BSIMM トレンド&インサイト・レポート

トレンド&インサイトレポート2022 1BSIMMトレンド&インサイト・レポート–バージョン13 ソフトウェア・セキュリティの世界に「孤島」なし3 ソフトウェア・セキュリティ・プログラムの責任者、または作成担当者なら3 セキュア開発成熟度モデル（BSIMM）とは3 AppSecの重要なトレンド5 BSIMM13で観察されたトレンドから導き出される一般的な洞察6 「シフト・エブリウェア」：SDLC全体を通じた継続的テスト6 継続的な不具合発見の重要性6 データ駆動型のセキュリティ意思決定が増加6 ソフトウェア・サプライチェーンのリスク管理とSBOMの隆盛7 SCAによるオープンソースのリスク管理7 APIのセキュリティと可視化への苦慮7 ソフトウェア部品表（SBOM）の隆盛7 開発ツールチェーンへのセキュリティの統合8 SDLC内のより小規模な自動チェックへの移行8 セキュア・コーディング・スタンダードの自動化と強制8 ソフトウェア・セキュリティがアプリケーションや製品以外にも拡大8 Knowledge-as-Codeのためのセキュリティ知識の取得8 コンテナに向けたインテリジェントなオーケストレーションの利用が増加8 プログラムなくしてセキュリティなし9 ソフトウェア・セキュリティ・イニシアティブにおける役割9 経営幹部のリーダーシップ9 ソフトウェア・セキュリティ・グループのリーダー11 主要ステークホルダー11 セキュリティ・チャンピオン：ソフトウェア・セキュリティの「ジミニー・クリケット（教育指導係）」12 セキュリティ・チャンピオン・プログラムの絶大な効果12 セキュリティ・チャンピオン・プログラムの作成方法12 推奨事項13 謝辞14 個人であれ組織であれ、誰もがコミュニティの一員として他者に依存しており、一人で生きていくことはできません。ソフトウェア・セキュリティの世界では、同業他社がどのようなソフトウェア・セキュリティ・プログラムを実施しているのかを知ることが非常に重要になってきます。すなわち、何が成功し、何が失敗しているのか、そしておそらく最も重要なのは、どのような変化が起こっており、その変化に対して他社がどのように対処しているのかを知ることです。 例えば、ほんの数年前まではオープンソースやサプライチェーンに対するセキュリティ攻撃に注目していたのは、ごく一部のセキュリティ専門家だけでした。しかし今や、これらのトピックは取締役会から開発チームのスクラムまで、誰にとっても最重要課題となっています。 BSIMMはソフトウェア開発にセキュリティを組み込むために組織がどのような戦略を導入しているかを調査するユニークなプログラムで、10年以上にわたって実施されています。BSIMMには、クラウド、金融サービス、フィンテック、ISV（独立系ソフトウェア・ベンダー）、保険、IoT、医療、ハイテクなどさまざまな業種の企業が参加しています。 このBSIMM13トレンド&インサイト・レポートは、130社を超えるBSIMM参加企業に対する調査から得られた教訓を要約したものです。今回の参加企業全体で約11,900人のセキュリティ専門 家が従事しており、約410,000人の開発者が145,000本のアプリケーションを安全なソフトウェアにする支援をしています。BSIMMプロジェクトの詳細にご関心のある方には、BSIMMの背景およびデータを詳しく記載した「BSIMM13FoundationsReport（英語版）」をwww.bsimm.com/resources.htmlで公開しています。 AppSecの重要なトレンドを理解することにより、自社のセキュリティ対策に対する戦略的な改善策の計画に役立てることができます。 •••••••••• •••••••••••••• •••••••••• •••••••••• 本レポートで見ていくように、多くの組織がソフトウェア・サプライチェーンのリスク管理という課題に44 •••••••••• 対処するため、ソフトウェア・コンポジション解析（SCA）ツールを使用してオープンソースのリスクを管理し、自社で使用および開発するコードに対してソフトウェア部品表（SBOM）の作成を義務付けるようになっています。明日になればまた新しい課題が生まれるでしょう。それはAPIや暗号通貨への攻 撃に関するものかも知れませんし、まだその脅威を表す用語すら存在しないまったく新しい課題かも金融 •••••••••• 19 知れません。1つだけ確かに言えるのは、今後も課題は増え続けるということです。ソフトウェア・セキュリティ・プログラムは、これらの課題に対処できるように備えておく必要があります。 •••••••••• •••••••••• •••••••••• ソフトウェア・セキュリティ・プログラムの責任者、または作成担当者なら ••••••••••• セキュリティ・プログラム実装の初期段階にあるにせよ、既存のプログラムをビジネスおよびセキュリティ・ニーズの変化に適応させたいと考えているにせよ、自社のソフトウェア・セキュリティ・グループ （SSG）を他者のそれと比較することは、今後の戦略を立案する上で参考になります。 38 •••••••••• •••••••••••• •••••••••• •••••••••• •••••••••• ISV ••••••••••••••• •••••••••• •••••••••• •••••••••• •••••••••• 15 35 •••••••••• ••••••••••••••• •••••••••• •••••••••• •••••••••• クラウド ••••••••••••••• •••••••••• •••••••••• •••••••••• •••••••••• 15 33 •••••••••• ••••••••••••••••• •••••••••• •••••••••• •••••••••• ハイテク ••••••••••••••••••• •••••••••• •••••••••• •••••••••• •••••••••• 11 ソフトウェア・セキュリティ・プログラムの責任者、または作成担当者なら、AppSecの重要なトレンド IoT フィンテック保険医療 を理解することにより、自社のセキュリティ対策に対する戦略的な改善策の計画に役立てることができます。技術サイドからセキュリティ・プログラムを実施している方なら、本レポートに示した情報を使用して、人とプロセスの戦術的な改善を定義することができます。例えば、本レポートで後述するセキュリティ・チャンピオン・プログラムの構築もその方法の1つです。 図1：業種ごとのBSIMM参加企業の数* *1社が複数の業種に属すことがあります。 12% 13% 参加企業の割合 （地域別） 75% 5% 21% 7% 7% 18% 参加企業の割合 （業種別） 9% 16% 17% BSIMM13参加企業の数 医療 フィンテック 保険 IoT APAC EMEA 北米 ハイテク クラウド ISV 金融 SSG設立からの平均年数 開発者の数アプリケーションの数 500,000 400,000 300,000 200,000 100,000 0 BSIMM1 BSIMM2 BSIMM3 BSIMM4 BSIMMV BSIMM6 BSIMM7 BSIMM8 BSIMM9 BSIMM10 BSIMM11 BIMM12 BSIMM13 人のSSGメンバー 人のセキュリティ・チャンピオン 図2：数字で見るBSIMM AppSecの重要なトレンド このセクションでは、BSIMM13のデータ分析において観察された重要なトレンド、およびこれらトレンドがソフトウェア・セキュリティの戦略にどのような影響を与えるかについて詳しく述べます。ソフトウェア・セキュリティ・イニシアティブ実装の初期段階にある組織にせよ、既存のセキュリティ・プログラムをビジネスおよびセキュリティ・ニーズの変化に合わせて調整したいと考えている組織にせよ、これらのトレンドと自社の取り組みを比較することによって、戦略の立案に直接役立つ情報を得ることができます。 データの収集方法 BSIMMのデータは、BSIMM調査中に参加企業に対して行ったインタビューから集めています。診断の後、観測したデータを匿名化してBSIMMデータ・プールに追加し、そこで統計分析を実施してBSIMM参加企業が自社のソフトウェアに対してどのようなセキュリティ対策を実施しているのかについてのトレンドを明らかにしています。 例えば、図3はBSIMM13のデータ・プールで最も多くの実施が観察された5つのアクティビティを示しています。これから自社で独自のソフトウェア・セキュリティ・イニシアティブを開始するなら、ここに挙げたアクティビティを実施するのが得策と考えられます。 90% セキュリティ・チェックポイントおよび関連するガバナンスを実装する。 89% ホストとネットワークの基本的セキュリティが導入済みであることを確認する。 89% 個人情報の責務を特定する。 88% インシデント対応チームと連携するか、新規に開発する。 88% 外部のペネトレーション・テスターを活用して問題を発見する。 図3：BSIMM13で実施企業の割合が最も多かった5つのアクティビティ 1番上のアクティビティを見ると、BSIMM13の参加企業の90%がソフトウェア開発ライフサイクル （SDLC）内にソフトウェア・セキュリティ・チェックポイントを設置しています。つまり、ほとんどの企業がソフトウェア・セキュリティ・イニシアティブを成功させる上でこの取り組みを重要なステップと捉えていると言えます。チェックポイントの例としては、IDE内での静的解析、コード・コミット解析、ビルド時の静的解析、手動コード・レビュー、QA/統合テストにおける動的スキャン、本番移行前および本番環境でのペネトレーション・テストなどがあります。 適切な指標は、ツールチェーンの問題を特定したり、あるいは逆に支出を正当化したりするのに役立ちます。例えば、静的解析ツールで検出しなかったセキュリティ上の不具合がペネトレーション・テストで表面化した場合、静的解析のコード・カバレッジに問題があると考えられます。特定のセキュリティ上の不具合がどのチェックポイントまたはツールで発見されたかを突き止めることにより、アプリケーション・ポートフォリオ全体で同様のトレンドを追跡できます。 昨年のBSIMM12と今年のBSIMM13の違いを調べるには、共通のアクティビティの中で実施企業の数が特に大きく増えたものなど、トレンドに着目するという方法があります。例えばBSIMM13では、実施企業の数が20%以上増加したアクティビティがいくつか観察されています（図4参照）。 +34% クラウド・セキュリティ対策を実装する +25% +27% コード・レビューをすべてのプロジェクトに義務付ける +24% +25% スタンダード審査委員会を設置する +20% 攻撃インテリジェンスを収集し、活用する オープンソースを特定する コンプライアンス関連のリスクに対するセキュリティのサインオフを義務付ける 図4：実施企業の数が大きく増えたアクティビティ BSIMMはデータ駆動型のアプローチを採用しており、世界中のサイバーセキュリティ・プラクティスに関する業界最大のデータセットを使用して、ソフトウェア開発にセキュリティを組み込むために組織が何を導入しているのかを調査しています。 BSIMM13で観察されたトレンドから導き出される一般的な洞察 •自動コード・レビュー・ツールの使用に関するアクティビティを実施している企業が全体