ニュースリリース - 2017年9月22日

BSIMM8調査の結果、ベンチマーク査定がソフトウェア・セキュリティ強化の取り組みの初期段階における重要なプロセスであるという認識が強まる

直近で実施したBuilding Security in Maturity Model評価の結果、アセスメント実施後に取り組みを段階的に改善していく手法でソフトウェア・セキュリティ強化プログラムを積極的に実践する企業/団体が増加していることが明らかに。

2017年9月20日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、業界をリードするソフトウェア・セキュリティ成熟度モデルの最新版であるBSIMM8を公開した。BSIMM（Building Security in Maturity Model）は、実際にセキュリティ対策に取り組んでいる企業/団体のデータに基づき、ソフトウェア・セキュリティ強化プログラム（SSI：software security initiatives）の計画/実施/査定を行う組織を支援するサービスである。今回で8度目となるBSIMMでは、過去最多の企業/団体からのデータが収集された。このBSIMM8の結果、SSIライフサイクルの初期段階で自社の取り組みをベンチーマーク査定し査定結果を戦略的に活用してセキュリティ対策を段階的に向上させる企業/団体が増えており、ソフトウェア・セキュリティはビジネス上のプライオリティの高い重要事項となっていることが明らかとなった。BSIMM8の結果は、下記よりダウンロードできる。
https://www.bsimm.com/download.html

シノプシス　ソフトウェア・インテグリティ・グループ　セキュリティ・テクノロジ担当副社長　Gary McGrawは、次のように語っている。「脆弱なソフトウェアを狙って社会に蔓延している破壊的なセキュリティ攻撃の増殖速度のさらなる加速に伴って、脆弱性が発覚したらパッチを公開するという対症療法的な手法（Penetrate and Patch）から、セキュアなソフトウェアを基礎のレベルからシステマティックに構築していくために組織としての取り組みを強化するという先回り戦略にシフトする企業/団体が増えてきています。SSI確立に取り組み、BSIMMのような手段を使って早い段階から自社のセキュリティ対策の強みと弱みを評価し、最適な対策の立案と実行にフォーカスすることで、セキュリティ・リスクを最小化できるということを企業/団体は認識し始めたと言えるでしょう」

BSIMM8では、109社の企業/団体のデータが収集され、4,769人のソフトウェア・セキュリティ専門家の取り組みが類型化されている。こうした取り組みは、約9万5千ものアプリケーションに携わる30万人のソフトウェア開発者のセキュリティ対策をガイドし、その努力を最大限に活かすのに役立つものとなる。金融関連、独立系ソフトウェア開発企業（ISV：Independent Software Vendors）、クラウド関連、医療関連、IoT関連、保険関連などをはじめとするさまざまな業界の企業/団体がBSIMM8に参加している。

BSIMM8の結果で注目されるポイントは以下のような項目である。

• 企業/団体ではBSIMMを活用してSSIを活性化

  BSIMM8の結果、セキュリティ成熟度スコア^*1が低くなっており（BSIMM7の際の33.9ポイントから33.1ポイントに低下）、またソフトウェア・セキュリティ部門の取り組み経験年数も減少している（BSIMM7の際の3.94年から3.88年に低下）ことからわかるように、BSIMMはこれまで取り組んでいなかった新たな企業/団体のSSIライフサイクルの初期段階への参入を促進している。

  *1  BSIMMスコアは、SSIの査定プロセスで明らかとなったソフトウェア・セキュリティ対策実施項目の合計スコアから算出されている。各項目は1ポイントで、BSIMM全体は113項目で構成されている。
  

• BSIMM参加の企業/団体では段階を踏んでセキュリティ成熟度が向上

  BSIMM評価に複数回参加している企業/団体では、セキュリティ成熟度スコアが平均10.3ポイント（BSIMM7比で33.4%）増加しており、セキュリティ対策の改善傾向がはっきりと現れている。ベンチマーク査定は、セキュアなソフトウェア開発体制を着実に構築していくための最適なパスに企業/団体を導く効率的な手法であることがわかる。 

• 業界によってセキュリティ成熟度にばらつき

実施すべき項目の中で優先度の高い項目は業界によって異なっており、セキュリティ強化体制の構築にあたってとるべきパスは、業界によっても個々の企業/団体によっても異なるものとなっている。平均値で見ると、金融関連/ISV/クラウド関連業界のセキュリティ成熟度は、医療関連/IoT関連/保険関連業界よりも高くなっている。金融関連/クラウド関連業界では、コンプライアンスとポリシーに関する取り組み項目で成熟度スコアがとりわけ高くなっており、IoT業界ではソフトウェア開発環境に関する項目の成熟度が最も高くなっている。 

ガートナー社のレポートによると「新しいテクノロジの登場や進化するセキュリティ攻撃によって混沌の様相を呈している現状に対してセキュリティ対策を講じていくためには、体系的かつプログラム的手法をとる必要がある。アプリケーション・セキュリティ強化プログラムを成功に導くには、人/プロセス/テクノロジのバランスが不可欠となる」^*2

 *2  ガートナー社 2016年12月23日発行 Michael Isbitski、Michael Ramon著 “A Guidance Framework for Establishing and Maturing an Application Security Program”より抜粋。 

BSIMMは、企業/団体によるSSI確立への取り組みを観測し、各社に共通する取り組みと独自の取り組みを明確にするために113種の項目の実践の度合いを数値化している。こうして得られたBSIMMデータ集計をチャート化すると、モデル（指標）化されて12分野に分けて組み込まれている多数の取り組み項目の実施度合いによって異なるチャート形状となり、セキュリティ成熟度が高い場合には正12角形に近いチャートを形成することになる。参加企業/団体は、BSIMMを活用して自社の取り組み度合いを評価し、次にどういった取り組みを実践するのが有効であるかを判断できる。 
 

謝辞

過去9年にわたって実施してきたセキュリティ・リサーチを通じて収集したデータを分析したDr. McGrawならびにシノプシス 主席サイエンティスト Sammy Migues氏、NetSuite社 チーフ・アーキテクト Jacob West氏、そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。

Adobe, Aetna, Amgen, ANDA, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizen’s Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dell EMC, Depository Trust & Clearing Corporation, Elavon, Ellucian, Epsilon, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Highmark Health Solutions, Horizon Healthcare, Services, Inc., HPE Fortify, HSBC, Independent Health, iPipeline, JPMorgan Chase & Co., Lenovo, LGE, LinkedIn, McKesson, Medtronic, Morningstar, Navient, NetApp, NVIDIA, NXP Semiconductors N.V., Oracle NSGBU, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, Siemens, Sony Mobile, Splunk, Symantec, Synopsys SIG, Target, TD Ameritrade, The Advisory Board, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Wells Fargo, Zendesk, Zephyr Health

BSIMMについて

BSIMM（Building Security in Maturity Model）は、企業/団体が取り組むソフトウェア・セキュリティ強化プログラム（SSI：software security initiatives）を査定/評価するサービスとして、2008年より実施されている。BSIMMは、データに裏付けされたモデル（指標）と、各社のSSIを注意深く調査/分析して開発した測定ツール、100社以上の企業/団体から収集した現実のデータからなっている。ソフトウェア・セキュリティ対策の実践状況を基にしたフレームワークのオープン・スタンダードであり、自社のセキュリティへの取り組みを査定するために活用されている。詳細は、https://www.bsimm.com/にて確認できる。

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスは、ソフトウェア開発ライフサイクルとサプライチェーンにインテグリティ（セキュリティとクオリティ）を確立するための業界で最も包括的なソリューションを提供している。このソフトウェア・インテグリティ・プラットフォームは、シノプシスが業界をリードするテスト・テクノロジ、解析自動化テクノロジ、そして強靭なツール群やサービスを提供するエキスパートの所産である。これによりソフトウェア開発企業/団体は、開発工程の早期段階でソフトウェアの欠陥や脆弱性を検知/修正し、開発リスクを最小化、開発効率を最大化するための独自の対策を構築することが可能となる。シノプシスは、アプリケーション・セキュリティ・テスト（AST）のリーディング・カンパニーとして高い評価を受けており、IoT、DevOps、CI/CD、クラウドといった新しいテクノロジやトレンドでベスト・プラクティスの実践を可能にする独自のポジションを確立している。
詳細情報は、https://www.synopsys.com/software-integrity.htmlより入手可能。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。