ここには、BSIMMに関してよくあるご質問が記載されています。完全版をお読みになるには、BSIMMドキュメントをダウンロードしてください。
よくあるご質問
BSIMMとはなんですか?
BSIMM(「ビーシム」と発音します)は、「セキュア開発成熟度モデル(Building Security In Maturity Model)」の略です。BSIMMは、ソフトウェア・セキュリティ・イニシアチブの進捗状況を確認し、長期的な実行計画を立てるために構成された、実践的なソフトウェア・セキュリティ・イニシアティブの調査です。
ソフトウェア・セキュリティが必要な理由はなんですか?
ソフトウェア・セキュリティとは、攻撃されてもセキュリティ上安全なソフトウェアを構築することです。長年にわたるネットワーク・セキュリティ侵害のレビューからわかったことは、セキュリティを当初から組み込んでソフトウェアを開発することで、ソフトウェアの保護がより容易となるということです。また、セキュリティはモノではなく(モノの)特性であるため、暗号やパスワードなどのセキュリティ機能をソフトウェアに追加するだけでは攻撃に対する耐性を得るソフトウェア・セキュリティは実現できません。
ソフトウェア・セキュリティを考慮する必要があるのはどんな人ですか?
業務でソフトウェアを開発および使用する組織(現代社会ではすべての組織)には、大量のIDデータの漏洩や、多額の賠償責任、悪意のあるユーザーによる機密情報の入手を許さないソフトウェアが必要です。ソフトウェアの信頼性を高める唯一の方法は、セキュリティ機能を組み込んで開発することです。つまり、ソフトウェアを使用するすべての組織にBSIMMが必要なのです。
BSIMMの特長はなんですか?
弊社は、すべて、実際のソフトウェア・セキュリティ・イニシアティブを調査し観察した結果からBSIMMを開発しました。BSIMMによって、何をするべきかはわかりませんが、他社が何をしているかがわかります。ソフトウェア・セキュリティ・サイエンスに対するこの「観察と報告」によるアプローチは、個人的な経験に基づいた規範的アプローチと大きく異なります。
どんな組織が調査対象に含まれていますか?
130の企業がBSIMM11の対象に含まれています。最新の評価では、平均で4.3年間にわたってソフトウェア・セキュリティを実施しました(2020年7月の時点で、1年未満~15年間)。130社すべてが、ソフトウェア・セキュリティ専任の内部グループを任命してソフトウェア・セキュリティ・グループ(SSG)イニチアティブを成功させることに合意しました。SSGの人数は平均で13.9名(最小1名、最大160名、中央値7.0名)です。通常、他のサテライト・グループ(開発者、アーキテクト、およびソフトウェア・セキュリティに直接従事し促進に努めている組織の従業員)は平均で51.2名(最小0名、最大1,500名、中央値0名)で構成されます。参加組織の開発者の平均人数は3,770.5名(最小5名、最大10万名、中央値1,000名)で、開発部門のSSGメンバーの平均割合は2.01%(中央値0.63%)です。
全体では、BSIMMには、1,801名のSSGメンバーと、490,167名の開発者が開発したソフトウェア(約17万6,269のアプリケーション)をセキュリティ保護する6,656名のサテライト・メンバーで構成されます。
誰がソフトウェア・セキュリティの責任を追うべきですか?
今回調査されたソフトウェア・セキュリティ・イニシアティブを管轄する幹部の役職は、以下に例を示します。
- コーポレート・セキュリティ担当アシスタント・バイス・プレジデント
- アプリケーション・セキュリティ担当部長
- セキュリティ保証担当部長
- 情報セキュリティ担当バイス・プレジデント
- アプリケーション・リスク管理担当バイス・プレジデント
- シェアード・サービス担当上級部長
- ソフトウェア・セキュリティ・エンジニアリング担当マネージャー
- エンタープライズ・ソフトウェア担当上級部長
- インフラストラクチャ/セキュリティ担当上級部長
- グローバル情報セキュリティ・イノベーション担当上級部長
- セキュリティ・テスト担当グローバル責任者
- システム開発担当システム・マネージャー
- セキュリティ・アーキテクト
- 製造オペレーション担当執行役員
- 情報セキュリティ・オペレーション担当マネージャー
- 情報システム担当マネージャー
- 組み込みシステム/サイバーセキュリティ担当リーダー
組織のどこにSSGが配置されているかについて広範囲にわたって調査しました。特に、参加企業130社中67社のSSGがCISOによって、またはCISOを直近の上級経営幹部とする人間によって運営されています。21社がCTOを直近の上級経営幹部とし、6社がCIO、8社がCSO、4社がCOO、2社がCRO、1社がCAOの下にSSGを配属しています。20社のSSGは技術または製造部門の組織に所属しています。
BSIMMには何が含まれますか?
BSIMMを構成する主な機能はソフトウェア・セキュリティ・フレームワークです。このフレームワークはガバナンス、インテリジェンス、SSDLタッチポイント、導入の4つの領域で構成され、それぞれに12のプラクティスがあります。
- ガバナンス:戦略と指標、コンプライアンスとポリシー、トレーニング
- インテリジェンス:攻撃モデル、セキュリティ機能と設計、標準と要件
- SSDLタッチポイント:アーキテクチャ分析、コード・レビュー、セキュリティ・テスト
- 導入:ペネトレーション・テスト、ソフトウェア環境、構成管理と脆弱性管理
BSIMM11では、プラクティスごとに関連するアクティビティが用意され、合計121のアクティビティがあります。調査では、各アクティビティが何回観測されたかを追跡しました。以下が調査で得られたデータです (各アクティビティを解釈するには、121のアクティビティについて詳細に説明しているBSIMMドキュメントをダウンロードしてください)。
アクティビティごとに説明と、組織での実施方法を示すための実例が示されています。例は特定のアクティビティを実行する唯一の方法ではなく、ソフトウェア・セキュリティの現実を示す意図で挙げられています。
セキュリティ・アクティビティ数が121と多いのは何故ですか?
心配には及びません。BSIMMは観測によるモデルであり、複数の参加組織で行われているアクティビティが観測されるたびにモデルに追加されます。モデルはあくまで累積であり、すべてのアクティビティを実行している組織はありません。長年にわたり、金融サービス組織、独立系ソフトウェア・ベンダー(ISV)およびIoT企業の多数の共通部門を調査してきましたが、その中のイニシアチブは同一とは程遠く、まったく同じ方法で行っている企業はありませんでした。たとえば、他人の家計計画をそのまま使用することはないでしょう。ソフトウェア・セキュリティ・イニシアチブも同様です。BSIMMは、そのままに従うレシピではなく、アイディアを示す一般的なガイダンスとして参照されるべきです。
BSIMMスコアカードで強調表示されているアクティビティがあるのはなぜですか?
12の強調表示されたアクティビティは、最も一般的に実践されていたアクティビティです。
12の基本アクティビティ
| アクティビティ | 説明 |
| [SM1.4] | ライフサイクルのガバナンスの実装 |
| [CP1.2] | PII義務の特定 |
| [T1.1] | 意識向上トレーニングの実施 |
| [AM1.2] | データ分類計画とインベントリの作成 |
| [SFD1.1] | セキュリティ機能の統合およびデリバリー |
| [SR1.3] | コンプライアンス制約の要件への変換 |
| [AA1.1] | セキュリティ機能のレビューの実施 |
| [CR1.4] | 自動化されたツールと手動レビューの併用 |
| [ST1.1] | QAの実施がエッジ/境界値条件テストに沿ったものであることの確認 |
| [PT1.1] | 外部ペネトレーション・テスターを使用した問題の特定 |
| [SE1.2] | ホストおよびネットワーク・セキュリティの基本事項が実施されていることの確認 |
| [CMVM1.1] | インシデント対応の作成または調整 |
視覚的な資料があるとわかりやすいです。これをグラフ表示するとどうなりますか?
12のプラクティスについて複数の企業の平均成熟レベルを示した3つのレーダー・チャートは、BSIMMが提供する分析能力の例を示しています。最初のチャートは、BSIMM企業からのデータを示しています(これを「参加企業全体」と呼びます)。2つめのチャートは、参加企業全体と比較して描画されたサンプル企業のデータです。
BSIMMの参加企業は、規制が厳しい保険、医療、金融サービスの主に3つの業界に属しています。経験上、金融サービス業界の大企業は、保険および医療業界の企業と比べて1990年代から2000年代初期にかけての法令の変更への対応とSSIの開始がはるかに早いことがわかっています。金融サービス業界の企業数は過去5年間で2倍になり(新しく始められたイニシアチブがBSIMMのデータ・プールに大量に流入している)、評価時点での金融サービス業界のSSGの平均年数は4.9年のままでしたが、保険業界は3.8年、医療業界は3.7年でした。
SSIの成熟にかかる時間は、並べて比較するとはっきり分かります。保険業界には、成熟度の高い企業も含まれていますが、規制の多いこれら3業種のデータを見ると、全体としては保険業界がソフトウェア・セキュリティにおいて遅れをとっていることが分かります。ほとんど例外のない医療業界と比べると、その違いは顕著です。
調査対象組織はすべてソフトウェア・セキュリティの知識を持っていますか?
いいえ。調査対象の各企業のスコアを計算する際に、ある企業を他の企業と比較した相対成熟度と平均成熟度も調査しました。BSIMM11参加企業の大多数のスコアの範囲は16~45で、SSGの平均年数は2.5~4.2年です。
幸い、BSIMMは普及が進んでいます。BSIMM11のデータ全体の量は、初回の発表値に比較して約38倍に拡大しました。30企業のサンプル・サイズを超えた時点で、統計分析が適用され、統計的に有効な結果が抽出できています。
BSIMMは規格ですか?
BSIMMは、ISO 27001や卓球の公式ルールのような規格ではありません。BSIMMは、規格ではなく、世界で最も成功しているソフトウェア・セキュリティ・イニシアティブによって実践されているアクティビティを示します。この意味で、BSIMMは、組織が実際に実践している事実上の標準といえます。頭の中で考えられた理念ではなく、現場で実際に行われている実践方法といえます。
BSIMMの使用方法は?
あなたの組織でソフトウェア・セキュリティ対策がまだ実践されていないとすれば、実践する必要があります。BSIMMはその足がかりになります。ソフトウェア・セキュリティ・グループに何名の従業員が必要か、まず着手すべきことは何か、そして今後数年で行うべきことを特定できます。 ソフトウェア・セキュリティ・イニシアティブ
がすでに開始されている場合は、BSIMMを使用して、その進捗状況を把握し、今後の計画を策定することができます。
ソフトウェア・セキュリティ・グループとは何ですか? これは必須ですか?
すべてのBSIMM参加企業には、SSGと呼ばれる、ソフトウェア・セキュリティ専任の社内グループが存在します。SSGなしにBSIMMアクティビティを成功裏に実践している組織は見たことがありません。調査対象の130組織全体で見ると、開発部門の平均2.01%がSSGメンバーです。これを各参加企業に平均すると、開発者50名当たり1名のSSGメンバーがいることになります。開発者の人数が500名以下の組織の場合、最大割合は51.4%で、最小は0.4%でした。開発者の人数が500名を超える組織の場合、最大割合は3.0%で、最小は0.1%でした。実際の数値では、130企業のSSGの平均規模は13.9名(最小1名、最大160名、中央値7.0名)です。
BSIMMがそれほど重要なら、今までなかった理由はなんですか?
ISV、銀行、医療業界の企業、官公庁などの多くのソフトウェア開発組織にとって、ソフトウェア・セキュリティが問題となってきたのは21世紀に入ってからで、上級幹部レベルで真剣に問題視されるようになったのはここ10年以内のことです。「私たち」は、組織として、マクロ・レベルで何が有効か、お互いの経験を突き合わせて蓄積する水準にやっと到達しました。セキュア・プログラミング、ペネトレーション・テストなどが話題になっていますが、ソフトウェア・セキュリティ・イニシアティブを形成する最適な方法を特定するにはさらに時間がかかります。 BSIMMは、誰でも無料で利用できるオープンな観察型のモデルに対象アクティビティを取り込んでいます。
私は理解しましたが、私の上司は理解していません。ソフトウェア・セキュリティ・イニシアティブはどのように始まったのですか?
長年のBSIMMで、ITセキュリティが主流となる時代にあったような、ソフトウェア・セキュリティを正当化する必要性を感じています。当時は、ファイアウォールが必要な理由や侵入検知機能によって小さな問題が大きな問題に拡大するのを防止できること、あるいはセキュリティについての従業員の意識を変えることで企業文化が変わることを理解していない経営幹部が存在しました。この時代では、頭では問題を理解している幹部でも、実際に企業で被害が出るまで、導入をためらうという現象が見られました。
BSIMMデータ・プールでは、ソフトウェア・セキュリティ・グループが以下のようなさまざまな状況で予算を獲得していることがわかっています。
- 上級幹部がセキュアなソフトウェアを開発することを宣言して、そのために必要な予算を確保した(セキュリティを最重要課題にするよう指示したマイクロソフトのビル・ゲイツによる2002年のセキュリティ・メモの例)。
- なんらかの形のコンプライアンスを担当している上級幹部グループが、(おそらくは大きな犠牲を伴う失敗を経て)企業のガバナンス・プロセスとしてソフトウェア・セキュリティを必要な経費とみなした。
- ITセキュリティ担当者が、データ漏洩の責任はITセキュリティ部門の責任ではなく、企業のアプリケーションの脆弱性にあることを証明した。
- 影響力のあるソフトウェア・セキュリティ起業家(CIO、CTO、法的またはガバナンス団体)が先導してシステムを構築し、初期の成功を基に実際のプログラムの予算を獲得した。
- 開発グループは、DevOpsへの移行の一環としてさまざまな「セキュリティ」の役割(クラウド・セキュリティ、ビルド・セキュリティ、コンテナ・セキュリティなど)を有機的に発展させ、上級幹部がその取り組みを標準化して、すべての開発グループに知識とプロセスを教え込むプログラムに取り入れました。
今日の問題において困難な点は、上級幹部に問題の重要性を訴えることでは必ずしもなく、自分がその問題解決の責任者として適任であり、かつ具体的な計画を持っていることを納得してもらうことにあるようです。ソフトウェア・セキュリティの責任者は、重大なソフトウェア・セキュリティの問題が発生した場合には解雇される可能性があります。しかし将来の問題解決のためのリソースが現在得られないのであれば、今すぐに退社したほうがよいでしょう。セキュリティの問題に対応しないような組織に未来はありません。自分の能力を活用できる場は他にもたくさんあります。
最新のBSIMM調査で重点が置かれている主なテーマをいくつか教えてください。
「シフト・レフト」は「シフト・エブリウェア」になっている
BSIMMのデータは、「シフト・レフト」が「シフト・エブリウェア」になっていることを示しています。特定時点の1つの分析よりも、1つのバリュー・ストリーム全体にわたる継続的なイベント・ベースのセキュリティ計測が好まれる傾向が高まっています。
エンジニアリング主導対SSG主導のソフトウェア・セキュリティの取り組み
単なるセキュリティまたは品質ではなく、回復力の確保がソフトウェアにおける主な目標である状況で、エンジニアリング主導のアクティビティへの信頼の高まりは、BSIMM11の1つのテーマになっています。
DevSecOps
BSIMMのデータは、CI/CDパイプライン全体にセキュリティ・アクティビティを組み込み、安全で回復力のあるソフトウェアの迅速な導入に重点を置く、DevSecOps原則の採用が組織の間で増加していることを示しています。
大手ブランドがアプリケーション・セキュリティに対応するために行っていること
BSIMM11では、データ・プールに含まれる130社のアクティビティの傾向について説明しており、新規、成熟、最適化のレベルのSSIで観察されたアクティビティについて言及しています。BSIMMのデータは、成熟度の高いイニシアティブが、モデルにより記載された合計12のプラクティスにおいて多くのアクティビティを実行していることを示しています。
