ニュースリリース - 2020年11月12日

シノプシス、BSIMM11日本語版を発表 DevOpsやデジタル・トランスフォーメーションの進展に対応した ソフトウェア・セキュリティへの取り組みの抜本的な変化が明らかに

先進的なソフトウェア開発の枠組みに対処すべく企業/団体が実践しているソフトウェア・セキュリティ対策の状況が、最新のBSIMMレポートで判明

 

2020年11月12日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、セキュア開発成熟度モデル(BSIMM)の調査レポートの最新版であるBSIMM11(日本語版)を公開した。BSIMMは、ソフトウェア・セキュリティ・イニシアティブ(SSI:software security initiatives)の計画/実行/測定/改善を行う企業/団体を支援するものである。BSIMM11には、金融、フィンテック、独立系ソフトウェア・ベンダ(ISV:Independent Software Vendors)、クラウド、医療、IoT、保険、小売りといった様々な業界に属する130の企業/団体のソフトウェア・セキュリティへの取り組みの実態が反映されている。49万人以上のソフトウェア開発者のセキュリティ対策を指導する8,457名のソフトウェア・セキュリティ専門家の取り組みが類型化されている。

 

BSIMMは、多数の企業が参加しているBSIMM調査から得られたデータと自社の取り組み状況を比較/対照する際の評価軸となる。今回BSIMM11で明らかになったのは、多くの企業/団体が、デジタル・トランスフォーメーションや、DevOpsのような先進的なソフトウェア開発の枠組みを支援するために、ソフトウェア・セキュリティ対策を適用させつつあるという事実である。

 

BSIMM11のダイジェストは下記より入手可能。

https://www.synopsys.com/ja-jp/software-integrity/resources/ebooks/ciso-guide-modern-appsec.html?cmp=pr-sig&utm_medium=referral

BSIMM11の完全版は下記より入手可能。

https://www.bsimm.com/ja-jp/download.html?cmp=pr-sig&utm_medium=referral

 

BSIMMコミュニティのメンバーであるNavy Federal Credit Unionの最高情報セキュリティ責任者(CISO)である Mike Newborn氏は、次のように述べている。「BSIMMは、同業者と経験を共有することから学びたいと思っているセキュリティ対策リーダーにとって、特に最新の課題の解決に当たって非常に有益な情報です。今日、大半の企業/団体は、ソフトウェア開発の急速な進化と加速に対し、増え続けるアプリケーション・ポートフォリオの安全性を確保しなければならないという課題に直面しています。BSIMM11を見れば、こうした企業/団体の内の何社が、イノベーションを妨げたり開発スピードを鈍らせたりすることなく自社や顧客を守るためのソフトウェア・セキュリティ戦略を適用しているかが解ります」

 

BSIMM11の結果から浮かび上がってきた新しいトレンドは以下のような項目である。

  • エンジニアリング主導のソフトウェア・セキュリティの取り組みは、問題発生からの回復力(レジリエンス)を追求するDevOps バリュー・ストリームへの貢献に成功している

BSIMM11で明確になったのは、CI/CDの実装と運用のオーケストレーションが、多くの企業/団体のソフトウェア・セキュリティ・イニシャティブの標準的要件となっているということ、そしてその編成、設計、実行のあり方に影響を与えているということである。一例として、ソフトウェア・セキュリティ・チームは、ITセキュリティ部門やCISOではなく、テクノロジ部門やCTOにレポートするようになりつつあり、また内部人材の登用と組織編制のあり方も変わりつつある。

  • ソフトウェア定義によるセキュリティ・ガバナンスは、もはや単なる願望ではない

企業/団体は、CI/CDパイプラインのイベントをトリガーにした自動アクティビティによって、摩擦の大きいアウトオブバンドのセキュリティ・アクティビティの一部を置き換えようとしている。人に依存したプロセスや意思決定をアルゴリズム・ベースに置き換えることにより、リソースの制約、およびケーデンス管理の問題に次第に対処してきている。

  • 「シフト・レフト」から「シフト・エブリウェア」へ

やるべきことを前倒しで実行する「シフト・レフト」というコンセプトの実装は、何らかのセキュリティ・テストを開発サイクルのより早い段階で実施するという文字通りの解釈から、レビュー対象の作成物が利用可能になり次第、セキュリティ・アクティビティを実施するという行動様式へと進化している。これは、アクティビティを実施するタイミングが今より早くなる場合(シフト・レフト)もあれば、本番環境も含め、後期段階で実施する場合(シフト・ライト)もよくあるということを意味する

  • BSIMMデータプールへのフィンテック業界の導入

参加企業が増え続けていた金融業界の企業を精査した結果、実質的に金融サービス・ソフトウェアに特化したISVである企業を説明するために、別の業種を追加する必要があることが明らかとなった。

 

BSIMMの共著者であるシノプシスのテクノロジ担当シニア・ディレクター Michael Ware氏は、次のように語っている。「最新のソフトウェアのビルドとデプロイの方法は、ここ数年の間に劇的な変容を遂げており、当然のことながらそのソフトウェアを保護するための取り組みも同様に変化しています。ビジネスがソフトウェアに大きく依存するようになり、最新の開発手法がソフトウェアの開発スピードを加速してきました。その結果、いたるところにソフトウェアが増えると同時に、依然として既存のあらゆるソフトウェアについて心配する必要があります。BSIMMは、世界中の何百ものソフトウェア・セキュリティ・グループ(世界の最先端のチームの一部を含む)が実施している現実の取り組み状況を反映するために継続的に進化してきたモデルとして、増加の一途を辿るソフトウェア・ポートフォリオの安全性を担保するために、こうした変化がどのようにして実行されているかといった点に関するほぼリアルタイムの展望をもたらしてくれます」

 

BSIMMの新たなアクティビティがDevSecOpsへの移行を示唆

BSIMM10で追加された3つのアクティビティ(SM3.4:ソフトウェア定義によるライフサイクル・ガバナンスを統合する、AM3.3:資産の自動生成を監視する、CMVM3.5:運用インフラストラクチャのセキュリティ検証を自動化する)が観察された企業数は、この一年間で大幅に増加している。これは、いくつかの企業・団体が、ソフトウェア・デリバリのペースに合わせるために、積極的にソフトウェア・セキュリティ対策の加速に取り組んでいることを反映している。さらにBSIMM11で追加された2つのアクティビティ(ST3.6:イベント駆動型のセキュリティ・テストを自動化して実装する、CMVM3.6:デプロイ可能な作成物に関するリスク・データを公開する)は、その傾向の継続を表している。

 

多種多様な業界の企業がBSIMMに参加

BSIMMは、さまざまな業界にわたるソフトウェア・セキュリティ・イニシアチブの相対的な長所と短所を理解および比較するための独自のデータ駆動型の洞察を提供する。クラウド、IoT、ハイテク業界が、BSIMM11のデータプールにおける最も成熟した3つの業界である。BSIMM11はまた、金融サービス、ヘルスケア、保険という3つの非常に法規制の厳しい業界の違いも強調している。他の業界に先駆けてソフトウェア・セキュリティ・グループを整備してきた金融サービス業界は、医療業界/保険業界と比べて、より成熟した取り組みが行われているように見えた。今回初めてBSIMMはフィンテック業界のデータを提示し、トレーニング、セキュリティ・テスト、コード・レビューのプラクティスの点でフィンテック業界の優位点が認められるのものの、金融サービス業界と極めて近いことを発見している。

 

BSIMM11の調査結果については、下記オンラインセミナー(11月27日開催)にて視聴可能。
https://www.brighttalk.com/webcast/18289/449793?utm_campaign=sig-pr&utm_medium=website&utm_source=synopsys

 

謝辞

過去12年近くにわたって実施してきたソフトウェア・セキュリティ・リサーチを通じて収集したデータを分析しBSIMM11を執筆したシノプシスのプリンシパル・サイエンティストであるSammy Migues氏、シノプシスのテクノロジ担当シニア・ディレクターであるMichael Ware氏、ならびにAedify Securityの創設者であるJohn Steven氏、そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。

Adobe, Aetna, Alibaba, Ally Bank, Autodesk, Axway, Bank of America, Bell, BMO Financial Group, Black Knight Financial Services, Box, Canadian Imperial Bank of Commerce, City National Bank, Cisco, Citigroup, Dahua, Depository Trust & Clearing Corporation, Eli Lilly, Equifax, Experian, F-Secure, Fannie Mae, Freddie Mac, General Electric, Genetec, Global Payments, HCA Healthcare, Highmark Health Solutions, Honeywell, Horizon Healthcare Services, HSBC, iPipeline, Johnson & Johnson, JPMorgan Chase & Co., Lenovo, MassMutual,  McKesson, Medtronic, Morningstar, Navient, Navy Federal Credit Union, NCR, NEC Platforms, NetApp, NewsCorp, NVIDIA, PayPal, Pegasystems, Principal Financial Group, Royal Bank of Canada, SambaSafety, ServiceNow, Synopsys, TD Ameritrade, The Home Depot, The Vanguard Group, Trainline, Trane, U.S. Bank, Veritas, Verizon, Verizon Media, Wells Fargo, and Zendesk.

 

BSIMMについて

2008年に開始されたBSIMM(セキュア開発成熟度モデル)は、ソフトウェア・セキュリティ・イニシアティブを作成し、測定し、評価するツールだ。200以上のソフトウェア・セキュリティ・イニシアティブの注意深い調査/分析により開発された、データ駆動型モデルならびに測定ツールであるBSIMM11は、130社の企業/団体から収集した現実のデータからなっている。BSIMMは、ソフトウェア・セキュリティ・プラクティスに基づくフレームワークを含むオープン・スタンダードであり、自社のソフトウェア・セキュリティの取り組みを評価し成熟させるために活用されている。詳細は、https://www.bsimm.com/jpにて確認できる。

 

シノプシス ソフトウェア・インテグリティ・グループについて

シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら速度と生産性を最大化することを支援している。アプリケーション・セキュリティのリーダーとして認められているシノプシスは、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供し、チームが独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できるようにする。業界をリードするツール、サービス、専門知識を組み合わせたシノプシスだけが、組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのを支援できる。ソフトウェアの品質とセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティのリーディング・カンパニーとして認識されており、静的解析、ソフトウェア・コンポジション解析、および動的解析のソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合を短時間で特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)の中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。

# # #

 

Synopsysは、Synopsys, Inc.の登録商標または商標です。

その他の商標や登録商標は、それぞれの所有者の知的財産です。

 

<お問い合わせ先>

 

日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充

TEL: 03-6746-3940                  FAX: 03-6746-3941