテクチャ分析
セキュリティを重視する組織は、セキュリティ機能のレビューをアーキテクチャ分析の中心に据えます。レビューでは、たとえば、激しい権限攻撃に対して脆弱なシステムや、PIIをローカル・ストレージに不適切に保存しているモバイルアプリケーションなどが特定されます。BSIMM12の参加企業の88%がこのアクティビティを実施しています。
 

5. 外部ペネトレーションテスターを使用した問題の特定

導入:ペネトレーション・テスト
内部のセキュリティ担当者からの警告は見過ごされる可能性があり、外部のペネトレーションテスト担当者は、セキュリティの弱点の影響を受ける可能性があることを組織に明確に示すことができます。この現実をBSIMM12参加企業の87%が認識しています。

静的アプリケーション・セキュリティ・テスト(SAST)ツールが普及し、広く利用されているにもかかわらず、Ewersはある驚きと懸念を抱いています。「参加企業の20%が静的解析の実行に自動化ツールを使用していません。企業がSASTによるテストの自動化を行わない理由は確かにありますが、コード検査を完全に省いたり、リソース集約的な手動レビューだけに頼ることはお勧めしません」

自動化への移行

しかし、全体として、上位を占めたほとんどのアクティビティが自動化への移行を伴っており、開発の急激な短期化にペースを合わせるという点で、セキュリティテストは大幅に向上することになります。

「当社のセキュリティの自動化への取り組みは全面的に向上しています」とEwersは言います。「今後もこの傾向は続くと予想されますが、時間が経つにつれて、これらの取り組みは意思決定支援と自己強化型フィードバックループのための測定フレームワークに組み込む必要があります」

BSIMMのアクティビティ、トレンド、要点に関する詳細は、最新のレポートでご覧いただけます。

BSIMM: アプリケーション・セキュリティの成功モデル

BSIMM: アプリケーション・セキュリティの成功モデル

BSIMMレポートは、AppSecの成熟度評価の基準を提供し、セキュリティ専門家同士をつなぐコミュニティの役割を果たし、対策アクションプランの策定を支援する推進モデルです。

Continue Reading

トピックを探索する