シフトレフトからシフトエブリウェアへ、全プロセスでソフトウェアテストが必須に組み込み開発ニュース

日本シノプシスは、BSIMM(Building Security In Maturity Model:セキュア開発成熟度モデル)の調査レポートの最新版「BSIMM13」について説明した。

» 2022年11月04日 07時00分 公開
[朴尚洙MONOist]

 日本シノプシスは2022年11月2日、オンラインで会見を開き、同日公開したBSIMM(Building Security In Maturity Model:セキュア開発成熟度モデル)の調査レポートの最新版「BSIMM13」について説明した。

日本シノプシスの大森健史氏 日本シノプシスの大森健史氏 出所:日本シノプシス

 BSIMMレポートは、2008年に旧シジタル(Cigital)がIT先進企業9社を対象に行ったソフトウェアセキュリティフレームワークに関する調査結果から構築したBSIMMに基づくアセスメントサービスの結果を分析して毎年1回発行しているレポートである。2016年にシノプシスがシジタルを買収して以降は、シノプシスがアセスメントサービスとともにレポートの発行も引き継いだ。2009年の第1回から、シジタル買収のあった2016年を除いて毎年レポートが発行されており、今回は13回目となる。

 日本シノプシス ソフトウェア・インテグリティ・グループ 日本及び中国本土統括マネージング・プリンシパルの大森健史氏は「BSIMMは観測ベースのフレームワークである点が大きな特徴になっている。参加企業のセキュリティに関する取り組みに合わせて、有効かつ新たなアクティビティー(対策)は調査すべき項目として取り入れ、多くの企業が対策を済ませているアクティビティーは調査から外すなどの対応を取っている。それらの分析結果をまとめたBSIMMレポートも、世界の変化に合わせて毎年更新されている」と説明する。

 今回のBSIMM13の参加企業は130社で、金融、ISV(独立系ソフトウェアベンダー)、クラウド、ハイテク、IoT(モノのインターネット)、保険、フィンテック、医療などの業種で構成されている。地域別では北米が75%、EMEA(欧州、中東、アフリカ)が13%、APAC(アジア太平洋)が12%で北米偏重になっている。「将来的には北米が50%程度になるように、他地域の参加企業を増やしていきたい」(大森氏)という。なお、日本から参加したのは、NECプラットフォームズをはじめ3社である。

「BSIMM13」の調査概要 「BSIMM13」の調査概要[クリックで拡大] 出所:日本シノプシス

SBOM開示義務化が進めるソフトウェアサプライチェーンのリスク管理統合

 BSIMM13では、直近12カ月の新しいトレンドとして「シフトエブリウェア」「開発ツールチェーンへのセキュリティの統合」「ソフトウェアサプライチェーンリスク管理への進化」「アプリや製品を超えたソフトウェアセキュリティの拡大」の4つを挙げている。

 シフトエブリウェアは、これまでも、前倒しでテストを行う「シフトレフト」の必要性が語られてきたが、もはやそれを超えてソフトウェア開発サイクル(SDLC)の全てのプロセスで適切な時期に、適切なコンテキストに特化したテストが求められるようになっていることを示している。実際に、BSIMM13で実施企業の割合が最も多かったアクティビティーは「セキュリティチェックポイントおよび関連するガバナンスを実装する」で90%に達した。また、「複数の診断結果を1つにまとめる機能を構築する」も前年比56%増となった。

「シフトエブリウェア」の概要 「シフトエブリウェア」の概要[クリックで拡大] 出所:日本シノプシス

 開発ツールチェーンへのセキュリティの統合は、いわゆるCI/CD(Continuous Integration/Continuous Delivery:継続的インティグレーション/継続的デリバリー)に基づく開発プロセスの中で、複数の小さなチェックポイントでセキュリティを実施する手法のことだ。「QA(品質保証)の自動化にセキュリティテストを追加する」というアクティビティーが前年比50%増となっていることからも裏付けられる。大森氏は「日本企業は海外と比べてシフトレフトで後れを取っている現状があるが、CI/CDの導入が加速すれば、今後は一足飛びでシフトエブリウェアに進むことも可能だろう」と語る。

「開発ツールチェーンへのセキュリティの統合」の概要 「開発ツールチェーンへのセキュリティの統合」の概要[クリックで拡大] 出所:日本シノプシス

 ソフトウェアサプライチェーンリスク管理への進化は、2020年末に発覚した米国SolarWindsの管理ソフト経由のサイバー攻撃を受けて、SBOM(ソフトウェア部品表)開示を義務化する米国大統領令の発令が大きく影響している。ベンダー管理を強化する企業が大幅に増加するとともに、利用が増大するオープンソースソフトウェアだけでなく自社開発コードも含めてSBOMを作成するようになっている。これらの施策の結果として、ソフトウェアサプライチェーンのリスク管理を統合していくことも求められているようだ。

「ソフトウェアサプライチェーンリスク管理への進化」の概要「ソフトウェアサプライチェーンリスク管理への進化」の概要 「ソフトウェアサプライチェーンリスク管理への進化」の概要[クリックで拡大] 出所:日本シノプシス

 アプリや製品を超えたソフトウェアセキュリティの拡大では、製品やサービスに組み込まれるアプリケーションソフトウェアにとどまらず、全てのソフトウェアにセキュリティの対象を広げようとしている。「DX(デジタルトランスフォーメーション)の推進は組織をまたいだ連携などもあって複雑さをもたらす。セキュリティという目標を全社で達成するために、橋渡し役となるSSG(ソフトウェアセキュリティグループ)の重要性が増している」(大森氏)。実際に、BSIMM13に参加した130社の開発者数は約40万人になるが、このうちSSGに所属しているメンバーは3342人に上るという。

「アプリや製品を超えたソフトウェアセキュリティの拡大」の概要 「アプリや製品を超えたソフトウェアセキュリティの拡大」の概要[クリックで拡大] 出所:日本シノプシス

⇒その他の「組み込み開発ニュース」の記事はこちら

Copyright © ITmedia, Inc. All Rights Reserved.