ソフトウェア品質とセキュリティ規格のコンプライアンス

顧客や法令への対応に不可欠なソフトウェア規格への準拠を確実にする

支払いの管理、重要な顧客データや患者データの処理、または法規制がある市場の事業を行う場合、顧客の信頼を維持し、法令違反による処罰を回避するためには、場合により、適用される規格への準拠を証明する必要が生じます。

ソフトウェアの規格への準拠が従来以上に難しくなっています | シノプシス

規格準拠の達成を支援するシノプシスのソリューション

個別のコンプライアンス目標に対する支援の方法については、当社にお問い合わせください。

法律と規制

法律と規制は、国や地域がその構成員の行動を規制することを認める体系化された規則であり、違反すれば罰則が課される場合があります。

米国では、議会で可決された法案に大統領が署名すると法律成立となります。施行された法律に基づき、アメリカ合衆国行政管理予算局(OMB:Office of Management and Budget)によって、連邦政府機関が実施・遵守する政策が作られます。

シノプシスのツールサービスeラーニングは、ここに記載されたソフトウェアの品質、セキュリティ、安全性、プライバシー、データ保護に関する法令をはじめとする法令遵守の目標達成を支援します。

法律と規制
業種 法律/規制
自動車 国連欧州経済委員会(UNECE)自動車基準調和世界フォーラム(WP29) リソース
金融サービス グラム・リーチ・ブライリー法(GLBA) リソース
医療 EU医療機器規則(MDR)2017/745 リソース
連邦食品医薬品化粧品(FDC)法、第510条k項、米国での医療機器販売の市販前承認 リソース
HITECH(Health Information Technology for Economic and Clinical Health:経済的および臨床的健全性のための医療情報技術)法 リソース
HIPAA(Health Insurance Portability and Accountability Act:​医療保険の携行性と責任に関する法律) リソース
複数業種 カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)/カリフォルニア州消費者プライバシー権法(CPRA:California Consumer Privacy Rights Act) リソース
連邦情報セキュリティマネジメント法(FISMA:Federal Information Security Management Act)/連邦情報セキュリティ近代化法(FISMA:Federal Information Security Modernization Act) リソース
一般データ保護規則(GDPR) リソース
SOX法(サーベンス・オクスリー法または上場企業会計改革および投資家保護法) リソース
公共部門 FedRAMP(Federal Risk and Authorization Management Program:米国連邦リスク認証管理プログラム​) リソース

規格、ポリシー、ガイドライン

米国政府のポリシーは、政府または内部機関向けの実装ガイダンスを作成するための法律や行政命令に応じて、OMBまたは他の機関によって作成されます。このガイダンスでは、関連する標準規格やNIST(米国国立標準技術研究所)の特別刊行物(SP)が参考資料として紹介されています。

ガイドラインは、法律、規制、ポリシーの遵守および実施に関する指針を提示しています。

規格は、法律、ポリシー、規制のガイドラインに準拠していることを実証するための基礎となります。

シノプシスのツールサービスeラーニングは、ソフトウェアの品質、セキュリティ、安全性、プライバシー、データ保護に関する以下のような規格、ポリシー、ガイドラインへの準拠を支援します。

業界で認知された優先度リスト別の問題(PCI DSS 2018)

問題を業界で認知された優先度リスト別に示した、PCI DSSに関するシノプシスのサンプルレポート

  • この規格の特定の要件に対応したソリューション
  • 当該規格が推奨するセキュリティをSDLCに組み込むための一般的な要件をサポートしているソリューション
  • 業種
  • 規格、ポリシー、ガイドライン
  • Coverity 静的解析
  • Black Duck コンポジション解析用ツール
  • Seeker インタラクティブ解析用ツール
  • Defensics プロトコルのファジング・テスト用ツール
  • Tinfoil 動的解析用ツール
  • サービス
  • eラーニング
航空宇宙および防衛 サイバーセキュリティ・マチュリティ・モデル認証(CMMC)データ保護対策(89件のCWEと多数のCVE) リソース
航空宇宙および防衛 DISA-STIG(国防情報システム局セキュリティ技術実装ガイド) リソース
航空宇宙および防衛 DO-178C(Software Considerations in Airborne Systems and Equipment Certification Standards) リソース
航空宇宙および防衛 自動車 安全が重視されるシステムでC++14言語を使用するためのAUTOSAR Adaptive Platformガイドライン リソース
航空宇宙および防衛 自動車 路上走行車向けISO 26262機能安全規格 リソース
航空宇宙および防衛 自動車 MISRA C/C++コーディングスタンダード リソース
自動車 路上走行車向けISO/CD 24089ソフトウェア・アップデート・エンジニアリング規格 リソース
自動車 路上走行車向けISO/SAE 21434 サイバーセキュリティ・エンジニアリング規格 リソース
自動車 TR 68 – サイバーセキュリティの3つの原則と自律走行車の評価フレームワーク リソース
エネルギー NERC CIP信頼性基準 リソース
金融サービス シンガポール金融管理局(MAS)のテクノロジー・リスク管理プラクティスに関するガイドライン リソース
金融サービス PCI DSS(Payment Card Industry Data Security Standard:ペイメントカード業界​データセキュリティ基準) リソース
医療 医療機器セキュリティ・リスク管理規格AAMI TIR57の原則 リソース
医療 セキュリティ・人命保護のためのシグナリング・システムに関する個別要件を定めたANSI/CAN/UL 2900-2-3規格 リソース
医療 FDA 510(k)市販前届出 リソース
医療 医療機器ソフトウェア向けのIEC 62304ソフトウェアライフサイクルプロセス規格 リソース
医療 医療/保健システムのネットワーク接続可能なコンポーネントに関する個別規格を定めたUL 2900-2-1 リソース
複数業種 ANSI/CAN/UL 2900-1一般要求事項 リソース
複数業種 制御システム・コンポーネントに関するANSI/ISA/IEC 62443規格 リソース
複数業種 CWE Top 25最も危険性の高いソフトウェアの脆弱性 リソース
複数業種 FIPS(Federal Information Processing Standard:米国連邦情報処理規格)が発表した暗号モジュールに関するセキュリティ要件140-2および140-3 リソース
複数業種 ISACA Control Objectives for Information and Related Technology(COBIT)フレームワーク リソース
複数業種 プログラミング言語規格を定めたISO/IEC 14882 C++ リソース
複数業種 ITソフトウェアおよびソフトウェアのソースコード品質を自動測定するための規格を定めたISO/IEC 5055(CISQ Automated Source Code Quality Measures) リソース
複数業種 IT(情報技術)に関する規格を定めたISO/IEC 5230 OpenChain仕様 リソース
複数業種 プログラミング言語の脆弱性を回避するためのISO/IEC TR 24772ガイダンス リソース
複数業種 セキュア・コーディング規則に関する規格を定めたISO/IEC TS 17961 C リソース
複数業種 システムおよびソフトウェア アシュアランスに関する規格を定めたISO/IEC/IEEE 15026 リソース
複数業種 共通脆弱性識別子(CVE)の使用に関するITU-T X.1520勧告 リソース
複数業種 共通脆弱性タイプ一覧(CWE)の使用に関するITU-T X.1524勧告 リソース
複数業種 共通攻撃パターン一覧(CAPEC)の使用に関するITU-T X.1544勧告 リソース
複数業種 連邦政府情報システム、および連邦組織のためのセキュリティ管理策とプライバシー管理策に関する基準を定めたNIST SP 800-53 リソース
複数業種 OWASPアプリケーション・セキュリティ検証標準(ASVS) リソース
複数業種 OWASP Mobile Top 10 Webアプリケーション・セキュリティ・リスク リソース
複数業種 OWASP Top 10 Webアプリケーション・セキュリティ・リスク リソース
複数業種 SEI CERT C、C++、Javaセキュア・コーディングスタンダード リソース
複数業種 ソフトウェア部品表(SBOM)情報の通信に関するSPDX仕様 リソース
複数業種 ネットワーク接続型製品のソフトウェア・サイバーセキュリティに関するUL 2900規格 リソース
複数業種 産業用制御システムに関する個別規格を定めたUL 2900-2-2 リソース
公共部門 アプリケーション・セキュリティ関連の制御に関する基準を定めたFedRAMP(Federal Risk and Authorization Management Program:米国連邦リスク認証管理プログラム) リソース
公共部門 連邦政府情報システムおよび連邦組織のためのサプライチェーンリスクマネジメント・プラクティスを規定したNIST SP 800-161 リソース
電気通信 セキュリティ・テストの手法と仕様を定めたETSI TR 101 583 リソース
電気通信 NESAS(Network Equipment Security Assurance Scheme)による開発およびライフサイクルのセキュリティ要件を定めたGSMA FS.16 リソース
運輸 鉄道の制御・保護システム用ソフトウェアにおける通信、信号、処理システムに関する規格を定めたCENELEC EN 50128 リソース
お客様独自のコンプライアンス確保のための指導を行います | シノプシス

シノプシスが複雑なコンプライアンス環境に対処するお手伝いをします

開発前、開発中、開発後のコンプライアンスの検証・確保をシノプシスが支援します。

シノプシスの多くのスタッフには、ソフトウェアの品質・セキュリティ基準、ポリシー、規制ガイドライン、オープンソース・コミュニティの取り組みに関連する委員会、審議会、ワーキンググループ、プログラム、プロジェクトの専門家としての経験があります。

規格とポリシーの連携に関する記事を見る

オープンソース・コミュニティの取り組みに関する記事を見る

コンプライアンス・トレーニングに関する記事を見る