2024年2月28日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、セキュア開発成熟度モデル「BSIMM(ビーシム)」調査の最新版から得られた教訓をまとめた「BSIMM14トレンド&インサイト・レポート (日本語版)」を公開した。BSIMM14は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジ業界の最先端企業をはじめとする130の企業/団体におけるソフトウェア・セキュリティの実践状況を分析した。本レポートによると、セキュリティ・テストの自動化の取り組みが急速に拡大しており、その結果、ソフトウェア開発ライフサイクル全体を通じてセキュリティ・テストを実施するという「シフト・エブリウェア」の理念が、より多くの組織に浸透しつつある。
自動化の導入が増加
今回の調査結果から、セキュリティのコスト削減と有効性向上を実現するために、手作業あるいは専門家主導のセキュリティ対策に代わって、セキュリティ・テスト自動化を導入する企業/団体が増加しているという明確な傾向が読み取れる。自動化の効果に関する注目すべき結果は以下の通りである。
企業/団体は、品質保証 (QA) 段階でセキュリティ・テストを自動化できる最新のツールチェーン技術を採用しており、関連するセキュリティ対策の実行が10%増加した。
ソフトウェア・セキュリティ予算が減少している経済状況において、コストのかかる専門家主導のセキュリティ対策の削減が進んでいる。企業/団体は意思決定とガバナンスを自動化することで、リアルタイムのリスク管理を可能にしている。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「すべての組織がさまざまなセキュリティ対策の自動化に全力を注いでおり、それが実務の改善に直結しています。統合されたセキュリティ・ツールによって人為ミスを排除することで、企業/団体はより効果的かつ低コストにセキュリティ対策を実施できることを実感しています。サイバー攻撃は増加の一途をたどり、あらゆる角度から攻撃があるため、ソフトウェアを標的とする無数の脅威を防御するためには自動化が不可欠であることは明らかです。組織は自動化により、この不透明な経済状況において、より少ない労力でより多くのことを実現できるようになります」
セキュリティ文化の成熟
今回、企業/団体が組織のセキュリティ文化向上において前進を遂げていることも明らかになった。主な結果は以下の通りである。
開発者、QAアナリスト、アーキテクトなど、開発チーム内のセキュリティを向上させる役割を担う人材で構成されるセキュリティ・チャンピオン・プログラムを導入している組織は、導入していない組織に比べてBSIMMスコアが平均25%高い。
セキュアなソフトウエア・サプライチェーンの実践が拡大
企業/団体は、組織のセキュリティ・プロセスが、業界のベスト・プラクティスに忠実に従って目覚ましい進歩を遂げたと報告している。
より多くの組織がソフトウェア部品表 (SBOM) を活用するようになっており、SBOM作成に取り組んでいる企業/団体は前回から22%増加している。
オープンソース・ソフトウェア (OSS) のコンポーネントに潜むリスクの特定と管理を実践する企業/団体は、前回から10%増加した。
NECプラットフォームズ株式会社 セキュリティ事業推進室長 澤田利幸氏は次のように述べている。「当社では、市販品から重要インフラに係る機器まで多種多様なIT/IoT製品を開発/生産していることから、脆弱性診断やファジングテストなど、製品のセキュリティ対策を強化しています。BSIMMコミュニティに参加することで、当社のソフトウェア開発におけるセキュリティ・プログラムを同業他社と比較して客観的に理解することができます。セキュリティ環境が急速かつ複雑に変化するなか、BSIMMから得られる洞察は、当社のリスクと優先事項を把握し、次にどのようなセキュリティ・プログラムに注力すべきかを明確にするのに役立っています」
BSIMM14の調査結果およびBSIMMプログラムの詳細は、データの詳細な分析から業界固有の傾向を探る「BSIMM14トレンド&インサイト・レポート」またはブログ記事をご覧ください。
謝辞
下記の企業/団体をはじめとするBSIMM参加各位に深く感謝申し上げます。
AARP, Aetna, Bank of America, Bell Network, CIBC, Citi, Diebold Nixdorf, Egis Technology, Eli Lilly and Company, EQ Bank, Fidelity, Finastra, Genetec, HCA Healthcare, Honeywell, Imperva, Inspur Software, Intralinks, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, MediaTek, Medtronic, Navient, Navy Federal Credit Union, NEC, NetApp, Oppo, Pegasystems, Principal Financial, Realtek, Reckitt, ServiceNow, Signify, SonicWall, Synchrony Financial, TD Ameritrade, Teradata, Trainline, U.S. Bank, Vanguard, Veritas, Verizon Media, Vivo, and ZoomInfo.
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.html より入手可能。
シノプシスについて
シノプシス(Nasdaq: SNPS)は、電子設計自動化からシリコンIP、システム検証ならびに妥当性確認に至る、信頼性の高い包括的なシリコン to システム設計ソリューションの提供により、広がりゆく知の時代を切り開いている。幅広い業界の半導体およびシステム開発企業との緊密な協業を通じて、その研究開発能力と生産性を最大限にまで高め、明日の創造力に火をつける今日のイノベーションに貢献している。
詳細情報は、https://www.synopsys.com/ja-jp より入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・増田
Email:synopsys@inoue-pr.com