オープンソース・コンポーネントの安全性を確保し、開発者のツールチェーンにセキュリティ対策プロセスを組み込む動きが50%増加していることがBSIMM13レポートで判明
2022年11月2日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、セキュア開発成熟度モデル(BSIMM)の調査レポートの最新版であるBSIMM13(日本語版)を公開した。BSIMM13には、Adobe社、PayPal社、Lenovo社を始めとする130社の企業/団体における、約11,900人のセキュリティ専門家と約410,000人の開発者による、145,000を超すアプリケーションのセキュリティ強化のために実践してきたソフトウェア・セキュリティへの取組みの実態が反映されている。
BSIMM13では、BSIMM参加企業/団体が、ソフトウェア開発ライフサイクル(SDLC)全体を通じた継続的なセキュリティ・テストの自動化と、各社のアプリケーション・ポートフォリオ全般に渡るリスク管理を実現するために、自動テストを“SDLC全体を通じて実践(shift everywhere)”していることを示唆する取り組みの増加が明らかになった。
BSIMM13トレンド&インサイト・レポートは、下記よりダウンロード可能。
https://www.bsimm.com/ja-jp/download.html?cmp=pr-sig&utm_medium=referral
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「BSIMM調査の結果からは、殆どの企業組織がソフトウェア・サプライチェーンの問題に着目して、アプリケーション・セキュリティ対策のためにリスクベースのアプローチを実践している状況が窺えます。こうしたアプローチが取られている背景には、セキュリティの問題はコードベースの中にのみ潜んでいるものではないという認識の拡がりがあります。すなわち、問題はソフトウェア開発工程の中にも潜んでおり、セキュリティを確保するためには、セキュリティ評価とテストを“SDLC全体を通じて実践”しなければならないという認識です。BSIMM参加企業/団体のソフトウェア・セキュリティへの取り組みは成熟段階に入っており、そこからさらに進んで、テストの実施を拡張し、効率を高め、自社のプログラムの全体的な有効性を向上させるための方法を模索してらっしゃいます」
シノプシス Software Integrity Groupが実施したBSIMM13の結果から浮かび上がってきたソフトウェア・セキュリティの取り組みに見られる過去12ヶ月間の新しいトレンドは以下のような項目である。
近年のサプライチェーン攻撃の増加を受けて、主にオープンソース・ソフトウェアに潜むリスクの特定と対策として実施されているソフトウェア・サプライチェーン・リスク管理は、BSIMM参加企業/団体にとってトップ・プライオリティの要件となっていることが窺える。今回の調査では、オープンソース・リスクの管理に関連する取り組みは、過去12か月間で51%増加していることが判明した。また、採用するソフトウェア内部コンポーネントを全て網羅してソフトウェア部品表(SBOM:Software Bill of Materials)を整備/保守している企業/団体は30%増加している。
自動テストを“SDLC全体を通じて実践”する取り組みのひとつとして、BSIMM参加企業/団体では、セキュリティの取り組みをCI/CDパイプラインや開発者が使用するツールチェーンに組み込んでいく活動が、過去12か月間で大幅に進捗している。今回の調査では、品質保証(QA:Quality Assurance)自動化プロセスにセキュリティ・テストも組み込む活動が48%増加していることが分かった。
セキュリティ・チームは、CI/CDのための自動化プログラムのように、アプリケーションではないソフトウェアのセキュリティを確保するための取り組みも大幅に強化している。今回の調査では、継続的な品質向上を実現するために実稼働データを活用する動きが、過去12か月間で95%増加していることが明らかとなった。
今回の調査からは、BSIMM参加企業/団体の82%が自動コード・レビュー(静的解析)ツールを活用していることも分かった。これは、今回の調査の中で観測された取り組みのトップ10にランクされている。これにより、追加のセキュリティ・テストを迅速に実施し、SDLC全体のどこかで発生する脆弱性を特定することが可能となる。
2008年から開始したBSIMMは、ソフトウェア・セキュリティ・プロフェッショナルの取り組みを調査し数値化した成熟度モデル調査で、セキュリティ問題に関連する多岐に渡る業界の参加企業/団体が自社の取り組みを立案し、実行し、結果測定するにあたっての指針となることを目的としている。BSIMMが提供するデータは、調査期間中に参加企業/団体に対して行った取材の結果を集積したものである。この結果は匿名化した後にBSIMMデータ・プールに格納され、統計的な分析を施すことによって、BSIMM参加企業/団体が行っているソフトウェア・セキュリティの取り組みに見られる傾向が明確化されている。
BSIMMは年に一度の調査結果報告だけではなく、参加企業/団体にプライベート・コミュニティへの参加機会も提供している。このコミュニティを活用することにより、ダイナミックな展開を見せている今日のビジネス環境でのソフトウェア・セキュリティの在り方に焦点を当てたコミュニティ内の議論やブログ、eラーニング・コースやWebセミナーへの参加、その他の専用コンテンツを通じて、同種の企業/団体と交流を持ったり、ベスト・プラクティスを学んだり、新たな視点を得ることができる。
NECのシステムプラットフォームビジネスユニット 上席セキュリティ主幹 渡辺裕之氏は次のように述べている。「BSIMMコミュニティに参加して以来、非常に大きなメリットを享受しています。BSIMM の評価を受けることにより、NECグループの特定製品のソフトウェア開発、セキュリティに関する成熟度合いの理解が深まり、業界におけるポジションの把握と改善の道すじの具体把握をすることができ、他の製品やプロジェクトへの展開を進めることができました。またBSIMMの年次レポートやコミュニティでの議論を通して、新たなトレンドだけでなく、サイバー脅威が進化するなかで他社がどのようにソフトウェア・セキュリティの取り組みを適応させているのかについても知ることができました」
謝辞
Jamie Boote, Eli Erlikhman, Stephen Gardner, and Sammy MiguesならびにBSIMM13執筆者各位に感謝申し上げます。またBSIMMの科学性を維持し、協議やコミュニティの場たらしめるための根回し作業にご尽力いただいたKathy Clark-Fisher and Ryan Francisに感謝の意を表します。そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。
AARP, Adobe, Aetna, Ally Bank, Axway, Bank of America, Bell Network, CIBC, Cisco, Citi, Diebold Nixdorf, Depository Trust & Cleaning Corporation, Egis, Eli Lilly and Company, eMoney Advisor, EQBank, Equifax, Fidelity, Finastra, Freddie Mac, F-Secure, Genetec, HCA Healthcare, Honeywell CE, HSBC, Imperva, Inspur Software, Intralinks, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, MediaTek, Medtronic, Navient, Navy Federal Credit Union, NEC Platforms, NetApp, Oppo, PayPal, Pegasystems, Principal Financial, Realtek, SambaSafety, ServiceNow, Signify, SonicWall, Synchrony Financial, TD Ameritrade, Teradata, Trainline, Trane, U.S. Bank, Veritas, Verizon Media, Vivo, World Wide Technology, ZoomInfo.
BSIMMについて
2008年に開始されたBSIMM(セキュア開発成熟度モデル)は、ソフトウェア・セキュリティ・イニシアティブを測定し、評価するデータ駆動型測定ツールである。250以上のソフトウェア・セキュリティの取り組みに対する注意深い調査/分析を基に作成されたBSIMM13は、世界各国130社の企業/団体から収集した現実のデータからなっている。BSIMMは年に一度の調査結果報告だけではなく、参加企業/団体にプライベート・コミュニティへの参加機会も提供している。このコミュニティを活用することにより、ダイナミックな展開を見せている今日のビジネス環境でのソフトウェア・セキュリティの在り方に焦点を当てたコミュニティ内の議論やブログ、eラーニング・コースやWebセミナーへの参加、その他を通じて、同種の企業/団体と交流を持ったり、ベスト・プラクティスを学んだり、新たな視点を得ることができる。詳細は、https://www.bsimm.com/jpにて確認できる。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質なソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・池田
Email:synopsys@inoue-pr.com