ソフトウェア・インテグリティ

 

BSIMM: ソフトウェア・セキュリティ・イニシアティブの向上を実現する上位5つのソフトウェア・セキュリティ・アクティビティ

信頼性の高いソフトウェアを構築するには、BSIMM12の上位5つのソフトウェア・セキュリティ・アクティビティから始めましょう。

ソフトウェア・セキュリティ・アクティビティにおけるBSIMMのトレンド | シノプシス

ソフトウェア・セキュリティの向上に取り組むなら、さまざまなオプションが用意されているBuilding Security in Maturity Model(BSIMM)が 最適です。

9月28日に発表されたBSIMMレポートの第12版では、参加企業128社で確認された122件のソフトウェア・セキュリティ・アクティビティについて詳しく説明しています。参加企業は、さまざまな地域に拠点を置く、金融サービス、フィンテック(FinTech)、独立系ソフトウェア・ベンダー、IoTヘルスケア、クラウド、保険、テクノロジーを含む9つの業界に属しています。

アクティビティは、ガバナンス、インテリジェンス、SSDL(Secure Software Development Life Cycle)タッチポイント、デプロイメントの4つの領域に分かれ、12のプラクティスに分類されています。

しかし、ジョージ・オーウェルの言葉をもじって言い換えると、すべてのアクティビティは有用ですが、他よりもっと有用なアクティビティが存在するのは明らかです。(“All animals are equal, but some animals are more equal than others.”― George Orwell, Animal Farm) そこで、ソフトウェア・セキュリティ成熟度の基本的なアクティビティから取り組みを始められるように、BSIMM12では特に一般的なアクティビティの簡単なリストを用意しています。

BSIMM12レポート | シノプシス

最先端のソフトウェア・セキュリティ・イニシアティブを追跡

BSIMMはソフトウェア・セキュリティ・イニシアティブ(SSI)の自己記述型の指標であり、ソフトウェア・セキュリティ・プログラムの実装の進化を追跡する独自の年次報告書の主題でもあります。BSIMMは、規範的なものではなく説明的なものです。組織が何をすべきかを示すのではなく、組織の行動をほぼリアルタイムで文書化し、SSIに最適な対策の決定を支援します。

ですから、BSIMMはソフトウェア・セキュリティを強化するためのロードマップとしても役立ちます。モデル、データ収集、年次報告書の観察と説明を活用して、時系列データを使用し、SSIの目標を達成するためのインスタンス化と成熟の方法を定義することができます。目標は、組織に最適な、成熟した効果的なSSIの実現です。もちろん、物理的な道路地図の場合と同様、目的地にたどり着くためのルートはいくつも存在します。

ですから、BSIMM12で最も一般的に観察された上位5つのアクティビティがすべての組織に最適であるとは限りませんが、多くの企業が実践しているとすれば、相応の理由があると思われます。事実、これらのアクティビティは成功しているSSIで多く見られます。

シノプシス・ソフトウェア・インテグリティ・グループの主席コンサルタントであり、BSIMM12の共同執筆者であるJacob Ewersは、「上位のアクティビティが広く利用されているのは、才知に富んだ多くの人々がほとんどのSSIで実装しているからです。こうした組織を見習わなければ、おそらく実行すべき対策を見落とすことになるでしょう」と述べています。

そして、4年たった現在も上位5つの座を確保しているということは、これらのアクティビティは「広く適用可能で、さまざまな形態、規模、成熟度のプログラムに応用できる有用なものであることを示しています。すべての企業が実践するべきだとは言いませんが、これらのアクティビティを実行していないのであれば、その理由を調査する価値はあるでしょう」とEwersは述べています。

BSIMMの上位5つのソフトウェア・セキュリティ・アクティビティ

手始めに、以下のアクティビティから着手することをお勧めします。各アクティビティ名の後に、そのアクティビティがBSIMMフレームワーク内のどのドメインおよびプラクティスに該当するかが表示されます。

1. ライフサイクルのインストルメンテーションを実装してガバナンスの定義に使用する

ガバナンス:戦略と指標
ソフトウェア・セキュリティ・リーダーがソフトウェア製品群全体でリスクベースの制御を使用する方向に急激にシフトしていることにより、開発チームはソフトウェア開発ライフサイクル(SDLC)の早期段階で不具合や欠陥を発見して修正することができます。BSIMM12参加企業の大多数(92%)が、何らかの形でこのアクティビティを実施しています。

BSIMM参加企業の92%がリスクベースのコントロールを実施 | シノプシス

セキュア・ソフトウェア・ライフサイクルのプロセスは、アプリケーション開発のライフサイクル全体にセキュリティを組み込む予防的アプローチです。「ライフサイクル・インストルメンテーション」の支持者は、SDLCのさまざまな段階でデータを収集し、そのデータを使用してソフトウェア・セキュリティ・ポリシーを作成・実施することで、ソフトウェア・セキュリティをアプリケーション開発プロセスに緊密に組み込んでいます。

2. ホストおよびネットワーク・セキュリティの基本事項が実施されていることの確認

導入:ソフトウェア実行環境
BSIMM12に記載されているように、「ホストとネットワークのセキュリティを設定する前にソフトウェア・セキュリティを実装するのは、本末転倒です。」 参加企業の大部分(91%)がホストおよびネットワーク・セキュリティの基本事項を実施していることが確認され、データセンターおよびネットワーク全体にわたるソフトウェア・セキュリティの確固とした基盤を提供することの必要性を多くの企業が理解していることがわかります。

3. PII義務の特定

ガバナンス:コンプライアンスとポリシー
個人を特定できる情報(PII)のセキュリティ保護は、多くの組織にとって最優先課題です。参加企業の89%がPII要件を特定しており、43%がPIIインベントリを構築しています。ホスト環境をアウトソース(クラウドなど)している場合もPII義務からは免除されず、むしろ関連するすべての義務を把握することがますます困難になる可能性がある点に注意してください。PIIがどこにあるかを把握し、PIIの不正な開示を防ぐ必要があります。

BSIMMの参加企業の89%がPII要件を定めている | シノプシス

4. セキュリティ機能のレビューの実施

SSDLタッチポイント:アーキテクチャ分析
セキュリティを重視する組織は、セキュリティ機能のレビューをアーキテクチャ分析の中心に据えます。レビューでは、たとえば、激しい権限攻撃に対して脆弱なシステムや、PIIをローカル・ストレージに不適切に保存しているモバイル・アプリケーションなどが特定されます。BSIMM12の参加企業の88%がこのアクティビティを実施しています。

5. 外部ペネトレーション・テスターを使用した問題の特定

導入:ペネトレーション・テスト
内部のセキュリティ担当者からの警告は見過ごされる可能性があり、外部のペネトレーションテスト担当者は、セキュリティの弱点の影響を受ける可能性があることを組織に明確に示すことができます。この現実をBSIMM12参加企業の87%が認識しています。

静的アプリケーション・セキュリティ・テスト(SAST)ツールが普及し、広く利用されているにもかかわらず、Ewersはある驚きと懸念を抱いています。「参加企業の20%が静的分析の実行に自動化ツールを使用していません。企業がSASTによるテストの自動化を行わない理由は確かにありますが、コード検査を完全に省いたり、リソース集約的な手動レビューだけに頼ることはお勧めしません」

自動化への移行

しかし、全体として、上位を占めたほとんどのアクティビティが自動化への移行を伴っており、開発の急激な短期化にペースを合わせるという点で、セキュリティ・テストは大幅に向上することになります。

「当社のセキュリティの自動化への取り組みは全面的に向上しています」とEwersは言います。「今後もこの傾向は続くと予想されますが、時間が経つにつれて、これらの取り組みは意思決定支援と自己強化型フィードバック・ループのための測定フレームワークに組み込む必要があります」

BSIMMのアクティビティ、トレンド、要点に関する詳細は、最新のレポートでご覧いただけます。

bsimm12-ad.jpg

 

この著者によるその他の情報