「レフト」から「エブリウェア」へ–アプリケーションセキュリティの新トレンド

今回は「「レフト」から「エブリウェア」へ–アプリケーションセキュリティの新トレンド」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは、セキュア開発成熟度モデル(Building Security In Maturity Model:BSIMM)の調査から得られた知見をまとめた「BSIMM14トレンド&インサイト・レポート(日本語版)」を公開した。 14回目の調査となる今回は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジー業界の最先端企業をはじめとする130の企業/団体におけるソフトウェアセキュリティの実践状況を分析した。

 調査対象企業130社のうち、日本企業は3社含まれている。調査結果からは、「セキュリティテストの自動化の取り組みが急速に拡大しており、その結果ソフトウェア開発ライフサイクル全体を通じてセキュリティテストを実施する『シフト・エブリウェア』の理念が、より多くの組織に浸透しつつある」と分かったという。

 説明を担当したソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏は、ソフトウェア・インテグリティ・グループ(SIG)の事業内容について「包括的なAppSecテストツールとサービス」「統合されたAppSecリスク管理ソリューション」「AppSecとリスク管理のコンサルティング」を3本柱として展開していることを紹介した上で、「このコンサルティングの中で、各企業がどのようなセキュア開発の取り組みをしているのかといったところを調査しており、その調査の中から出てきたデータを基に作成しているのがBSIMMである」と説明した。

 同社では2008年以降600回を超える診断を実施しているという。調査結果のデータプールからは古いデータが毎年削除されて更新されており、今回のレポート対象となったデータプールには日本企業3社のデータが含まれている。基本的には、外部のコンサルティングサービスを利用してアプリケーション開発のセキュリティレベルを引き上げようと取り組んでいる企業であり、基本的にセキュリティに対する意識が高く、その改善のためにしっかりとした活動を行っている企業を対象とした調査であるといえる。

 大森氏はBSIMMの取り組みの意義について「より良い経営にはより良いデータが必要だ。セキュリティの取り組み/セキュア開発の取り組みにおいても、より良いデータを提示することでよりセキュアなソフトウェア製品を開発していただくことがわれわれの目的だ」と語った。

 BSIMMでは、「ガバナンス」「インテリジェンス」「Secure Software Development Lifecycle(SSDL)タッチポイント」「デプロイメント」の4つのドメインがあり、各ドメインにはそれぞれ3つの「プラクティス」がある。計12個のプラクティスの中に、個々の具体的なアクティビティー(活動)がある。それぞれのアクティビティーについて、データプールの130社がそのアクティビティーを実施しているかどうかを調査し、実施している企業数をカウントすることで判断材料としている。

 同氏は「多くの企業が実施しているからと言って必ずしも良い取り組みとは限らず、必ずしも実施しなくてはいけない取り組みとも限らないが、多くの企業が実施しているからにはそれなりの理由があるはずなので、『やる価値がある、あるいは検討する価値があるもの』だとはいえる」とした。

 その上で「自社での取り組みと比較することで、全体的な世の中で行われていることと自社での取り組みの間の差異が見えてくる。そこで、多くの企業が実施しているが自社では実施していないものについてはやらなくて良いものなのかどうか、逆に多くの企業が実施していないのに自社ではやっている場合、やる価値があるのか、それをやるとした投資判断は正しかったのか、というチェックができる」と説明した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
短期間で5万ユーザーを獲得–ミスミのアルミフレーム筐体設計デジタルサービス
IT関連
2022-08-11 23:21
1度のフライトで3回の荷物配達が可能な新型ドローンをWingcopterが発表
ドローン
2021-04-29 23:34
富士通とNECは決算発表で「成長事業」をもっと前面に押し出せ
IT関連
2023-05-12 13:22
「ウマ娘」、4〜6月の課金額が世界2位に App Annie調べ
企業・業界動向
2021-07-16 00:28
ペガジャパン、「Pega Infinity 8.6」の国内提供を開始
IT関連
2021-07-08 04:01
「Azure OpenAI Service」一般公開–「ChatGPT」も近く利用可能に
IT関連
2023-01-19 11:37
KDDIとJAL、遠隔操縦者1人でドローン3機の同時運航に成功
IT関連
2024-07-03 00:21
アイエスエフネット、介護や性的指向に関する専門相談窓口を社内に設置
IT関連
2023-05-24 15:14
半導体関連株に特需–世界的DXでグレートサイクル、かつてない業績相場へ
IT関連
2021-01-15 09:34
ユーザーをだます「ダークパターン」デザインを集めて企業の恥を晒す通報窓口ができた
パブリック / ダイバーシティ
2021-05-21 22:17
アップル、AIサーバーのセキュリティテストに約1億5000万円の報奨金
IT関連
2024-10-29 08:18
[速報]AWS、サーバレスアプリのビジュアル開発ツール「Application Composer」発表。AWS re:Invent 2022
AWS
2022-12-02 17:06
「MovableType.net」、ChatGPT活用したタイトル提案機能をベータ提供
IT関連
2023-03-29 07:01
清水建設、「IIJ IDサービス」を全社認証基盤として採用–2万超のアカウントを管理
IT関連
2025-03-07 16:03