「レフト」から「エブリウェア」へ–アプリケーションセキュリティの新トレンド

今回は「「レフト」から「エブリウェア」へ–アプリケーションセキュリティの新トレンド」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは、セキュア開発成熟度モデル(Building Security In Maturity Model:BSIMM)の調査から得られた知見をまとめた「BSIMM14トレンド&インサイト・レポート(日本語版)」を公開した。 14回目の調査となる今回は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジー業界の最先端企業をはじめとする130の企業/団体におけるソフトウェアセキュリティの実践状況を分析した。

 調査対象企業130社のうち、日本企業は3社含まれている。調査結果からは、「セキュリティテストの自動化の取り組みが急速に拡大しており、その結果ソフトウェア開発ライフサイクル全体を通じてセキュリティテストを実施する『シフト・エブリウェア』の理念が、より多くの組織に浸透しつつある」と分かったという。

 説明を担当したソフトウェア・インテグリティ・グループ セキュリティ・コンサルティング・シニアディレクター マネージング・プリンシパルの大森健史氏は、ソフトウェア・インテグリティ・グループ(SIG)の事業内容について「包括的なAppSecテストツールとサービス」「統合されたAppSecリスク管理ソリューション」「AppSecとリスク管理のコンサルティング」を3本柱として展開していることを紹介した上で、「このコンサルティングの中で、各企業がどのようなセキュア開発の取り組みをしているのかといったところを調査しており、その調査の中から出てきたデータを基に作成しているのがBSIMMである」と説明した。

 同社では2008年以降600回を超える診断を実施しているという。調査結果のデータプールからは古いデータが毎年削除されて更新されており、今回のレポート対象となったデータプールには日本企業3社のデータが含まれている。基本的には、外部のコンサルティングサービスを利用してアプリケーション開発のセキュリティレベルを引き上げようと取り組んでいる企業であり、基本的にセキュリティに対する意識が高く、その改善のためにしっかりとした活動を行っている企業を対象とした調査であるといえる。

 大森氏はBSIMMの取り組みの意義について「より良い経営にはより良いデータが必要だ。セキュリティの取り組み/セキュア開発の取り組みにおいても、より良いデータを提示することでよりセキュアなソフトウェア製品を開発していただくことがわれわれの目的だ」と語った。

 BSIMMでは、「ガバナンス」「インテリジェンス」「Secure Software Development Lifecycle(SSDL)タッチポイント」「デプロイメント」の4つのドメインがあり、各ドメインにはそれぞれ3つの「プラクティス」がある。計12個のプラクティスの中に、個々の具体的なアクティビティー(活動)がある。それぞれのアクティビティーについて、データプールの130社がそのアクティビティーを実施しているかどうかを調査し、実施している企業数をカウントすることで判断材料としている。

 同氏は「多くの企業が実施しているからと言って必ずしも良い取り組みとは限らず、必ずしも実施しなくてはいけない取り組みとも限らないが、多くの企業が実施しているからにはそれなりの理由があるはずなので、『やる価値がある、あるいは検討する価値があるもの』だとはいえる」とした。

 その上で「自社での取り組みと比較することで、全体的な世の中で行われていることと自社での取り組みの間の差異が見えてくる。そこで、多くの企業が実施しているが自社では実施していないものについてはやらなくて良いものなのかどうか、逆に多くの企業が実施していないのに自社ではやっている場合、やる価値があるのか、それをやるとした投資判断は正しかったのか、というチェックができる」と説明した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
[速報]ChatGPTを組み込んだ「Microsoft 365 Copilot」は月額30ドルの追加料金で提供。マイクロソフトが発表。Inspire 2023
Microsoft
2023-07-19 00:25
ナビタイム、「青春18きっぷ」や「一日乗車券」などのフリーパス区間を考慮した運賃表示に対応
くらテク
2021-07-31 23:19
DX実現を加速する数理最適化コンサルティングの可能性
IT関連
2021-01-28 15:02
IBMが量子コンピュータの開発者認定を開始
ソフトウェア
2021-03-31 16:22
職業としてのセキュリティ–日本企業のIT分業を覆した「黒船来航」
IT関連
2023-01-24 12:16
C#からWebAssembly/WASIバイナリ生成可能に、.NET 8 SDKで実験的実装
.NET
2023-12-14 16:14
シスコ、オブザーバビリティープラットフォームのEpsagonを買収へ
IT関連
2021-08-17 10:25
セールスフォース、オフィス再開のアプローチ示す–サンフランシスコ本社は5月より
IT関連
2021-04-15 16:39
Google、目の前に相手が実在するかのような「Project Starline」発表 精細な3Dモデルのリアルタイム伝送と裸眼立体視で :Google I/O 2021
ネットトピック
2021-05-20 02:56
Webアプリ版Photoshopを実現させた最新Web技術をGoogleが紹介。WebAssemblyのスレッドによる高速化、ストリーミングコンパイル、Web Componentsなど
Adobe
2023-10-25 06:30
タグ・ホイヤー×スーパーマリオのコラボ時計、まもなく登場
くらテク
2021-07-11 21:29
New Relic、部門横断でトラブル原因を特定する新機能–小売業の課題にアプローチ
IT関連
2024-02-27 06:54
冷食専門店ピカール、「WOVN.io」でECサイトを多言語化
IT関連
2022-12-01 08:52
好調な四半期決算にもかかわらずSalesforceの株価は6.3%下落
ソフトウェア
2021-02-28 02:48