SOLUTION
シノプシスが「BSIMM14トレンド&インサイト・レポート」を公開 アプリケーション・セキュリティ・テストの自動化が急拡大
2024.2.28 6:34 pm
シノプシス ソフトウェア・インテグリティ・グループの調査で、自動化を導入している企業/団体がソフトウェア・ライフサイクル全体を通じてセキュリティ対策をどのように改善しているかを明らかに
シノプシスはセキュア開発成熟度モデル「BSIMM(ビーシム)」調査の最新版から得られた教訓をまとめた「BSIMM14トレンド&インサイト・レポート (日本語版)」を公開した。
BSIMM14は、クラウド、金融サービス、フィンテック、独立系ソフトウェアベンダー、保険、IoT、ヘルスケア、テクノロジ業界の最先端企業をはじめとする130の企業/団体におけるソフトウェア・セキュリティの実践状況を分析した。本レポートによると、セキュリティ・テストの自動化の取り組みが急速に拡大しており、その結果、ソフトウェア開発ライフサイクル全体を通じてセキュリティ・テストを実施するという「シフト・エブリウェア」の理念が、より多くの組織に浸透しつつある。
・自動化の導入が増加
今回の調査結果から、セキュリティのコスト削減と有効性向上を実現するために、手作業あるいは専門家主導のセキュリティ対策に代わって、セキュリティ・テスト自動化を導入する企業/団体が増加しているという明確な傾向が読み取れる。自動化の効果に関する注目すべき結果は以下の通りである。
-ツールチェーンの利用拡大
企業/団体は、品質保証(QA)段階でセキュリティ・テストを自動化できる最新のツールチェーン技術を採用しており、関連するセキュリティ対策の実行が10%増加した。
-投資対効果の最大化
ソフトウェア・セキュリティ予算が減少している経済状況において、コストのかかる専門家主導のセキュリティ対策の削減が進んでいる。企業/団体は意思決定とガバナンスを自動化することで、リアルタイムのリスク管理を可能にしている。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。
「すべての組織がさまざまなセキュリティ対策の自動化に全力を注いでおり、それが実務の改善に直結しています。統合されたセキュリティ・ツールによって人為ミスを排除することで、企業/団体はより効果的かつ低コストにセキュリティ対策を実施できることを実感しています。サイバー攻撃は増加の一途をたどり、あらゆる角度から攻撃があるため、ソフトウェアを標的とする無数の脅威を防御するためには自動化が不可欠であることは明らかです。組織は自動化により、この不透明な経済状況において、より少ない労力でより多くのことを実現できるようになります」
・セキュリティ文化の成熟
今回、企業/団体が組織のセキュリティ文化向上において前進を遂げていることも明らかになった。主な結果は以下の通りである。
-セキュリティ・チャンピオンの存在が違いを生み出す
開発者、QAアナリスト、アーキテクトなど、開発チーム内のセキュリティを向上させる役割を担う人材で構成されるセキュリティ・チャンピオン・プログラムを導入している組織は、導入していない組織に比べてBSIMMスコアが平均25%高い。
・セキュアなソフトウエア・サプライチェーンの実践が拡大
企業/団体は、組織のセキュリティ・プロセスが、業界のベスト・プラクティスに忠実に従って目覚ましい進歩を遂げたと報告している。
-ソフトウェア部品表(SBOM)の利用が増加
より多くの組織がソフトウェア部品表(SBOM)を活用するようになっており、SBOM作成に取り組んでいる企業/団体は前回から22%増加している。
-オープンソースのリスクを認識
オープンソース・ソフトウェア(OSS)のコンポーネントに潜むリスクの特定と管理を実践する企業/団体は、前回から10%増加した。
NECプラットフォームズ株式会社 セキュリティ事業推進室長 澤田利幸氏は次のように述べている。
「当社では、市販品から重要インフラに係る機器まで多種多様なIT/IoT製品を開発/生産していることから、脆弱性診断やファジングテストなど、製品のセキュリティ対策を強化しています。BSIMMコミュニティに参加することで、当社のソフトウェア開発におけるセキュリティ・プログラムを同業他社と比較して客観的に理解することができます。セキュリティ環境が急速かつ複雑に変化するなか、BSIMMから得られる洞察は、当社のリスクと優先事項を把握し、次にどのようなセキュリティ・プログラムに注力すべきかを明確にするのに役立っています」
シノプシス ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html
この企業と関係のあるSOLUTION記事
-
シノプシスがソフトウェア脆弱性スナップショット・レポートを発表 脆弱性は減少傾向にあることが明らかに
アプリケーションから脆弱性が検出された割合は2020~22年に14ポイント減少
2024.1.30 5:34 pm
-
シノプシスがソフトウェア・コンポジション解析ソリューションに関するThe Forrester Wave™ の評価で“リーダー”に指名される
市場におけるプレゼンスカテゴリで最高得点を獲得、現行の製品カテゴリで2位にランク
2023.6.14 6:55 pm
-
シノプシスが2023年 ガートナー アプリケーション・セキュリティ・テスト分野のマジック・クアドラントで“リーダー”に7年連続指名
実行能力とビジョンの完全性の評価では5年連続最高位を獲得
2023.5.24 6:13 pm
-
シノプシスがRSA Conferenceにて次世代Polaris Software Integrity Platform®を公開
完全に統合されたSaaS製品によりあらゆる規模のDevSecOpsでアプリケーション・セキュリティ・テストを簡素化
2023.4.6 5:43 pm
-
シノプシスによる調査の結果、最良のソフトウェア・サプライチェーン・セキュリティ対策には包括的なSBOM整備が不可欠であることが明らかに
コードベースの84%に1つ以上の既知の脆弱性が含まれていることが判明、昨年の調査結果から約4%増加
2023.3.14 7:05 pm
-
アプリケーションの95%に脆弱性が潜み、25%は緊急リスクまたは高リスクに分類-シノプシス調査
シノプシスのアプリケーション・セキュリティ・テスト・サービスとサイバーセキュリティ・リサーチ・センターが診断、2022年ソフトウェア脆弱性スナップショットで報告
2023.1.25 5:18 pm
-
シノプシスが静的解析ソリューションCoverityを富士フイルムビジネスイノベーションに提供
不具合の誤検知・過検知数を大幅削減、商圏拡大と製品ラインアップ拡充に求められる開発品質の向上と工数削減を実現
2022.6.27 6:02 pm
-
シノプシスがNTT Application Security社の買収を完了
Software-as-a-Serviceで提供するアプリケーション・セキュリティ機能を強化
2022.6.23 4:12 pm
-
シノプシス調査、ソフトウェア・サプライチェーンで使用されているオープンソース・コンポーネントに潜むリスク管理にあたっての重要課題
2,400を超す商用ならびに内製のコードベースを調査した結果、オープンソースに潜むライセンス上の問題や脆弱性のリスクに減少がみられるものの、企業/団体の88%では使用中のオープンソースに対して継続的なアップデートがなされていないことが判明
2022.5.19 4:57 pm
