BSIMMについて

ソフトウェアのリスク低減を目指すアプリケーション・セキュリティ・リーダーを支援

Building Security In Maturity Model(BSIMM)は、既存のソフトウェア・セキュリティ対策やプログラムの調査を行います。BSIMMは業種、規模、地域の違いを越えてさまざまな組織のアプリケーション・セキュリティ(AppSec)・プラクティスを定量化し、各組織の特殊性を明確にする差異を判別します。

BSIMMの構成:

  • 組織の現在のAppSecプログラムを客観的なデータ駆動型の方法で評価
  • コラボレーション、ベストプラクティス、専用コンテンツを利用できるセキュリティ・ピア・コミュニティの会員資格
  • セキュリティ・リーダーの基調講演、ネットワーキングの機会、技術や手法に関する意見交換のためのフォーラムが盛り込まれたグローバル・カンファレンス
  • ソフトウェア・セキュリティに関する実際のプログラム/プラクティス/アクティビティのデータ駆動型解析の結果を報告する年次報告書(現在はBSIMM12)

BSIMMの歴史

2008年、企業は自社のソフトウェア・セキュリティ実現のために、様々な進路をたどっていました。リサーチ、データ、コンサルタントのエキスパートで構成される現在のシノプシス・ソフトウェア・インテグリティ・グループは、ソフトウェア・セキュリティで高い成果を上げている組織のしくみを解明することを目標に、これらの様々な進路についてデータを収集し、組織内のセキュリティ・エキスパートとの対面による面接を実施し、その成果を公表する計画に着手しました。

その後、9社から始まったBSIMMの参加企業は2021年には128社に成長し、約3,000人のソフトウェア・セキュリティ・グループ・メンバーと6,000人以上のサテライト(セキュリティ・チャンピオン)・メンバーを擁するまでになりました。

年次レポートとして現在12回目の版を重ねている年次BSIMMは、実データの観察と分析に基づいて変化し、進化する生きたドキュメントです。開発手法の進化につれて新たな脅威が出現し、セキュリティ手法がこれに適応して、BSIMMデータは一歩ずつ進化していきます。

BSIMMとは

目的

BSIMMは、実際のソフトウェア・セキュリティ対策で実施されているアクティビティを定量化し、さまざまなソフトウェア・セキュリティのコミュニティが自身の対策を計画、実行、評価するための支援を行うことを目的としています。

理念

セキュリティ目標は組織によって異なるとしても、共通の判断基準を使用することにより、すべての組織が恩恵を受けることができます。

手法

BSIMMは、観察結果の文書化、観察データの効率化、ソフトウェア・セキュリティ対策を記述・伝達するための共通言語の作成に焦点を当てた「事実」に基づくアプローチを採用しています。

利点

BSIMMは現場からの測定データを提示することで、ソフトウェア・セキュリティ対策のための長期的プランの構築と、その進捗状況の追跡を可能にします。

モデル

BSIMMモデルは、ガバナンス、インテリジェンス、SSDLC(Secure Software Development Life Cycle)タッチポイント、デプロイメントの4つの領域に分かれ、12のプラクティスに121のアクティビティが分類されています。

参加企業

BSIMMの参加企業は、金融サービス、独立系ソフトウェア・ベンダー(ISV)、テクノロジー医療、家庭用電化製品など、さまざまな業界に属しています。2008年以来、測定した企業は200社を超え、毎月その数はさらに増え続けています。

顧客層

BSIMMは、最高情報セキュリティ責任者、開発担当上級幹部、DevOpsマネージャー、開発者、AppSecリーダー、実務担当者など、ソフトウェア・セキュリティ対策の作成と実行を担当するすべての方にご利用いただけます。

コミュニティ

最近の厳しいビジネス環境下にあって、BSIMMには、ソフトウェア・セキュリティに焦点を当てたブログやWebセミナーなどの専用コンテンツを通じて仲間と交流したり、ベストプラクティスや洞察を得ることができるプライベート・コミュニティがあります。

BSIMMカンファレンス

BSIMMのグローバル・カンファレンスには、セキュリティ・リーダーの基調講演、業界の仲間とつながるネットワーキングの機会、技術や手法に関する意見交換のためのフォーラムが盛り込まれています。