ソフトウェアセキュリティ成熟度モデル調査を発表、シノプシス

シノプシスは、ソフトウェアセキュリティ成熟度モデル調査の最新版「BSIMM9」を公開した。BSIMM(Building Security in Maturity Model)は、ソフトウェアセキュリティ強化プログラム「SSI(software security initiatives)」の計画/実施/査定を行う組織を支援するサービス。


今回で9度目となるBSIMMには、過去10年間に120の企業/団体が実践してきたSSIの実態がまとめられている。同社によると、注目すべきはクラウド化の進展の影響、調査データから浮き彫りになった新しい業界である小売業界の取り組み、ソフトウェアセキュリティコミュニティの成長であると説明する。

BSIMM9では、7,800人のソフトウェアセキュリティ専門家の取り組みが類型化されている。こうした取り組みは、約13万5千ものアプリケーションに携わる41万5千人のソフトウェア開発者のセキュリティ対策をガイドし、その努力を最大限に活かすのに役立つものとなる。金融関連、独立系ソフトウェア開発企業(ISV:)、クラウド関連、医療関連、IoT関連、保険関連、小売関連などをはじめとする様々な業界の企業・団体がBSIMM9に参加している。

企業・団体は、業務負荷や開発パイプラインをクラウド上に移行しつつある。これは、ソフトウェアセキュリティの点でこれまでと異なるアプローチが要求されるパラダイム・シフトである。クラウド化に直接/間接に関連する3つの取り組みが、新たにBSIMM項目として登場した。

さらに、もっとも取り組みが活発な業界のうちの3業種であるISV、IoT企業、クラウド・ファームに見られる取り組みは、似かよった内容に収斂しつつあり、このことは、クラウド・アーキテクチャという共通項が、同じようなソフトウェアセキュリティ対策を要求していることを示している。

BSIMMは、個別業界内あるいは業界をまたがるSSI評価に用いることができる。今回新たに小売業界が、BSIMMデータに加わった。小売業界の発展にとってEコマースというビジネスモデルが必須となっているため、この業界でのSSIの取り組みは比較的急速に成熟しつつある。医療関連や保険関連の業界と比べても、より成熟した取り組みが見て取れる。

BSIMM9への参加企業/団体はBSIMM8の109社から増加して、120社となっている。その中で、ソフトウェアセキュリティ対策を実施している企業/団体の数は65%増加しており、開発に携わる企業/団体の数も43%増加している。この注目すべきBSIMM人口の増加は、ソフトウェアセキュリティ対策のプライオリティがこれまで以上に高くなっていることを示している。

BSIMMは、企業/団体によるSSI確立への取り組みを観測し、各社に共通する取り組みと独自の取り組みを明確にするために116種の項目の実践の度合いを数値化している。こうして得られたBSIMMデータ集計をチャート化すると、モデル(指標)化されて12分野に分けて組み込まれている多数の取り組み項目の実施度合いによって異なるチャート形状となり、セキュリティ成熟度が高い場合には正12角形に近いチャートを形成することになる。

参加企業/団体は、BSIMMを活用して自社の取り組み度合いを査定し、次にどういった取り組みを実践するのが自社戦略全体にとって有効であるかを判断できるという。