サードパーティーのソフトウェアへの依存度が高い場合でも、ソフトウェアがセキュリティ要件を満たし、コンプライアンス要件を遵守し、顧客データを保護していることを確認する責任があります。
BSIMMsc
ソフトウェア・サプライチェーンにBSIMMを適用
ソフトウェア・サプライチェーンのリスク管理のための基本的なセキュリティ統制が必要
ベンダー向けの縮約版BSIMMであるvBSIMMを以前に発表しましたが、このたびは最新版の BSIMMscを発表しました。BSIMMscは、ソフトウェア・サプライチェーンのリスク管理戦略の一環として活用できる一連のアクティビティを示します。BSIMMscにより、サプライヤーのソフトウェア開発プロセス内のソフトウェア・セキュリティ機能を測定できます。
ソフトウェア・サプライチェーンマネジメントの主なステップ | BSIMM
1. BSIMMで自社を評価する
BSIMM9には、サードパーティー・ベンダーに関連するソフトウェア・セキュリティ・リスクを制御するための具体的な5つのアクティビティ(全116中)が含まれます。これらは、サードパーティー・ソフトウェアを購入するすべての企業によって実行されるべきアクティビティであるため、重要です。
- コンプライアンスおよびポリシー2.4:すべてのベンダー契約にソフトウェア・セキュリティSLAを含める。
- コンプライアンスおよびポリシー3.2:ベンダーにポリシーを強制する。
- トレーニング3.2:ベンダーや協力会社の従業員にトレーニングを提供している。
- 標準および要件2.5:SLA文例集の作成。
- 標準および要件3.2:ベンダーに標準を通知する。
サードパーティー・ソフトウェア(カスタム、商用オフザシェルフ、オープンソース、またはその中間製品)を購入するすべての企業は、各サプライヤーに関連するこれらの5つのアクティビティをどれぐらい効果的に実行しているかを測定する必要があります。
2. ソフトウェア・サプライチェーンにBSIMMscを利用する
BSIMMscは以下のBSIMMアクティビティで構成されます。
BSIMMプラクティス |
特定と対応 |
統合とガバナンス |
深度と自動化 |
戦略と指標 |
SM1.4 |
SM2.2 |
|
コンプライアンスとポリシー |
CP1.3 |
|
|
トレーニング |
T1.5 |
|
|
標準と要件 |
SR2.4 |
|
|
アーキテクチャ分析 |
AA1.4 |
AA1.1 |
AA1.2 |
コード・レビュー |
CR2.7 |
CR1.2 |
CR1.4 |
セキュリティ・テスト |
ST1.1 |
ST1.3 |
ST2.1、ST2.6 |
ペネトレーション・テスト |
PT1.1 |
PT1.2 |
PT1.3 |
ソフトウェア環境 |
SE3.6 |
|
|
構成 管理 と脆弱性 管理 |
CMVM1.1 |
CMVM1.2 |
CMVM2.2 |
モデルを用いてソフトウェア・サプライヤーのソフトウェア・セキュリティの成熟度を評価します。
3. ソフトウェア・テストを行う
ソフトウェア自体のリスクのランク付けとベンダー評価の結果に基づいて、ソフトウェアをテストできます。必要に応じて、静的解析(SAST)、ペネトレーション・テスト、アーキテクチャ・リスク解析、動的アプリケーション・セキュリティ・テスト(DAST)、ファジングなどのアプローチを利用できます。
BSIMMsc
