14回目となる最新の BSIMMレポートには、8つの業種の130以上の企業からの情報が含まれており、何が機能し、何が機能していないのか、直面しているリスクと脅威の状況の何が変化しているのか、そしてそれらの変化にどのように対応しているのかについて整理しています。シノプシスによるこの年次報告書は、組織がソフトウェアによって運営される世界の利点を最大化し、苦痛を最小限に抑えるのに役立つものとなっています。
そして、その情報は最新のセキュア開発成熟度モデル(BSIMM)レポートに記載され、より安全なコードの作成からソフトウェア・サプライ チェーンの追跡などに役立つものとなっています。
セキュリティプログラムがどれほど成熟していても、改善の余地は常にあります。 デジタル・トランスフォーメーション(DX)が加速し、ビジネス環境のあらゆる分野で記述、借用、購入されるコード量の増加にサイバー犯罪も歩調を合わせ、ハッカーは、ソフトウェアの脆弱性を悪用するために絶え間なく探求を続けて損害を与え、さらには破壊しながら、その恩恵を自分たちの利益に変えています。
このような状況においてBSIMMレポートは依然として重要な意味を持ち続けており、ソフトウェアの欠陥によって損害を与える方法の進化と、防御の進化を追跡します。
BSIMM14について
BSIMMレポートの目標は、2008年に発表されたときと同じであり、何をすべきかを指示することではなく、組織間の協力を可能にし、ソフトウェアに対する信頼の構築を支援することです。それは、他の組織が独自のソフトウェア・セキュリティ・イニシアチブ(SSI)において、何を行っているかを文書化することによって実現するというものです。
そのため、BSIMMレポートには、企業が企業を運営するソフトウェアのセキュリティを向上させるのに役立つ無償の「ロードマップ」が含まれています。 クラウド、金融サービス、金融テクノロジー、保険、Internet of Things(IoT)、ヘルスケア、テクノロジーなどの分野の130以上の参加組織からの詳細情報を提供します。 参加者には11,100人のセキュリティ専門家が含まれており、約97,000のアプリケーションに取り組んでいる約27万人の開発者を共同で支援しています。
このロードマップのポイントは、各組織が独自の成熟への道を自由に選択できるようにすることです。 どのルートを選択するかを指定することなく、目的地までの多数のルートを提供します。 ただし、脅威は常に巧妙化しているため、各企業は自社のリスクプロファイルと優先順位に即したSSIを必要としています。
不可侵のソフトウェアは存在しません。そしてニュースの見出しが私たちに思い出させるように、ハッカーはソフトウェアの設計上の欠陥、バグ、その他の不具合を悪用して、知的財産や従業員や顧客の個人情報を盗み、企業の銀行口座にアクセスし、建物のセキュリティを侵害、ランサムウェア攻撃で業務を停止させられる可能性があります。
つまり、安全でないソフトウェアはビジネスリスクであり、潜在的には存続リスクとなる可能性があります。また、ビジネスを行っている場合は、ソフトウェアを自社と顧客が信頼できるように十分に安全に保つ必要があります。
セキュリティはどのように変化しているか
BSIMMレポートは、サイバー犯罪の進化に対応したソフトウェアセキュリティのトレンドを反映しています。 BSIMM14で指摘されているトップトレンドの1つは、自動化への注目が高まっていることであり、組織は最新のツールチェーンで利用できる使いやすく強力な自動化を利用して、セキュリティテストとタッチポイントを更新しています。 これにより、単に左にシフトするのではなく、ソフトウェア開発ライフサイクル (SDLC) を通じてセキュリティをあらゆる場所にシフトできるようになります。
自動化によりセキュリティタスクが容易になると、自動化されたアクティビティに関するトレンドが現れます。 たとえば、最新のツールチェーンを使用すると、開発プロセスの初期段階で行われる静的アプリケーション・セキュリティ テスト (SAST) のスキャンと同様に、QA段階でのセキュリティテストを自動化できます。 「シフトエブリウェア」というテスト哲学を採用したセキュリティチームは、パイプラインが自動セキュリティテストの結果に基づいてスクリプト化されたアクションを実行できることに気づきました。 また、企業は自動化を利用して、SDLC全体のセンサーによって提供されるインテリジェンスをより適切に収集して使用し、開発者にとって問題になる前に脆弱性を予防的に防止しています。
BSIMM におけるソフトウェア・セキュリティの 4 つのトレンド
- 「シフトレフト」から「シフトエブリウェア」への移行の継続
「シフトレフト」という呪文は、初期の BSIMMレポートによって作られた用語であり、組織がSDLCにおけるセキュリティテストを早期に開始することを奨励することを目的としていましたが、シフトのみを意味するものではありませんでした。しかし、シフトエブリウェアは哲学で、許容範囲内で安全なソフトウェアを一貫して実現することが共同の責任であるという現実を認識したセキュリティガバナンスへのアプローチです。各利害関係者は、実行する独自のビジネスプロセスを持っていますが、それぞれが独自のバージョンのセキュリティ・サインオフを実行する必要もあります。これには、SDLCツールチェーンからの理解可能で使用可能な計測手段が必要です。 - セキュリティの範囲を拡大する
政府の規制やサプライチェーンの脅威の増加などの外部からの圧力により、組織はリスク管理を外部ソースから統合するソフトウェア、開発者が使用するツールチェーン、および運用環境に存在するソフトウェアにまで拡張するようになりました。 - 製品固有のセキュリティを実装する
集中的なソフトウェアセキュリティへの取り組みを、アプリケーションやソフトウェアセキュリティではなく、製品セキュリティプログラムと呼び始めている製品会社が増えています。 この命名の傾向は(プライベート・データセンター内のアプリケーションと比較して)数年から数十年にわたって過酷な環境に存在するソフトウェアに関連するリスクを管理するセキュリティプログラムを製品ベンダーが作成していることと相関しているようです。 - セキュリティ・チャンピオン・プログラムの継続的な強調
BSIMMレポートによって提供されてきた最も古い知見は、セキュリティ・チャンピオン・プログラムを構築して運用する決定が、BSIMMスコアの合計に測定可能な影響を与える、というものです。BSIMM14では、セキュリティ・チャンピオン・プログラムを導入している企業は、導入していない企業よりも平均で25%高いスコアを獲得しています。
BSIMM におけるソフトウェア・セキュリティの 4 つのトレンド
過去12年間、BSIMMレポートは、独自のSSIをより広範なBSIMMコミュニティと比較するための「物差し」として世界中の組織で使われてきましたが、自社が「導入期」、「成熟期」、「最適化期」のどのフェーズにあるかを見極めることがすべての土台となります。幹部は自社のAppSecプログラムが現在どのフェーズに該当するかをまず見極める必要があります。
企業の知名度やそのAppSecプログラムの成熟度にかかわらず、BSIMMはあらゆる企業の幹部が業界のトレンドやリスク、優先事項、その他の要因に照らし合わせて自社を測定するための評価軸となります。BSIMMの用途はそれだけではありません。各組織のニーズに合わせたAppSecプログラムの作成、改善から成功までの道筋を示すロードマップとしての役割もあります。自社の目標を特定した後、そこにBSIMMのデータを重ねることにより、どのような追加対策や投資が必要なのかを判断できます。
レポート
BSIMM トレンド&インサイト・レポート
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
