シノプシス・マチュリティ・アクション・プラン(MAP)は、セキュリティ/開発チームに対して実践的なロードマップを示すことでアプリケーション・セキュリティに関する具体的な課題や目的への対処を支援します。MAPは、アプリケーションのクラウドへの移行、ソフトウェア開発ライフサイクル(SDLC)またはDevOpsの取り組みへのセキュリティの組み込み、オープンソース・リスクの管理などの課題に対処する手順の概要を示します。
複数の要因に基づくインテリジェントなロードマップ
MAPでは、まず、セキュリティ・プログラムの人、プロセス、テクノロジの面に関する7つの主要な要素を分析します。
これにより、プログラムの現状を明らかにし、将来の状態を定義し、セキュリティ目標を達成するために必要なコストとリソースの見積りを考慮した計画概要を作成することができます。
摩擦
監査部門とビジネス・イノベーション部門、開発部門と運用部門など、さまざまなチームの主要な利害関係者間の摩擦要因を明らかにします。
自動化
自動化プロセスを規定することで、人手の介在を減らし、ボトルネックを排除して、より重要な課題に集中できます。
カバレッジ
組織の潜在能力と現状の能力を測定し、独自のリスク・プロファイルに関連する能力を強化します。
タイミング
関連する能力のROIについてアクティビティの速度を最適化するための総合的な計画を作成します。
機会コスト
即座の成果と将来に向けてのスケーラビリティとのバランスなど、意思決定に伴う機会コストを明らかにします。
対策
さまざまな分析およびテスト方法による根本原因の特定にかかる平均時間を調べて、最適なテスト・プロセスを決定します。
セキュリティ
各セキュリティ能力の影響とプログラムの目標達成に伴うリスクを把握することで、機密性、完全性、可用性を向上させます。
フェーズ1
まず、セキュリティ・プログラムの詳細な評価によって現状を把握します。
フェーズ2
今後の目標を定義し、現状と目指すべき姿とのギャップを特定します。
フェーズ3
目標とする状態を実現するために組織独自の特性から導き出したアクションプランを作成します。
目標に沿ったMAPを選ぶ
主要なセキュリティ・ギャップへの対処とセキュリティ・ワークフローの自動化
アプリケーションの健全性を把握するには、まず、セキュリティに関わるツール、プロジェクト、人に注目します。セキュリティ体制の全体像を把握することで、セキュリティ・ギャップへの対処を熟慮した計画を立てることができます。
ソフトウェア・セキュリティ・プログラムのMAPは以下の目的の実現を支援します。
- セキュリティ投資の現状把握(人、ツール、プロジェクト)
- 将来の資金調達の優先順位付け、リソースの合理化、アプリケーション全体のリスク軽減
- 自動化を強化し、脆弱性の修正を高速化するために最適なプロセスやツールの発見
クラウド・アプリケーションの保護
アプリケーションをクラウドに移行してもセキュリティを維持できるようにする方法
クラウド・セキュリティMAPは、クラウドネイティブ・アプリケーション(クラウド環境での利用を前提に構築されたアプリケーション)を管理するための明確なセキュリティ戦略を提示します。各クラウド・セキュリティMAPは、業界で認知されているフレームワーク(CIS、NISTなど)と実績あるシノプシス・クラウド・セキュリティ・マチュリティ・モデルを使用して開発されています。
クラウド・セキュリティMAPは以下の目的の実現を支援します。
- 健全なクラウド・セキュリティ・リファレンス・アーキテクチャの構築
- ツールとガバナンスの合理化
- セキュアな開発ガイダンスの提供
セキュリティをDevOpsに組み込む
開発生産性とパイプラインの速度向上のためにセキュリティを犠牲にする必要はありません。Black Duck DevSecOps MAPを実装すると、開発の速度を妨げることなく、パイプラインにセキュリティを系統的に統合できます。
DevSecOps MAPでは、段階的なアプローチで以下の目的の実現を支援します。
- CI/CDパイプラインへの自動化ツールの統合
- 開発チームに最適なコーディング方法を伝授するための計画の作成
- 開発上の摩擦を回避して脆弱性の特定・修正を迅速化
オープンソースの脆弱性とライセンス・リスクからの保護
開発チームは信頼できるオープンソースを使用していますか? オープンソース・ソフトウェア(OSS)MAPは、ライセンスのコンプライアンスを維持し、アプリケーションのリスクを回避して、オープンソース・ソフトウェアを安全に使用・配布するための戦術的なロードマップを提供します。
OSS MAPフレームワークは、オープンソース・ライセンス・コンプライアンスのための国際規格であるOpenChain仕様に準拠しています。
OSS MAPでは、以下の目的の実現を支援します。
- ライセンス義務を理解する
- ソフトウェア・コンポジション解析を利用して、SDLCの早期段階で脆弱性や欠陥を発見・修正する
- OSSの法律上、セキュリティ上、運用上の影響を管理するための適切なガバナンスとポリシーを整備する
独自のセキュリティ目標に対する計画を立てる
ソフトウェア・セキュリティに関するその他のニーズがある場合は、カスタマイズされたMAPを用いてコスト効果の高い効率的な方法でニーズを実現できます。
セキュリティ・チャンピオン
ソフトウェア開発チーム内でセキュリティ・チャンピオンの研修・育成を行い、セキュリティ・プログラムの導入、成熟、改善を実現する方法を検討します。
アプリケーション・セキュリティ指標
セキュリティ指標に基づくアプローチで、効果があった項目、効果がなかった項目、変更が必要な項目を特定します。
CI/CD
既存のCI/CDパイプラインのすべての工程にセキュリティを統合する方法をお教えします。
セキュア設計
設計フェーズの早い段階(コードを作成する前)でセキュアな設計プラクティスを実装する方法と実装箇所を特定します。
アプリケーション・インベントリ
アプリケーション・ポートフォリオ全体の深度と範囲を把握することで、総合的な観点からセキュリティを管理できます。