SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

業界の中で、自社の“対策レベル”を思い知る――セキュアなソフトウエア開発に「BSIMM」が必須な理由

 「すべての企業がソフトウェア会社になる」「これからはソフトウェアがビジネスのイニシアチブを握る」――。デジタルトランスフォーメーションが進む中、業種業界を問わず、自社でソフトウェアやアプリケーションを開発する企業が増加している。そうした状況で注目されるのが、ソフトウェアのセキュリティである。サイバーセキュリティ対策は言うに及ばず、開発工程においても「どのくらいセキュアに開発されたのか」を可視化し、客観的な基準に則ってソフトウェア セキュリティを評価する必要がある。では、何を基準に評価すべきなのか。その1つの指針として注目されているのが、「BSIMM(The Building Security in Maturity Model)」だ。

 BSIMMは、米Cigital(シジタル/2016年11月に米Synopsysが買収)が構築したフレームワークである。ソフトウェア開発プロセスを、セキュリティ構築の「成熟度モデル(Maturity Model)」を基に、実際のソフトウェア セキュリティ対策で実行されるアクティビティを定量化して評価する。BSIMMを指針としながら改善を継続することで、セキュアなソフトウェア開発が実施できるというわけだ。

 BSIMMがユニークなのは、自社のソフトウェア セキュリティ対策を、同業他社と比較して評価できる点である。BSIMMの成熟度モデルの基となるのは、すでにBSIMMを利用している先行企業から収集したデータだ。4つのドメインと12のプラクティス(判断基準)に基づいて自社の行動をスコアリングすることで、先行企業と比較した開発プロセスのベンチマークが得られる。

 BSIMMの成熟度モデルの基となる4つのドメイン
BSIMMの成熟度モデルの基となる4つのドメイン
 BSIMMの成熟度モデルの基となる12のプラクティス(判断基準)
BSIMMの成熟度モデルの基となる12のプラクティス(判断基準)

「日本においてBSIMMの普及はこれからだが、必要になることは間違いない」と語るのは、米Synopsysのソフトウェアインテグリティグループでプリンシパルサイエンティストを務めるSammy Migues(サミー ミグエス)氏だ。BSIMMの導入で、企業のソフトウェア開発はどのように改善され、セキュリティが強化されるのか。話を聞いた。

 Synopsysソフトウェアインテグリティグループ プリンシパルサイエンティストのSammy Migues(サミー ミグエス)氏
Synopsysソフトウェアインテグリティグループ
プリンシパルサイエンティスト
Sammy Migues(サミー ミグエス)氏

同業他社に比較してどうなの…と

―― これまでソフトウェア開発を手掛けていなかった企業にとって「セキュアなソフトウェア開発」はクリアすべきハードルが多い。

Migues氏 最初にクリアすべき課題は、経営陣から現場のエンジニアまでが「自社のセキュリティ対策レベルを知る」こと。そして、そのレベルが客観的にどの程度なのかを把握し、全社的に情報を共有することだ。

 多くの企業/組織では複数のソフトウェア開発を同時並行で進めている。そして、ほとんどのケースではそれぞれの開発チームが独自の手法でプロジェクトを進め、問題があった場合には個別に対処している。つまり、「安全なソフトウェアとは何か」「この問題がどれだけの危険性をはらんでいるのか」という判断が全社で統一されていないのだ。これでは、企業全体でセキュリティリスクを理解しているとは言いがたい。

 セキュリティリスクを客観的に把握できなければ、適切なコスト配分も不可能だ。セキュリティ対策に十分な予算を充てられる企業が少数であることを考えれば、「自社ではセキュアなソフトウェアの開発に、どれだけ労力を割いているか」を客観的に判断する必要がある。BSIMMはそのためのフレームワークだ。自社の対策状況が同業他社に比較し、どの程度進んでいるかを明確に認識できる。これにより、どの分野を強化すべきかが詳らかになる。

参加企業全体の平均値(緑)と架空企業(青)を比較したレーダーチャート。この企業では「戦略と指標」「セキュリティ機能と設計」が甘い。だからこそ「コード・レビュー」や「ペネトレーションテスト」の成熟度が上がっているとも言える(レビューやテストをしないと大変だから)
参加企業全体の平均値(緑)と架空企業(青)を比較したレーダーチャート。
この企業では「戦略と指標」「セキュリティ機能と設計」が甘い。
だからこそ「コード・レビュー」や「ペネトレーションテスト」の成熟度が上がっているとも言える
(レビューやテストをしないと大変だから)

――「セキュア“ではない”ソフトウェア開発」がもたらすビジネスリスクを、企業はどのように測定すべきか。

Migues氏 大前提となるのは「コンプライアンスを遵守しているか」だ。例えば世の中にはクレジットカード情報を保護するグローバルセキュリティ基準の「PCIデータセキュリティスタンダード」や、医療保険の携行と責任に関する法律「HIPAA(Health Insurance Portability and Accountability Act)」のように「遵守することが大前提」の決まりがある。これらと同様に、企業も自社のビジネスの目標に対して、ソフトウェアがコンプライアンス要件を考慮していることを確認する必要がある。

 ただし、注意してほしいのは、「ソフトウェアを自社開発している」と言っても、すべて“自前”で開発しているわけではないことだ。ほとんどの企業では、オープンソースソフトやサードパーティのソフトを利用している。大規模企業のWebサイトを考えてほしい。第三者配信による広告やコンテンツなどは、その企業が管理できない。そのリスク評価は異なる種類のテストが必要であり、リスクを適切に管理しているかどうかは、(ソフトウェアの)サプライチェーン全体で見る必要がある。そのような指針の意味でも、BSIMMによる評価は有用になるだろう。

次のページ
「CI/CD」「DevOps」にはBSIMMが必須に

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

鈴木恭子(スズキキョウコ)

ITジャーナリスト。
週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11908 2019/04/12 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング