ここには、BSIMMに関してよくあるご質問が記載されています。完全版をお読みになるには、BSIMMドキュメントをダウンロードしてください。
よくあるご質問
BSIMMとは
BSIMM(「ビー・シム」と発音します)は、Building Security In Maturity Modelの略です。BSIMMは、ソフトウェア・セキュリティ・イニシアチブの進捗状況を確認し、長期的な実行計画を立てるために構成された、実践的なソフトウェア・セキュリティ・イニシアチブの調査です。
ソフトウェア・セキュリティが必要な理由
ソフトウェア・セキュリティとは、攻撃されている間もセキュリティ上安全なソフトウェアを構築することです。長年にわたるネットワーク・セキュリティの事例からわかったことは、セキュリティを当初から組み込んでソフトウェアを開発することが、ソフトウェアの保護につながるということです。また、セキュリティはモノではなく資産であるため、SSLやパスワードなどのセキュリティ機能をソフトウェアに追加するだけではソフトウェア・セキュリティは達成できません。
対象
業務でソフトウェアを使用する組織(現代社会ではほぼすべての組織)には、大量のIDデータの漏洩や、多額の賠償責任、悪意のあるユーザーによる機密情報の入手を許さないソフトウェアが必要です。ソフトウェアの信頼性を高める唯一の方法は、セキュリティ機能を組み込んで開発することです。つまり、ソフトウェアを使用するすべての組織にBSIMMが必要なのです。
BSIMMの特長
弊社は、すべて、実際のソフトウェア・セキュリティ・イニシアチブを調査し観察した結果からBSIMMを開発しました。BSIMMによって、何をするべきかはわかりませんが、他社が何をしているかがわかります。このアプローチは、ソフトウェア・セキュリティに対する「倫理に基づいた」アプローチと大きく異なります。
調査対象
最新の評価では、平均で120社の参加企業が4.13年間にわたってソフトウェア・セキュリティを実施しました(2018年6月の時点で、1年未満~19年間)。120社すべてが、ソフトウェア・セキュリティ専任の内部グループを任命してSSGイニチアチブを成功させることに合意しました。SSGの規模は平均で13.3名(最小1名、最大160名、中央値5.5名)で、他のサテライトグループ(開発者、アーキテクト、およびソフトウェア・セキュリティに直接従事し促進に努めている組織の従業員)は平均で52.4名(最小0名、最大2,250名、中央値0名)で構成されます。対象の開発者の平均人数は3,463名(最小20名、最大45,000,名、中央値900名)で、SSGの開発部門の平均割合は1.33%(中央値0.67%)です。
全体では、BSIMMには、1,600社のSSG参加社と、415,598名の開発者が開発したソフトウェアをセキュリティ保護する6,291名のサテライト参加者で構成されます。
これらの会社の中で実際に担当している業務は?
今回調査されたソフトウェア・セキュリティ・イニシアチブを管轄する幹部の役職は、データおよびセキュリティ個人情報最高責任者、CISO、CSO、企業セキュリティ・アーキテクチャ担当部長、グローバル・セキュリティおよびコンプライアンス担当部長、製品セキュリティ担当部長、製造オペレーション担当執行役員、アプリケーション・セキュリティ・アーキテクチャおよびエンジニアリング責任者、アプリケーション・セキュリティ・プログラム責任者、情報セキュリティ・マネージャー、製品セキュリティ・マネージャー、アプリケーション・セキュリティおよびテクノロジ分析担当マネージング・バイス・プレジデント、サイバーセキュリティ担当バイス・プレジデント、情報セキュリティ担当バイス・プレジデント、Webセキュリティ・マネージャーなど、多岐にわたります。調査対象企業の中でどこにSSGが配置されているかについて広範囲にわたって精査しました。特に、参加企業120社中63社のSSGがCISOによって、またはCISOを直近の上級経営幹部とする人間によって運営されています。13社がCTOを直近の上級経営幹部とし、10社がCIO、7社がCSO、4社がCOO、2社がCRO、1社がCAOの下にSSGを配属しています。20社のSSGは技術または製造部門の組織に所属しています。
BSIMMとは
BSIMMは、ソフトウェア・セキュリティ・フレームワークに従った、12の業務の116のアクティビティで構成されています。調査では、各アクティビティが何回観察されたかを追跡しました。以下は結果データです(各アクティビティを解釈するには116アクティビティが詳細に説明されている、BSIMMドキュメントをダウンロードしてください)。
アクティビティの説明では、アクティビティの目的、詳細と、組織での実施方法を示すための実例が示されています。例は特定のアクティビティを実行する唯一の方法ではなく、ソフトウェア・セキュリティの現実を示す意図で挙げられています。
116のセキュリティ・アクティビティを実行する必要があるのですか? これはかなりの作業です。現時点では、あまり協力が得られるとは思えません。
ご安心ください。すべてのアクティビティを実行している組織はありません。金融サービス組織、独立系ソフトウェア・ベンダー(ISV)およびIoT企業の多数の共通部門を調査しましたが、その中のイニシアチブは同一とは程遠く、まったく同じ方法で行っている企業はありませんでした。たとえば、他人の家計計画をそのまま使用することはないでしょう。ソフトウェア・セキュリティ・イニシアチブも同様です。BSIMMは、そのままに従うレシピではなく、アイディアを示す一般的なガイダンスとして参照されるべきです。
強調表示されているアクティビティがあるのはなぜですか?
12の強調表示されたアクティビティは、最も一般的に実践されていたアクティビティです。
最も多くの組織で実施されていた12の基本アクティビティ
| アクティビティ | 説明 |
| [SM1.4] | ゲートの場所の特定と必要なアーチファクトの収集。 |
| [CP1.2] | すべてのPII義務の特定。 |
| [T1.1] | 意識向上トレーニングの提供。 |
| [AM1.2] | データ分類スキーマとインベントリの作成。 |
| [SFD1.1] | セキュリティ機能の構築と公開。 |
| [SR1.2] | セキュリティ・ポータルの作成。 |
| [AA1.1] | セキュリティ機能のレビューの実施。 |
| [CR1.2] | SSGによる抜き打ちレビューの実施。 |
| [ST1.1] | QAがエッジ/境界値条件試験に沿ったものであることを確認する。 |
| [PT1.1] | 外部侵入テスターを使用して問題を特定する。 |
| [SE1.2] | ホストおよびネットワーク・セキュリティの基本事項が実施されていることを確認する。 |
| [CMVM1.2] | 運用監視中に検出されたソフトウェア・バグを特定し、開発担当者にフィードバックとして返す。 |
視覚的な資料があるとわかりやすいです。図を使って説明してください。
12の実践法について複数の企業の平均成熟レベルを示した3つのレーダー・チャートは、BSIMMが提供する分析能力の例を示しています。最初のグラフは、BSIMM企業からのデータを示しています(これを「参加企業全体」と呼びます)。2つめのグラフは、参加企業と比較して描画された架空のサンプル企業のデータです。
BSIMMの3つの業界は、規制が厳しい保険、医療、金融サービスの3つに属しています。経験上、金融サービス業界の大企業は、保険および医療業界の企業と比べて法令の変更への対応とSSIの開始がはるかに早いことがわかっています。金融サービス業界の企業数は過去5年間で2倍になり、新しく始められたイニシアチブがBSIMMに大量に流入しているにもかかわらず、評価時点での金融サービス業界のSSGの平均年数は、5.4年のままでしたが、保険業界は3.1年、医療業界は2.5年でした。SSIの成熟にかかる時間は、並べて比較するとはっきり分かります。保険業界には、成熟度の高い企業も含まれていますが、規制の多いこれら3業種のデータを見ると、全体としては保険業界がソフトウェア・セキュリティにおいて遅れをとっていることが分かります。ほとんど例外のない医療業界と比べると、その違いは顕著です。医療業界の成熟度は全体に低めです。
調査対象組織はすべてソフトウェア・セキュリティの知識を持っていますか?
そのようなことはありません。調査対象の各企業のスコアを計算する際に、ある企業の他の企業と比較した相対成熟度と平均成熟度も調査しました。現在のプールでの範囲は[5, 79]です。
幸い、BSIMM調査は普及が進んでいます。今回報告されたデータの量は、初回の発表値に比較して35倍以上に拡大しました。30企業のサンプル・サイズを超えた時点で、統計分析が適用され、統計的に有効な結果が抽出できています。
BSIMMは規格ですか?
BSIMMは、Control Objectives for Information and Related Technology(COBIT)や、卓球の公式ルールのような規格ではありません。BSIMMは、規格ではなく、世界で最も成功しているソフトウェア・セキュリティ・イニシアチブによって実践されているアクティビティを示します。この意味で、BSIMMは、組織が実際に実践している事実上の標準といえます。頭の中で考えられた理念ではなく、現場で実際に行われている実践方法といえます。
BSIMMの使用方法は?
あなたの組織でソフトウェア・セキュリティ・イニシアチブがまだ実践されていないとすれば、実践する必要があります。BSIMMはその足がかりになります。BSIMMを使用すれば、ソフトウェア・セキュリティ・グループに何名の従業員が必要か、まず着手すべきことは何か、そして今後数年で行うべきことを特定できます。ソフトウェア・セキュリティ・イニシアチブがすでに開始されている場合は、BSIMMを使用して、その進捗状況を把握し、今後の計画を策定することができます。
「私たち」とは誰のことですか?
私たちとは、ソフトウェア・セキュリティの専門家である、Gary McGraw、Sammy Migues、Jacob Westのことです。BSIMMの最初の3バージョンの制作者はBrian Chessです。
ソフトウェア・セキュリティ・グループ(SSG)とは何ですか? これは必須ですか?
すべてのBSIMM参加企業には、SSGと呼ばれる、ソフトウェア・セキュリティ専任の社内グループが存在します。SSGなしにBSIMMアクティビティを成功裏に実践している組織は見たことがありません。調査対象120組織全体で見ると、開発部門の平均1.33%がSSGメンバーです。これを各参加企業に平均すると、開発者75名当たり1名のSSGメンバーがいることになります。SSGの最大割合は10%で、最小率は0.01%でした。実際の数値では、120企業のSSGの平均規模は13.3名(最小1名、最大160名、中央値5.5名)です。
BSIMMがそれほど重要なら、今までなかった理由はなんですか?
ISV、銀行、医療プロバイダー、官公庁などの多くのソフトウェア開発組織にとって、ソフトウェア・セキュリティが問題となってきたのはここ10年以内です。「私たち」は、組織として、マクロ・レベルで何が有効か、お互いの経験を突き合わせて蓄積する水準にやっと到達しました。セキュア・プログラミング、ペネトレーション・テストなどが話題になっていますが、人をソフトウェア・セキュリティ・イニシアチブに動員する最適な方法を特定するにはもっと時間がかかります。
私は理解しましたが、私の上司は理解していません。ソフトウェア・セキュリティ・イニシアチブはどのように始まったのですか?
長年のBSIMM調査で、ITセキュリティが主流となる時代にあったような、ソフトウェア・セキュリティを正当化する必要性を感じています。当時は、ファイアウォールが必要な理由や侵入検知機能によって小さな問題が大きな問題に拡大するのを防止できること、あるいはセキュリティについての従業員の意識を変えることで企業文化が変わることを理解していない経営幹部が存在しました。この時代では、頭では問題を理解している幹部でも、実際に企業で被害が出るまで、導入をためらうという現象が見られました。
BSIMMデータ・プールでは、ソフトウェア・セキュリティ・グループが以下の4つの状況で予算を獲得していることがわかっています。
- 上級幹部が「セキュアなソフトウェアを開発する」と宣言して、そのために必要な予算を確保した(マイクロソフトのビル・ゲイツの例)。
- なんらかの形のコンプライアンスを担当している上級幹部グループが、企業のガバナンス・プロセスとしてソフトウェア・セキュリティを必要な経費とみなした。
- ITセキュリティ担当者が、データ漏洩の責任はITセキュリティ部門の責任ではなく、企業のアプリケーションにあることを証明した。この結果、ソフトウェア・セキュリティ担当者はIT部門に異動された。
- カリスマ的なソフトウェア・セキュリティ起業家(CIO、CTO、法的またはガバナンス団体)が先導してシステムを構築し、初期の成功を基に実際のプログラムの予算を獲得した。
今日の問題は、上級幹部に問題の重要性を訴えることよりも、実際に計画を策定できる人が、解決策の先導役として任命を受けることにあるようです。ソフトウェア・セキュリティを担当しているのであれば、重大なソフトウェア・セキュリティの問題が発生した後、この問題を率先して解決することができます。プログラムの問題を解決する参考になるものが得られないのであれば、今すぐ退社すべきでしょう。よくお考えください。セキュリティの問題に対応しないような組織に未来はありません。自分の能力を活用できる場は他にもたくさんあります。
