「レフト」から「エブリウェア」へ–アプリケーションセキュリティの新トレンド

今回は「「レフト」から「エブリウェア」へ–アプリケーションセキュリティの新トレンド」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは、セキュア開発成熟度モデル(Building Security In Maturity Model:BSIMM)の調査から得られた知見をまとめた「BSIMM14トレンド&インサイト・レポート(日本語版)」を公開した。 14回目の調査となる今回は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジー業界の最先端企業をはじめとする130の企業/団体におけるソフトウェアセキュリティの実践状況を分析した。

 調査対象企業130社のうち、日本企業は3社含まれている。調査結果からは、「セキュリティテストの自動化の取り組みが急速に拡大しており、その結果ソフトウェア開発ライフサイクル全体を通じてセキュリティテストを実施する『シフト・エブリウェア』の理念が、より多くの組織に浸透しつつある」と分かったという。

 説明を担当したソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏は、ソフトウェア・インテグリティ・グループ(SIG)の事業内容について「包括的なAppSecテストツールとサービス」「統合されたAppSecリスク管理ソリューション」「AppSecとリスク管理のコンサルティング」を3本柱として展開していることを紹介した上で、「このコンサルティングの中で、各企業がどのようなセキュア開発の取り組みをしているのかといったところを調査しており、その調査の中から出てきたデータを基に作成しているのがBSIMMである」と説明した。

 同社では2008年以降600回を超える診断を実施しているという。調査結果のデータプールからは古いデータが毎年削除されて更新されており、今回のレポート対象となったデータプールには日本企業3社のデータが含まれている。基本的には、外部のコンサルティングサービスを利用してアプリケーション開発のセキュリティレベルを引き上げようと取り組んでいる企業であり、基本的にセキュリティに対する意識が高く、その改善のためにしっかりとした活動を行っている企業を対象とした調査であるといえる。

 大森氏はBSIMMの取り組みの意義について「より良い経営にはより良いデータが必要だ。セキュリティの取り組み/セキュア開発の取り組みにおいても、より良いデータを提示することでよりセキュアなソフトウェア製品を開発していただくことがわれわれの目的だ」と語った。

 BSIMMでは、「ガバナンス」「インテリジェンス」「Secure Software Development Lifecycle(SSDL)タッチポイント」「デプロイメント」の4つのドメインがあり、各ドメインにはそれぞれ3つの「プラクティス」がある。計12個のプラクティスの中に、個々の具体的なアクティビティー(活動)がある。それぞれのアクティビティーについて、データプールの130社がそのアクティビティーを実施しているかどうかを調査し、実施している企業数をカウントすることで判断材料としている。

 同氏は「多くの企業が実施しているからと言って必ずしも良い取り組みとは限らず、必ずしも実施しなくてはいけない取り組みとも限らないが、多くの企業が実施しているからにはそれなりの理由があるはずなので、『やる価値がある、あるいは検討する価値があるもの』だとはいえる」とした。

 その上で「自社での取り組みと比較することで、全体的な世の中で行われていることと自社での取り組みの間の差異が見えてくる。そこで、多くの企業が実施しているが自社では実施していないものについてはやらなくて良いものなのかどうか、逆に多くの企業が実施していないのに自社ではやっている場合、やる価値があるのか、それをやるとした投資判断は正しかったのか、というチェックができる」と説明した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
産総研、セキュアな文書管理システムの構築で「Box」を導入
IT関連
2024-06-20 18:20
AWS、ローコード開発ツール「AWS Step Functions Workflow Studio」リリース。サーバレスアプリをビジュアルプログラミング
AWS
2021-06-28 17:32
東通企画、基幹業務システムにクラウドERPを採用
IT関連
2022-08-19 00:14
シンガポールと豪州、フィンテックブリッジ協定を締結–協力関係をさらに強化へ
IT関連
2022-04-16 01:24
データは秘密のままで医療AIの改善を目指す「MedPerf」
IT関連
2023-08-02 18:30
UberがドライバーにRosetta Stoneの語学レッスンを無料で提供へ
シェアリングエコノミー
2021-07-31 15:45
「Windows App」のプレビューが公開–各種OSからWindowsデバイスへアクセス
IT関連
2023-11-18 12:15
Google、「Pixel 5a(5G)」を5万1700円で発売へ 過去最大6.34インチでIP67
製品動向
2021-08-19 08:39
熱心な顧客には何を提供できる?–新組織「アクセンチュア ソング」の調べ
IT関連
2023-04-27 09:00
上新電機、人材情報の活用と人事評価のシステム化でタレントマネジメントシステムを導入
IT関連
2025-01-10 00:39
UQ mobile、月3GB・1480円からの新料金 夏には5Gサービス提供へ
企業・業界動向
2021-01-14 08:29
5Gを利用して家庭に広帯域無線インターネットを提供するWeLinkが約192億円調達
ハードウェア
2021-02-26 13:59
クラウドの障害を考慮しないIT復旧対策がビジネスリスクに–ガートナー見解
IT関連
2023-09-29 21:56
バッファローが新「nasne」発表 HDDは2TB、8TBまで拡張できる
くらテク
2021-03-18 12:28