BSIMMについて

ソフトウェア・セキュリティに科学を導入

Building Security In Maturity Model(BSIMM、読みは「ビーシム」)は、既存のソフトウェア・セキュリティ対策の調査を行います。さまざまな組織の実例を定量化することによって、多くの組織に共通の基盤と、組織ごとのユニークな対策について説明することができます。

BSIMMは、ハウツーガイドでも、万能の処方箋でもありません。そうではなく、ソフトウェア・セキュリティの現状をそのまま反映したものです。

BSIMMの歴史

BSIMMは今やバージョン9になりました。しかし、BSIMMを開始したそもそもの動機は何だったのでしょうか。

すべては2006年頃、さまざまなソフトウェア・セキュリティの手法が雨後の筍のように出現し始めていた時期に始まりました。シノプシス・ソフトウェア・インテグリティ・グループの(当時はCigitalの)ゲイリー・マクグローとサミー・ミゲスは、これらの手法に共通していた重要な点に気づきました。それはこれらが事実ではなく、意見に基づいていたという点です。

解決策についてしばらく議論した後、ゲイリーとサミーは、(当時はFortifyの)ブライアン・チェスと共に、「実施すべき」ソフトウェア・セキュリティではなく、現実にに実施されているソフトウェア・セキュリティがどのようなものであるかを述べる記述的なモデルの開発を始めました。

まず第一に、ゲイリー、サミー、ブライアンの3人は、彼らの科学的調査の対象とするソフトウェア・セキュリティにおける先進的な9つの企業を選択することから始めました。多くの時間と飛行機代を費やして、3人はデータを集め、直接会ってインタビューを行い、データを記述するモデルを開発していきました。こうして最初のBSIMMが誕生し、2009年に発表されました。

BSIMMはもともとデータ・ドリブンで記述的なアプローチを採用し、柔軟な設計がなされていたため、データの変化に合わせてこれまで継続的な調整が加えられてきました。全体的に、モデルは7回のバージョン改定を経た現在まで一貫性を保っています。モデルの目的もまた変わっていません: ソフトウェア・セキュリティ対策において、主観だけを頼りに何が「起こるべきか」指図するのではなく、何が起こっているのかを記述するということです。

BSIMMの特徴

目的

実際のソフトウェア・セキュリティ対策で実施されているアクティビティを定量化し、様々なソフトウェア・セキュリティのコミュニティが自身の対策を計画、実行、評価するための支援を行います。

理念

それぞれの組織が共通のセキュリティ目標を達成する必要はありません。しかし、共通の判断基準を使用することにより、各組織が恩恵を受けることができます。

手法

記述的なモデルを作成するために、監察結果を報告することに焦点を当てた「事実重視の」アプローチをとります。

利点

BSIMMは現場からの実際の測定データを提示することで、ソフトウェア・セキュリティ対策のための長期的プランの構築と、その進捗状況の追跡を可能にします。

モデル

モデルは116のアクティビティで構成され、それぞれが ガバナンスインテリジェンスSSDLタッチポイント導入の4つの領域にグループ化されています。

参加企業

120の企業がBSIMMの調査に参加しています。これらの企業は、金融サービス、独立ソフトウェア・ベンダー、テクノロジー、医療、家電製品など、様々な業界に属しています。BSIMMで測定した企業は167社を超え、さらに毎月増え続けています。

BSIMMの歴史

利用者

BSIMMは、ソフトウェア・セキュリティ対策の作成と実行を担当するすべての方にご利用いただけます。

コミュニティ

BSIMMの グループの会員になって、同じ問題に直面する他の会員と解決策や戦略について話し合いましょう。

サポーター

BSIMM用のデータはシノプシスによって収集されます。データ分析用のリソースはOracleを通して提供されます。

BSIMMの主な活動

運用監視中に検出されたソフトウェアの不具合の特定と、開発チームへのフィードバック
外部ペネトレーション・テスターを使用した問題の特定
ホストおよびネットワーク・セキュリティの基本事項が実施されていることの確認
セキュリティ機能のレビューの実施
QAがエッジ/境界値条件試験に沿ったものであることの確認
ゲートの場所の特定と必要なアーティファクトの収集
セキュリティ機能の構築と公開
PII義務の特定
意識向上トレーニングの提供
セキュリティ・ポータルの作成
SSGにアドホックレビューを実行させる
データ分類スキームと在庫を作成します