14回目となる最新の BSIMMレポートには、8つの業種の130以上の企業からの情報が含まれており、何が機能し、何が機能していないのか、直面しているリスクと脅威の状況の何が変化しているのか、そしてそれらの変化にどのように対応しているのかについて整理しています。シノプシスによるこの年次報告書は、組織がソフトウェアによって運営される世界の利点を最大化し、苦痛を最小限に抑えるのに役立つものとなっています。
そして、その情報は最新のセキュア開発成熟度モデル(BSIMM)レポートに記載され、より安全なコードの作成からソフトウェア・サプライ チェーンの追跡などに役立つものとなっています。
セキュリティプログラムがどれほど成熟していても、改善の余地は常にあります。 デジタル・トランスフォーメーション(DX)が加速し、ビジネス環境のあらゆる分野で記述、借用、購入されるコード量の増加にサイバー犯罪も歩調を合わせ、ハッカーは、ソフトウェアの脆弱性を悪用するために絶え間なく探求を続けて損害を与え、さらには破壊しながら、その恩恵を自分たちの利益に変えています。
このような状況においてBSIMMレポートは依然として重要な意味を持ち続けており、ソフトウェアの欠陥によって損害を与える方法の進化と、防御の進化を追跡します。
BSIMMレポートの目標は、2008年に発表されたときと同じであり、何をすべきかを指示することではなく、組織間の協力を可能にし、ソフトウェアに対する信頼の構築を支援することです。それは、他の組織が独自のソフトウェア・セキュリティ・イニシアチブ(SSI)において、何を行っているかを文書化することによって実現するというものです。
そのため、BSIMMレポートには、企業が企業を運営するソフトウェアのセキュリティを向上させるのに役立つ無償の「ロードマップ」が含まれています。 クラウド、金融サービス、金融テクノロジー、保険、Internet of Things(IoT)、ヘルスケア、テクノロジーなどの分野の130以上の参加組織からの詳細情報を提供します。 参加者には11,100人のセキュリティ専門家が含まれており、約97,000のアプリケーションに取り組んでいる約27万人の開発者を共同で支援しています。
このロードマップのポイントは、各組織が独自の成熟への道を自由に選択できるようにすることです。 どのルートを選択するかを指定することなく、目的地までの多数のルートを提供します。 ただし、脅威は常に巧妙化しているため、各企業は自社のリスクプロファイルと優先順位に即したSSIを必要としています。
不可侵のソフトウェアは存在しません。そしてニュースの見出しが私たちに思い出させるように、ハッカーはソフトウェアの設計上の欠陥、バグ、その他の不具合を悪用して、知的財産や従業員や顧客の個人情報を盗み、企業の銀行口座にアクセスし、建物のセキュリティを侵害、ランサムウェア攻撃で業務を停止させられる可能性があります。
つまり、安全でないソフトウェアはビジネスリスクであり、潜在的には存続リスクとなる可能性があります。また、ビジネスを行っている場合は、ソフトウェアを自社と顧客が信頼できるように十分に安全に保つ必要があります。
BSIMMレポートは、サイバー犯罪の進化に対応したソフトウェアセキュリティのトレンドを反映しています。 BSIMM14で指摘されているトップトレンドの1つは、自動化への注目が高まっていることであり、組織は最新のツールチェーンで利用できる使いやすく強力な自動化を利用して、セキュリティテストとタッチポイントを更新しています。 これにより、単に左にシフトするのではなく、ソフトウェア開発ライフサイクル (SDLC) を通じてセキュリティをあらゆる場所にシフトできるようになります。
自動化によりセキュリティタスクが容易になると、自動化されたアクティビティに関するトレンドが現れます。 たとえば、最新のツールチェーンを使用すると、開発プロセスの初期段階で行われる静的アプリケーション・セキュリティ テスト (SAST) のスキャンと同様に、QA段階でのセキュリティテストを自動化できます。 「シフトエブリウェア」というテスト哲学を採用したセキュリティチームは、パイプラインが自動セキュリティテストの結果に基づいてスクリプト化されたアクションを実行できることに気づきました。 また、企業は自動化を利用して、SDLC全体のセンサーによって提供されるインテリジェンスをより適切に収集して使用し、開発者にとって問題になる前に脆弱性を予防的に防止しています。
過去12年間、BSIMMレポートは、独自のSSIをより広範なBSIMMコミュニティと比較するための「物差し」として世界中の組織で使われてきましたが、自社が「導入期」、「成熟期」、「最適化期」のどのフェーズにあるかを見極めることがすべての土台となります。幹部は自社のAppSecプログラムが現在どのフェーズに該当するかをまず見極める必要があります。
企業の知名度やそのAppSecプログラムの成熟度にかかわらず、BSIMMはあらゆる企業の幹部が業界のトレンドやリスク、優先事項、その他の要因に照らし合わせて自社を測定するための評価軸となります。BSIMMの用途はそれだけではありません。各組織のニーズに合わせたAppSecプログラムの作成、改善から成功までの道筋を示すロードマップとしての役割もあります。自社の目標を特定した後、そこにBSIMMのデータを重ねることにより、どのような追加対策や投資が必要なのかを判断できます。
BSIMMレポートは、AppSecの成熟度評価の基準を提供し、セキュリティ専門家同士をつなぐコミュニティの役割を果たし、対策アクションプランの策定を支援する推進モデルです。