ここには、BSIMMに関してよくあるご質問が記載されています。完全版をお読みになるには、BSIMMドキュメントをダウンロードしてください 。
ここには、BSIMMに関してよくあるご質問が記載されています。完全版をお読みになるには、BSIMMドキュメントをダウンロードしてください 。
BSIMM(「ビー・シム」と発音します)は、Building Security In Maturity Modelの略です。BSIMMは、ソフトウェア・セキュリティ・イニシアチブの進捗状況を確認し、長期的な実行計画を立てるために構成された、実践的なソフトウェア・セキュリティ・イニシアチブの調査です。
ソフトウェア・セキュリティとは、攻撃されている間もセキュリティ上安全なソフトウェアを構築することです。長年にわたるネットワーク・セキュリティ侵害のレビューからわかったことは、セキュリティを当初から組み込んでソフトウェアを開発することが、ソフトウェアの保護につながるということです。また、セキュリティはモノではなく資産であるため、暗号やパスワードなどのセキュリティ機能をソフトウェアに追加するだけでは攻撃に対する耐性を得るソフトウェア・セキュリティは達成できません。
業務でソフトウェアを開発および使用する組織(現代社会ではすべての組織)には、大量のIDデータの漏洩や、多額の賠償責任、悪意のあるユーザーによる機密情報の入手を許さないソフトウェアが必要です。ソフトウェアの信頼性を高める唯一の方法は、セキュリティ機能を組み込んで開発することです。つまり、ソフトウェアを使用するすべての組織にBSIMMが必要なのです。
弊社は、すべて、実際のソフトウェア・セキュリティ・イニシアチブを調査し観察した結果からBSIMMを開発しました。BSIMMによって、何をするべきかはわかりませんが、他社が何をしているかがわかります。ソフトウェア・セキュリティ・サイエンスに対するこの「観察と報告」によるアプローチは、個人的な経験に基づいた規範的アプローチと大きく異なります。
最新の評価では、平均で122社の参加企業が4.53年間にわたってソフトウェア・セキュリティを実施しました(2019年6月の時点で、1年未満~19年間)。122社すべてが、ソフトウェア・セキュリティ専任の内部グループを任命してソフトウェア・セキュリティ・グループ・イニチアチブを成功させることに合意しました。SSGの規模は平均で13.1名(最小1名、最大160名、中央値6.0名)で、他のサテライトグループ(開発者、アーキテクト、およびソフトウェア・セキュリティに直接従事し促進に努めている組織の従業員)は平均で51.6名(最小0名、最大1,500名、中央値0名)で構成されます。参加組織の開発者の平均人数は3,804.2名(最小5名、最大100,000名、中央値900名)で、SSGの開発部門の平均割合は1.37%(中央値0.61%)です。
全体では、BSIMMには、1,596社のSSG参加社と、468,500名の開発者が開発したソフトウェア(約175,000のアプリケーション)をセキュリティ保護する6,298名のサテライト参加者で構成されます。
今回調査されたソフトウェア・セキュリティ・イニシアチブを管轄する幹部の役職は、コーポレート・セキュリティ担当アシスタント・バイス・プレジデント、アプリケーション・セキュリティ担当部長、セキュリティ保証担当部長、情報セキュリティ担当バイス・プレジデント、アプリケーション・リスク管理担当バイス・プレジデント、シェアードサービス担当上級部長、ソフトウェア・セキュリティ・エンジニアリング担当マネージャー、エンタープライズ・ソフトウェア担当上級部長、インフラストラクチャ/セキュリティ担当上級部長、グローバル情報セキュリティ・イノベーション担当上級部長、セキュリティ・テストグローバル責任者、システム開発担当システム・マネージャー、セキュリティ・アーキテクト、製造オペレーション担当執行役員、情報セキュリティ・オペレーション担当マネージャー、情報システム担当マネージャー、組み込みシステム/サイバーセキュリティ担当リーダーなど、多岐にわたります。どこにSSGが配置されているかについて広範囲にわたって精査しました。特に、参加企業122社中71社のSSGがCISOによって、またはCISOを直近の上級経営幹部とする人間によって運営されています。17社がCTOを直近の上級経営幹部とし、6社がCIO、7社がCSO、4社がCOO、2社がCRO、1社がCAOの下にSSGを配属しています。14社のSSGは技術または製造部門の組織に所属しています。
BSIMMを構成する主な機能はソフトウェア・セキュリティ・フレームワークです。このフレームワークはガバナンス、インテリジェンス、SSDLタッチポイント、導入の4つの領域で構成され、それぞれに12のプラクティスがあります。
BSIMM10では、プラクティスごとに関連するアクティビティが用意され、合計119のアクティビティがあります。調査では、各アクティビティが何回観察されたかを追跡しました。以下は結果データです(各アクティビティを解釈するには119の各アクティビティが詳細に説明されている、BSIMMドキュメントをダウンロードしてください)。
アクティビティごとに説明と、組織での実施方法を示すための実例が示されています。例は特定のアクティビティを実行する唯一の方法ではなく、ソフトウェア・セキュリティの現実を示す意図で挙げられています。
ご安心ください。BSIMMは観察によるモデルであり、複数の参加組織で行われている実際のアクティビティが観察されるたびにモデルに追加されます。つまり、モデルはあくまで累積であり、すべてのアクティビティを実行している組織はありません。長年にわたり、金融サービス組織、独立系ソフトウェア・ベンダー(ISV)およびIoT企業の多数の共通部門を調査してきましたが、その中のイニシアチブは同一とは程遠く、まったく同じ方法で行っている企業はありませんでした。たとえば、他人の家計計画をそのまま使用することはないでしょう。ソフトウェア・セキュリティ・イニシアチブも同様です。BSIMMは、そのままに従うレシピではなく、アイディアを示す一般的なガイダンスとして参照されるべきです。
12の強調表示されたアクティビティは、最も一般的に実践されていたアクティビティです。
アクティビティ | 説明 |
[SM1.4] | ゲートの場所の特定と必要なアーチファクトの収集。 |
[CP1.2] | PII義務を特定している。 |
[T1.1] | 意識向上トレーニングを実施している。 |
[AM1.2] | データ分類スキーマとインベントリの作成。 |
[SFD1.1] | セキュリティ機能を構築し、公開している。 |
[SR1.3] | コンプライアンス制約の要件への変換。 |
[AA1.1] | セキュリティ機能のレビューを実施している。 |
[CR1.4] | 自動化されたツールと手動レビューを併用している。 |
[ST1.1] | QAがエッジ/境界値条件試験に沿ったものであることを確認している。 |
[PT1.1] | 外部ペネトレーション・テスターを使用して問題を特定している。 |
[SE1.2] | ホストおよびネットワーク・セキュリティの基本事項が実施されていることを確認している。 |
[CMVM1.1] | インシデント対応の作成または調整を行っている。 |
12のプラクティスについて複数の企業の平均成熟レベルを示した3つのレーダー・チャートは、BSIMMが提供する分析能力の例を示しています。最初のチャートは、BSIMM企業からのデータを示しています(これを「参加企業全体」と呼びます)。2つめのチャートは、参加企業全体と比較して描画されたサンプル企業のデータです。
BSIMMの3つの業界は、規制が厳しい保険、医療、金融サービスの3つに属しています。経験上、金融サービス業界の大企業は、保険および医療業界の企業と比べて1990年代から2000年代初期にかけての法令の変更への対応とSSIの開始がはるかに早いことがわかっています。金融サービス業界の企業数は過去5年間で2倍になり、新しく始められたイニシアチブがBSIMMのデータ・プールに大量に流入しているにもかかわらず、評価時点での金融サービス業界のSSGの平均年数は、5.4年のままでしたが、保険業界は3.2年、医療業界は3.1年でした。SSIの成熟にかかる時間は、並べて比較するとはっきり分かります。保険業界には、成熟度の高い企業も含まれていますが、規制の多いこれら3業種のデータを見ると、全体としては保険業界がソフトウェア・セキュリティにおいて遅れをとっていることが分かります。ほとんど例外のない医療業界と比べると、その違いは顕著です。
いいえ。調査対象の各企業のスコアを計算する際に、ある企業の他の企業と比較した相対成熟度と平均成熟度も調査しました。現在のプールでのスコアの範囲は[5, 83]です。
幸い、BSIMM調査は普及が進んでいます。今回報告されたデータ全体の量は、初回の発表値に比較して約38倍に拡大しました。30企業のサンプル・サイズを超えた時点で、統計分析が適用され、統計的に有効な結果が抽出できています。
BSIMMは、ISO 27001や卓球の公式ルールのような規格ではありません。BSIMMは、規格ではなく、世界で最も成功しているソフトウェア・セキュリティ・イニシアチブによって実践されているアクティビティを示します。この意味で、BSIMMは、組織が実際に実践している事実上の標準といえます。頭の中で考えられた理念ではなく、現場で実際に行われている実践方法といえます。
あなたの組織でソフトウェア・セキュリティ・イニシアチブがまだ実践されていないとすれば、実践する必要があります。BSIMMはその足がかりになります。BSIMMを使用すれば、ソフトウェア・セキュリティ・グループに何名の従業員が必要か、まず着手すべきことは何か、そして今後数年で行うべきことを特定できます。ソフトウェア・セキュリティ・イニシアチブがすでに開始されている場合は、BSIMMを使用して、その進捗状況を把握し、今後の計画を策定することができます。
BSIMMは無料で利用できます。BSIMMは、Creative Commonsライセンスでリリースされています。つまり、他のモデルと同様に「オープン」なものであり、社内文書のたたき台として、または独自のモデル作成のための公開されたデータとしてご利用いただけます。このような場合、BSIMMを参照して作成したことを明示してください。つまり、BSIMMのクレジット表示を行ってください。ご不明な点がございましたら、お問い合わせください。
すべてのBSIMM参加企業には、SSGと呼ばれる、ソフトウェア・セキュリティ専任の社内グループが存在します。SSGなしにBSIMMアクティビティを成功裏に実践している組織は見たことがありません。調査対象122組織全体で見ると、開発部門の平均1.37%がSSGメンバーです。これを各参加企業に平均すると、開発者73名当たり1名のSSGメンバーがいることになります。SSGの最大割合は20%で、最小率は0.02%でした。実際の数値では、122企業のSSGの平均規模は13.1名(最小1名、最大160名、中央値6.0名)です。
ISV、銀行、医療プロバイダー、官公庁などの多くのソフトウェア開発組織にとって、ソフトウェア・セキュリティが問題となってきたのは21世紀に入ってからで、上級幹部レベルで真剣に問題視されるようになったのはせいぜいここ10年以内のことです。「私たち」は、組織として、マクロ・レベルで何が有効か、お互いの経験を突き合わせて蓄積する水準にやっと到達しました。セキュア・プログラミング、ペネトレーション・テストなどが話題になっていますが、人をソフトウェア・セキュリティ・イニシアチブに動員する最適な方法を特定するにはもっと時間がかかります。BSIMMは、誰でも無料で利用できるオープンな観察型のモデルに対象アクティビティを取り込んでいます。
長年のBSIMM調査で、ITセキュリティが主流となる時代にあったような、ソフトウェア・セキュリティを正当化する必要性を感じています。当時は、ファイアウォールが必要な理由や侵入検知機能によって小さな問題が大きな問題に拡大するのを防止できること、あるいはセキュリティについての従業員の意識を変えることで企業文化が変わることを理解していない経営幹部が存在しました。この時代では、頭では問題を理解している幹部でも、実際に企業で被害が出るまで、導入をためらうという現象が見られました。
BSIMMデータ・プールでは、ソフトウェア・セキュリティ・グループが以下のようなさまざまな状況で予算を獲得していることがわかっています。
今日の問題において困難な点は、上級幹部に問題の重要性を訴えることでは必ずしもなく、自分がその問題解決の責任者として適任であり、かつ具体的な計画を持っていることを納得してもらうことにあるようです。ソフトウェア・セキュリティの責任者は、重大なソフトウェア・セキュリティの問題が発生した場合には解雇される可能性があります。しかし将来の問題解決のためのリソースが現在得られないのであれば、今すぐに退社したほうがよいでしょう。セキュリティの問題に対応しないような組織に未来はありません。自分の能力を活用できる場は他にもたくさんあります。
DevOpsはソフトウェア・セキュリティに影響をもたらす。BSIMMのデータは、DevOpsの動向、CI/CDツールおよびデジタル・トランスフォーメーションの発展が、企業のソフトウェア・ポートフォリオに対するソフトウェア・セキュリティ手法に影響を与えることを示しています。
エンジニアリング・ドリブンという新しいセキュリティ文化の波。BSIMM10は、ソフトウェア・セキュリティの取り組みを中央のSSGからのトップダウンではなく、開発および運用チームからのボトムアップによってエンジニアリング主導で進める新しい波に見られるような、SSI文化の変化を正式に反映した最初の調査です。エンジニアリング主導のセキュリティ文化は、一部の組織では有意義なソフトウェア・セキュリティの取り組みを確立し、成長させる手段であることが示されていますが、ほんの数年前までその実現は困難でした。
BSIMM はSSIの進化への対処に役立つ。BSIMMのデータは、常により多くのアクティビティに対応することに努めるよりも、既に実施しているアクティビティを深め、幅を広げ、拡張することに重点を置いた方が、長期的に見て組織は向上し、成熟度を高めることができることを示しています。