Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

業界の中で、自社の“対策レベル”を思い知る――セキュアなソフトウエア開発に「BSIMM」が必須な理由

edited by Security Online   2019/04/12 06:00

 「すべての企業がソフトウェア会社になる」「これからはソフトウェアがビジネスのイニシアチブを握る」――。デジタルトランスフォーメーションが進む中、業種業界を問わず、自社でソフトウェアやアプリケーションを開発する企業が増加している。そうした状況で注目されるのが、ソフトウェアのセキュリティである。サイバーセキュリティ対策は言うに及ばず、開発工程においても「どのくらいセキュアに開発されたのか」を可視化し、客観的な基準に則ってソフトウェア セキュリティを評価する必要がある。では、何を基準に評価すべきなのか。その1つの指針として注目されているのが、「BSIMM(The Building Security in Maturity Model)」だ。

 BSIMMは、米Cigital(シジタル/2016年11月に米Synopsysが買収)が構築したフレームワークである。ソフトウェア開発プロセスを、セキュリティ構築の「成熟度モデル(Maturity Model)」を基に、実際のソフトウェア セキュリティ対策で実行されるアクティビティを定量化して評価する。BSIMMを指針としながら改善を継続することで、セキュアなソフトウェア開発が実施できるというわけだ。

 BSIMMがユニークなのは、自社のソフトウェア セキュリティ対策を、同業他社と比較して評価できる点である。BSIMMの成熟度モデルの基となるのは、すでにBSIMMを利用している先行企業から収集したデータだ。4つのドメインと12のプラクティス(判断基準)に基づいて自社の行動をスコアリングすることで、先行企業と比較した開発プロセスのベンチマークが得られる。

 BSIMMの成熟度モデルの基となる4つのドメイン
BSIMMの成熟度モデルの基となる4つのドメイン
 BSIMMの成熟度モデルの基となる12のプラクティス(判断基準)
BSIMMの成熟度モデルの基となる12のプラクティス(判断基準)

「日本においてBSIMMの普及はこれからだが、必要になることは間違いない」と語るのは、米Synopsysのソフトウェアインテグリティグループでプリンシパルサイエンティストを務めるSammy Migues(サミー ミグエス)氏だ。BSIMMの導入で、企業のソフトウェア開発はどのように改善され、セキュリティが強化されるのか。話を聞いた。

 Synopsysソフトウェアインテグリティグループ プリンシパルサイエンティストのSammy Migues(サミー ミグエス)氏
Synopsysソフトウェアインテグリティグループ
プリンシパルサイエンティスト
Sammy Migues(サミー ミグエス)氏

同業他社に比較してどうなの…と

―― これまでソフトウェア開発を手掛けていなかった企業にとって「セキュアなソフトウェア開発」はクリアすべきハードルが多い。

Migues氏 最初にクリアすべき課題は、経営陣から現場のエンジニアまでが「自社のセキュリティ対策レベルを知る」こと。そして、そのレベルが客観的にどの程度なのかを把握し、全社的に情報を共有することだ。

 多くの企業/組織では複数のソフトウェア開発を同時並行で進めている。そして、ほとんどのケースではそれぞれの開発チームが独自の手法でプロジェクトを進め、問題があった場合には個別に対処している。つまり、「安全なソフトウェアとは何か」「この問題がどれだけの危険性をはらんでいるのか」という判断が全社で統一されていないのだ。これでは、企業全体でセキュリティリスクを理解しているとは言いがたい。

 セキュリティリスクを客観的に把握できなければ、適切なコスト配分も不可能だ。セキュリティ対策に十分な予算を充てられる企業が少数であることを考えれば、「自社ではセキュアなソフトウェアの開発に、どれだけ労力を割いているか」を客観的に判断する必要がある。BSIMMはそのためのフレームワークだ。自社の対策状況が同業他社に比較し、どの程度進んでいるかを明確に認識できる。これにより、どの分野を強化すべきかが詳らかになる。

参加企業全体の平均値(緑)と架空企業(青)を比較したレーダーチャート。この企業では「戦略と指標」「セキュリティ機能と設計」が甘い。だからこそ「コード・レビュー」や「ペネトレーションテスト」の成熟度が上がっているとも言える(レビューやテストをしないと大変だから)
参加企業全体の平均値(緑)と架空企業(青)を比較したレーダーチャート。
この企業では「戦略と指標」「セキュリティ機能と設計」が甘い。
だからこそ「コード・レビュー」や「ペネトレーションテスト」の成熟度が上がっているとも言える
(レビューやテストをしないと大変だから)

――「セキュア“ではない”ソフトウェア開発」がもたらすビジネスリスクを、企業はどのように測定すべきか。

Migues氏 大前提となるのは「コンプライアンスを遵守しているか」だ。例えば世の中にはクレジットカード情報を保護するグローバルセキュリティ基準の「PCIデータセキュリティスタンダード」や、医療保険の携行と責任に関する法律「HIPAA(Health Insurance Portability and Accountability Act)」のように「遵守することが大前提」の決まりがある。これらと同様に、企業も自社のビジネスの目標に対して、ソフトウェアがコンプライアンス要件を考慮していることを確認する必要がある。

 ただし、注意してほしいのは、「ソフトウェアを自社開発している」と言っても、すべて“自前”で開発しているわけではないことだ。ほとんどの企業では、オープンソースソフトやサードパーティのソフトを利用している。大規模企業のWebサイトを考えてほしい。第三者配信による広告やコンテンツなどは、その企業が管理できない。そのリスク評価は異なる種類のテストが必要であり、リスクを適切に管理しているかどうかは、(ソフトウェアの)サプライチェーン全体で見る必要がある。そのような指針の意味でも、BSIMMによる評価は有用になるだろう。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5