BSIMMコミュニティは、主にソフトウェアを購入・利用している企業、主にソフトウェアを製造・販売している企業、その両方を行っている企業など、さまざまな異なる種類の企業で構成されています。ソフトウェア・ベンダーへのソフトウェア・セキュリティの普及に関心のあるこれらのBSIMM企業は、vBSIMMにもとづいてベンダーを測定し、 SSDL成熟度と管理リスクを評価できます。
ベンダー向けBSIMM
vBSIMM
vBSIMM(ベンダ―向けBSIMM)
現代ではあらゆる企業が、自社開発ではない、いわゆるサードパーティー・ソフトウェアを使用しています。サードパーティー・ソフトウェアの中には、仕様に従ってカスタマイズされているもの、市販の既製品(COTS)、サービスとしてのソフトウェア(SaaS)としてクラウドに存在するものなどがあります。多くの大企業、特に金融サービス分野では、ソフトウェア・セキュリティを強化しており、サードパーティー・ソフトウェアのリスクを特定し管理する方法を模索しています。
BSIMMのベンダー統制: ベンダーの測定
BSIMMには、サードパーティー・ベンダーに関連するソフトウェア・セキュリティ・リスクを制御するための具体的な5つのアクティビティ(116中)が含まれます。これらは、サードパーティー・ソフトウェアを購入するすべての企業によって実行されるべきアクティビティであるため、重要です。
- コンプライアンスおよびポリシー・アクティビティ2.4:すべてのベンダー契約にソフトウェア・セキュリティSLAを含める。
- コンプライアンスおよびポリシー・アクティビティ3.2:ベンダーにポリシーを強制する。
- 標準および要件アクティビティ2.5:SLA文例集の作成。
- 標準および要件アクティビティ3.2:ベンダーに標準を通知する。
- トレーニング・アクティビティ3.2:ベンダーや協力会社からの従業員にトレーニングを提供する。
サードパーティー・ソフトウェア(カスタム、COTS、またはその中間製品)を購入するすべての企業は、各サプライヤーに対しこれらの5つのアクティビティをどれぐらい効果的に実行しているかを測定する必要があります。
ベンダー統制のための軽量のBSIMM微分係数を使用
私たちは全面的に改訂したベンダー向けのコンパクトなBSIMMである vBSIMMを InformIT の記事、vBSIMM Take Two (BSIMM for Vendors Revised)で紹介しました。vBSIMM は、 サードパーティー・ソフトウェア・プロバイダーのベンダー管理のための基盤となるセキュリティ統制とみなすことができます。
vBSIMM スキーマは、 特定のベンダーがすべてのユーザーに実際に十分なセキュリティを提供するかどうかを保証するものではありませんが、vBSIMM スキーマがあることは、 ベンダー統制がまったくないよりははるかによいことです。私たちの意見は、事後、ほんの一部のバグに焦点を絞ったペネトレーション・テストを使用した評価よりはるかに高い水準を基準にしています。
ベンダー向けBSIMMデータシート
