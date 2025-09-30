ソフトウェア・セキュリティ・プログラムを一から構築する任務を負ったGenetec主任セキュリティ・アーキテクトのMathieu Chevalier氏は、組織のセキュリティ・プログラムを強化・発展させる取り組みには信頼できる実証済みの戦略が必要であることを実感しました。Chevalier氏は、「（彼の方法論の）主要因は、定量的なアプローチを用いて、重点を置くべき事項を特定し、他の人の経験を活かすための計画を策定することでした」と言います。
また、セキュリティ対策の開始当初から、Genetecの「ソフトウェア・セキュリティ対策は初期段階にある」ことにすぐに気付きました。「ソフトウェア・セキュリティ・チームが存在しないのです。」 ソフトウェア・セキュリティ・プログラムを推進し、その内容を遵守するには、ポリシーやプラクティス以上の要件が必要であることを理解したChevalier氏は、セキュリティを優先する環境と文化を促進する取り組みに着手しました。
そこで直面した重大な問題は、プログラムを開発するだけでなく、戦略を補強するための実証済みの方法とアプローチを見つけることであり、それには戦略的意思決定を検証する方法が必要でした。また、ソフトウェア・セキュリティ対策に対する信頼を築く必要もありました。
Genetec社は、潜在的な成長分野を特定し、ソフトウェア・セキュリティ体制の明確な全体像を把握するために、BSIMM評価の実施を選択しました。シノプシスのBuilding Security In Maturity Model（BSIMM）は、現在のAppSecアクティビティをテスト、測定、およびベンチマーキングするためのモデルとフレームワークを提供します。BSIMMデータは、金融サービス、独立系ソフトウェア・ベンダー、ヘルスケア、コンシューマー・エレクトロニクスなど、さまざまな業種にわたる130の組織のセキュリティ・プログラムに基づいて、AppSecの状態に関する独自の視点を提示し、経営幹部が組織での実施を検討すべき主要なアクティビティ、プラクティス、ツールに関する洞察を提供します。
Genetec社は2016年12月にBSIMMを使用し始め、過去5年間で2つの評価を行いました。
発足したばかりのセキュリティ・プログラムに対してBSIMM評価を行うというChevalier氏の決定により、重要な第三者の洞察が得られました。BSIMMデータの使用は、「容易に達成できる目標を見つけ、その目標を契機にして変化を促進する」ために役立ちました。BSIMMが提供するデータを使用して、直感的に浮かんだ要件について「現状を把握し、改善策に取り組み、再測定」しました。この取り組みに最適な定量的手法を検討した結果、BSIMMが条件を満たしていることがわかりました。
プログラムに関する意思決定と方向性の検証に信頼できる第三者機関を採用することで、信頼性とサポートを担保し、重要なガイダンスを得ることができました。
ソフトウェア・セキュリティ・プログラムをサポートし維持するには、ポリシーの実装だけでは不十分であることを理解しているChevalier氏は、アプリケーション・セキュリティに関する機運を高めるためにBSIMMの主要な創設者であるGary McGraw氏を社内イベントに招待しました。また、プログラムの一環としてBSIMMから学んだセキュリティ・アクティビティを組織の文化や考え方に組み込むことで、支援と投資を獲得することができました。
また、開発チームからは、アプリケーションのセキュリティ強化、脅威モデリング、脆弱性の確認、計画策定のための協力を依頼されるようになり始めました。BSIMMはChevalier氏の取り組みの検証に役立ちました。信頼できるデータ駆動型モデルとカスタム・セキュリティ・プラクティスを組み合わせることで、プログラムの信頼性を高めることができました。BSIMMのデータに裏付けられたモデルを使用することで、開発チームは継続的に開発体制の向上に取り組むようになりました。この成功を機に、他のチームもプログラムに参加するよう説得されました。
Genetec社では最近、その改善点と問題点に関する洞察を得ることを期待して2回目の評価を行い、経営幹部や開発チームに結果を発表しました。この評価結果によりセキュリティ・チームおよび組織全体にメリットを示すことで、今年実施される新しい対策への賛同を得ることができました。
この事例では、BSIMMを使用することでチームの結束を実現し、考え方の妥当性を検証しました。BSIMMはデータと信頼性が一体となっている場合に大きな価値を発揮します。事例では、プログラムの一環としてこのツールを活用することで、トップダウンのサポートを得てセキュリティ・ファースト・プログラムを強化することができました。
