Electronics Information Service

組込みシステム技術者向け
オンライン・マガジン

MENU

SOLUTION

シノプシスが「BSIMM14トレンド&インサイト・レポート」を公開 アプリケーション・セキュリティ・テストの自動化が急拡大

2024.2.28  6:34 pm

シノプシス ソフトウェア・インテグリティ・グループの調査で、自動化を導入している企業/団体がソフトウェア・ライフサイクル全体を通じてセキュリティ対策をどのように改善しているかを明らかに

シノプシスはセキュア開発成熟度モデル「BSIMM(ビーシム)」調査の最新版から得られた教訓をまとめた「BSIMM14トレンド&インサイト・レポート (日本語版)」を公開した。
BSIMM14は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジ業界の最先端企業をはじめとする130の企業/団体におけるソフトウェア・セキュリティの実践状況を分析した。本レポートによると、セキュリティ・テストの自動化の取り組みが急速に拡大しており、その結果、ソフトウェア開発ライフサイクル全体を通じてセキュリティ・テストを実施するという「シフト・エブリウェア」の理念が、より多くの組織に浸透しつつある。
              
・自動化の導入が増加
今回の調査結果から、セキュリティのコスト削減と有効性向上を実現するために、手作業あるいは専門家主導のセキュリティ対策に代わって、セキュリティ・テスト自動化を導入する企業/団体が増加しているという明確な傾向が読み取れる。自動化の効果に関する注目すべき結果は以下の通りである。
            
-ツールチェーンの利用拡大
企業/団体は、品質保証(QA)段階でセキュリティ・テストを自動化できる最新のツールチェーン技術を採用しており、関連するセキュリティ対策の実行が10%増加した。
-投資対効果の最大化
ソフトウェア・セキュリティ予算が減少している経済状況において、コストのかかる専門家主導のセキュリティ対策の削減が進んでいる。企業/団体は意思決定とガバナンスを自動化することで、リアルタイムのリスク管理を可能にしている。
            
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。
「すべての組織がさまざまなセキュリティ対策の自動化に全力を注いでおり、それが実務の改善に直結しています。統合されたセキュリティ・ツールによって人為ミスを排除することで、企業/団体はより効果的かつ低コストにセキュリティ対策を実施できることを実感しています。サイバー攻撃は増加の一途をたどり、あらゆる角度から攻撃があるため、ソフトウェアを標的とする無数の脅威を防御するためには自動化が不可欠であることは明らかです。組織は自動化により、この不透明な経済状況において、より少ない労力でより多くのことを実現できるようになります」
         
・セキュリティ文化の成熟
今回、企業/団体が組織のセキュリティ文化向上において前進を遂げていることも明らかになった。主な結果は以下の通りである。
          
-セキュリティ・チャンピオンの存在が違いを生み出す
開発者、QAアナリスト、アーキテクトなど、開発チーム内のセキュリティを向上させる役割を担う人材で構成されるセキュリティ・チャンピオン・プログラムを導入している組織は、導入していない組織に比べてBSIMMスコアが平均25%高い。
            
・セキュアなソフトウエア・サプライチェーンの実践が拡大
企業/団体は、組織のセキュリティ・プロセスが、業界のベスト・プラクティスに忠実に従って目覚ましい進歩を遂げたと報告している。
           
-ソフトウェア部品表(SBOM)の利用が増加
より多くの組織がソフトウェア部品表(SBOM)を活用するようになっており、SBOM作成に取り組んでいる企業/団体は前回から22%増加している。
-オープンソースのリスクを認識
オープンソース・ソフトウェア(OSS)のコンポーネントに潜むリスクの特定と管理を実践する企業/団体は、前回から10%増加した。
            
NECプラットフォームズ株式会社 セキュリティ事業推進室長 澤田利幸氏は次のように述べている。
「当社では、市販品から重要インフラに係る機器まで多種多様なIT/IoT製品を開発/生産していることから、脆弱性診断やファジングテストなど、製品のセキュリティ対策を強化しています。BSIMMコミュニティに参加することで、当社のソフトウェア開発におけるセキュリティ・プログラムを同業他社と比較して客観的に理解することができます。セキュリティ環境が急速かつ複雑に変化するなか、BSIMMから得られる洞察は、当社のリスクと優先事項を把握し、次にどのようなセキュリティ・プログラムに注力すべきかを明確にするのに役立っています」
           
            
シノプシス ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html