　BSIMMレポートは、2008年に旧シジタル（Cigital）がIT先進企業9社を対象に行ったソフトウェアセキュリティフレームワークに関する調査結果から構築したBSIMMに基づくアセスメントサービスの結果を分析して毎年1回発行しているレポートである。2016年にシノプシスがシジタルを買収して以降は、シノプシスがアセスメントサービスとともにレポートの発行も引き継いだ。2009年の第1回から、シジタル買収のあった2016年を除いて毎年レポートが発行されており、今回は13回目となる。

　日本シノプシスソフトウェア・インテグリティ・グループ日本及び中国本土統括マネージング・プリンシパルの大森健史氏は「BSIMMは観測ベースのフレームワークである点が大きな特徴になっている。参加企業のセキュリティに関する取り組みに合わせて、有効かつ新たなアクティビティー（対策）は調査すべき項目として取り入れ、多くの企業が対策を済ませているアクティビティーは調査から外すなどの対応を取っている。それらの分析結果をまとめたBSIMMレポートも、世界の変化に合わせて毎年更新されている」と説明する。

　今回のBSIMM13の参加企業は130社で、金融、ISV（独立系ソフトウェアベンダー）、クラウド、ハイテク、IoT（モノのインターネット）、保険、フィンテック、医療などの業種で構成されている。地域別では北米が75％、EMEA（欧州、中東、アフリカ）が13％、APAC（アジア太平洋）が12％で北米偏重になっている。「将来的には北米が50％程度になるように、他地域の参加企業を増やしていきたい」（大森氏）という。なお、日本から参加したのは、NECプラットフォームズをはじめ3社である。

「BSIMM13」の調査概要［クリックで拡大］出所：日本シノプシス

SBOM開示義務化が進めるソフトウェアサプライチェーンのリスク管理統合

　BSIMM13では、直近12カ月の新しいトレンドとして「シフトエブリウェア」「開発ツールチェーンへのセキュリティの統合」「ソフトウェアサプライチェーンリスク管理への進化」「アプリや製品を超えたソフトウェアセキュリティの拡大」の4つを挙げている。

　シフトエブリウェアは、これまでも、前倒しでテストを行う「シフトレフト」の必要性が語られてきたが、もはやそれを超えてソフトウェア開発サイクル（SDLC）の全てのプロセスで適切な時期に、適切なコンテキストに特化したテストが求められるようになっていることを示している。実際に、BSIMM13で実施企業の割合が最も多かったアクティビティーは「セキュリティチェックポイントおよび関連するガバナンスを実装する」で90％に達した。また、「複数の診断結果を1つにまとめる機能を構築する」も前年比56％増となった。

「シフトエブリウェア」の概要［クリックで拡大］出所：日本シノプシス

　開発ツールチェーンへのセキュリティの統合は、いわゆるCI／CD（Continuous Integration／Continuous Delivery：継続的インティグレーション／継続的デリバリー）に基づく開発プロセスの中で、複数の小さなチェックポイントでセキュリティを実施する手法のことだ。「QA（品質保証）の自動化にセキュリティテストを追加する」というアクティビティーが前年比50％増となっていることからも裏付けられる。大森氏は「日本企業は海外と比べてシフトレフトで後れを取っている現状があるが、CI／CDの導入が加速すれば、今後は一足飛びでシフトエブリウェアに進むことも可能だろう」と語る。

「開発ツールチェーンへのセキュリティの統合」の概要［クリックで拡大］出所：日本シノプシス

　ソフトウェアサプライチェーンリスク管理への進化は、2020年末に発覚した米国SolarWindsの管理ソフト経由のサイバー攻撃を受けて、SBOM（ソフトウェア部品表）開示を義務化する米国大統領令の発令が大きく影響している。ベンダー管理を強化する企業が大幅に増加するとともに、利用が増大するオープンソースソフトウェアだけでなく自社開発コードも含めてSBOMを作成するようになっている。これらの施策の結果として、ソフトウェアサプライチェーンのリスク管理を統合していくことも求められているようだ。

「ソフトウェアサプライチェーンリスク管理への進化」の概要［クリックで拡大］出所：日本シノプシス

　アプリや製品を超えたソフトウェアセキュリティの拡大では、製品やサービスに組み込まれるアプリケーションソフトウェアにとどまらず、全てのソフトウェアにセキュリティの対象を広げようとしている。「DX（デジタルトランスフォーメーション）の推進は組織をまたいだ連携などもあって複雑さをもたらす。セキュリティという目標を全社で達成するために、橋渡し役となるSSG（ソフトウェアセキュリティグループ）の重要性が増している」（大森氏）。実際に、BSIMM13に参加した130社の開発者数は約40万人になるが、このうちSSGに所属しているメンバーは3342人に上るという。

「アプリや製品を超えたソフトウェアセキュリティの拡大」の概要［クリックで拡大］出所：日本シノプシス

⇒その他の「組み込み開発ニュース」の記事はこちら

米国大統領令の影響か？商用ソフトウェアのOSS由来脆弱性が減少傾向に
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2022年オープンソース・セキュリティ＆リスク分析（Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。
オープンソースソフトウェアの採用率は98％に拡大、脆弱性含む割合も増加の一途
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2021年オープンソース・セキュリティ＆リスク分析（Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。
ソフトウェアのオープンソース比率が70％に、5年前の36％からほぼ倍増
日本シノプシスは、各種産業におけるOSS（オープンソースソフトウェア）の利用状況を調査した「2020年オープンソース・セキュリティ＆リスク分析（2020 Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明。調査対象となったアプリケーションに占めるOSSコンポーネントの比率は70％に達したという。
組み込みソフト開発で重視されるSBOM、BlackBerryが国内パートナーと連携強化
BlackBerryは、組み込みシステム向けに特化したバイナリベースのソフトウェア構成解析とセキュリティテストのツール「BlackBerry Jarvis 2.0」について、マクニカ、日立産業制御ソリューションズ、アイ・エス・ビー、ネクスティエレクトロニクス、SCオートモーティブエンジニアリングの5社がチャネルパートナーに加わったと発表した。
ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策
本連載第80回で、米国食品医薬品局（FDA）の2022会計年度医療機器ガイドライン策定計画を取り上げたが、早速、市販前サイバーセキュリティ要求事項に関する草案が公開された。
避けて通れぬ自動車のセキュリティ、ソフトウェア開発は何をすべきか
サイバーセキュリティにさらに力を入れるには、ソフトウェア開発のライフサイクル中のサイバーセキュリティ活動も含めて、自動車業界における文化的および組織的なシフトの必要性がある。自動車業界の課題や解決策について解説していく。