BSIMM

Building Security In Maturity Model（BSIMM:セキュア開発成熟度モデル）は、Aetna、HSBC、Ciscoをはじめとするさまざまな企業との共同研究に基づいて、ソフトウェア・セキュリティの測定を行います。BSIMM（読みは「ビーシム」）は、既存のソフトウェア・セキュリティ対策の調査を行います。BSIMMでは、さまざまな組織のプラクティスを定量化することによって、一般的なソフトウェア・セキュリティ対策やユニークなバリエーションについて説明することができます。

BSIMMの最新版モデルのデータを提供してくれたのは、金融サービス、独立系ソフトウェアベンダー、テクノロジー、ヘルスケア、クラウド、モノのインターネット、保険、小売、電気通信、セキュリティ、エネルギーなどの業種の組織です。一部の組織は匿名でBSIMMの調査に参加することを希望していますが、社名の公表に同意した企業はBSIMM会員ページで確認できます。

BSIMMの最新版は、40万人の開発者が開発したソフトウェアを保護するために、約3,000人のソフトウェア・セキュリティ・グループ(SSG)メンバーの作業を記述しています。

BSIMMイニシアティブは、Cigital（現在はSynopsysソフトウェア・インテグリティ・グループの一部）のメンバーがソフトウェア・セキュリティ対策を説明するためにモデルの開発を開始した2006年に始まりました。最初の調査の一環として、9つの企業が選択されました。最初のBSIMMは2009年に発表されました。BSIMMモデルの目的は、ソフトウェア・セキュリティ対策において、主観だけを頼りに何が「起こるべきか」を指図するのではなく、何が実際に起こっているのかを説明することです。

BSIMMは、セキュリティ対策を評価するための116のアクティビティを分類するために使用されるソフトウェア・セキュリティ・フレームワークです。フレームワークは、4つの分野に分類された12のプラクティスで構成されます。

• ガバナンス。ソフトウェア・セキュリティ対策の構成、管理、および評価に役立つプラクティス。
• インテリジェンス。組織ぐるみでソフトウェア・セキュリティ・アクティビティを実行するために使用される、企業ナレッジの収集に役立つプラクティス。
• SSDLタッチポイント。特定のソフトウェア開発成果物およびプロセスの解析と保証に関連するプラクティス。
• デプロイメント。従来のネットワーク・セキュリティとソフトウェア保守組織を連携するプラクティス。 

BSIMMは、規範的なものではなく説明的なものです。BSIMMは、セキュリティに関する手引き書でも、万能の指図でもありません。ただ、ソフトウェア・セキュリティで以下のことが可能であることを反映したものです。

• 現在のソフトウェア・セキュリティ対策（SSI）の客観的な見解を提供する。
• 自社のSSIとBSIMMに参加する同業他社のSSIを比較した場合の洞察を提供する。
• 連続するBSIMMを通じてSSIの前年比の進捗状況を示す。
  

Synopsysマチュリティ・アクション・プラン（MAP）は、BSIMMから得た情報を規範的な計画に変えたいと考える組織が利用できます。ソフトウェア・セキュリティ対策を実施していない場合、BSIMMは組織がSSIを開発するうえで役立ち、特に次のような疑問を解決することができます。

• 同業他社はどのようなソフトウェア・セキュリティ・アクティビティを行っているか？
• 現在および今後、ソフトウェア・セキュリティ対策では、どのようなアクティビティに焦点を当てるべきか？
• ソフトウェア・セキュリティ・グループに必要な人員は何名か？

既にソフトウェア・セキュリティ対策を実行している場合は、BSIMMを使用して、同僚に対する自分の位置付けを把握し、ソフトウェア・セキュリティ・プログラムを強化することができます。

BSIMMのリソース・ページには、最新のBSIMMレポートや独自のセキュリティ対策の開発およびベンチマーキングに役立つ資料があります。

BSIMMに参加するには、BSIMMのお問い合わせページにアクセスしてください。