BSIMMについて

ソフトウェア・セキュリティに科学を導入

Building Security In Maturity Model(BSIMM、読みは「ビーシム」)は、既存のソフトウェア・セキュリティ対策の調査を行います。さまざまな組織の実例を定量化することによって、多くの組織に共通の基盤と、組織ごとのユニークな対策について説明することができます。

BSIMMは、ハウツーガイドでも、万能の処方箋でもありません。そうではなく、ソフトウェア・セキュリティの現状をそのまま反映したものです。

BSIMMの歴史

2006年には、組織のソフトウェア・セキュリティの目標は明らかにさまざまな異なる進路をたどっていました。シノプシスのソフトウェア・インテグリティ・グループ(当時のCigital)のエキスパートは、この現象に関するデータを収集し、高度なソフトウェア・セキュリティ対策(SSI)を設けている企業がソフトウェアのセキュリティ保護の課題にどのように取り組んでいるかの分析に着手しました。

調査チームは、ソフトウェア・セキュリティにおける先進的な企業9社に連絡を取りました。各組織のソフトウェア・セキュリティ・グループ(SSG)と実際の作業を行う関係者の日常的なプロセスを掘り下げる対面調査を行い、ベースライン・データを収集しました。

その結果、このデータから得られた結果を表し、ソフトウェア・セキュリティのアクティビティの基準を組織に提示する分かりやすいモデルができあがりました。セキュリティ環境が複雑さと重要性を増すにつれて、モデルはさらに進化を続けました。新しいデータは、新しく参加した組織とプログラムの成熟が進んでいる参加組織の両方から収集し、分析されています。

現在のデータ・プールに含まれる組織は100を超えるまでに成長し、BSIMMは観察と分析に応じて変化する真の生きたドキュメントとなっています。開発手法の進化につれて新たな脅威が出現し、セキュリティ手法がこれに適応して、BSIMMは一歩ずつ進化していきます。

公開されたBSIMMレポートの価値は即座に表れ、参加組織はそれぞれの経験を共有したいと考えていました。このことから、BSIMMコミュニティが誕生し、オープンに意見を交換し、互いに学び合える場を提供する目的で、毎年恒例のBSIMMカンファレンスが考案されました。

BSIMMのバージョンも10を数え、ソフトウェア・セキュリティに関わるすべての人にとって重要なリソースであり続けています。

BSIMMの特徴

目的

実際のソフトウェア・セキュリティ対策で実施されているアクティビティを定量化し、様々なソフトウェア・セキュリティのコミュニティが自身の対策を計画、実行、評価するための支援を行います。

理念

すべての組織が共通のセキュリティ目標を達成する必要はありません。しかし、共通の判断基準を使用することにより、すべての組織が恩恵を受けることができます。

手法

記述的なモデルを作成するために、観察結果を報告することだけに焦点を当てた「事実重視の」アプローチをとります。

利点

BSIMMは現場からの実際の測定データを提示することで、ソフトウェア・セキュリティ対策のための長期的プランの構築と、その進捗状況の追跡を可能にします。

モデル

モデルは119のアクティビティで構成され、それぞれが ガバナンスインテリジェンスSSDLタッチポイント導入の4つの領域にグループ化されています。

参加企業

122の企業がBSIMMの調査に参加しています。これらの企業は、金融サービス、独立ソフトウェア・ベンダー、テクノロジー、医療、家庭用電化製品など、様々な業界に属しています。BSIMMで測定した企業は185社を超え、さらに毎月増え続けています。

BSIMMの歴史

顧客層

BSIMMは、ソフトウェア・セキュリティ対策の作成と実行を担当するすべての方にご利用いただけます。

コミュニティ

プライベート・グループの会員になって、同じ問題に直面する他の会員とソリューションや戦略について話し合いましょう。

サポーター

BSIMM用のデータはシノプシスによって収集されます。データ分析用のリソースはOracleによって提供されます。

BSIMMのトップ・アクティビティ

ホストおよびネットワーク・セキュリティの基本事項が実施されていることを確認する。
外部ペネトレーション・テスターを使用して問題を特定する。
ゲート箇所を特定し、必要な事実関係を収集する。
PII義務を特定する。
セキュリティ機能のレビューを実施する。
インシデント対応の作成または調整を行う。
運用監視中に検出されたソフトウェア・セキュリティの不具合を特定し、開発担当者にフィードバックとして返す。
QAがエッジ/境界値条件試験に沿ったものであることを確認する。
セキュリティ機能を構築および公開する。
不具合管理および低減システムに結果をフィードバックする。
緊急時のコードベースの対応方法が準備されている。
運用環境で検出されたバグを、修正プロセスで追跡する。