草榴社区

ニュースリリース - 2018年11月29日

シノプシス、BSIMM9調査の結果を発表 クラウド化の进展の影響とソフトウェア?セキュリティ?コミュニティの成長が明らかに

直近で実施したBuilding Security in Maturity Model調査の結果、過去10年間で120の企業/団体が実践してきたソフトウェア?セキュリティ強化プログラムの状況が判明

 

2018年11月29日 東京発 - シノプシス(草榴社区, Inc.、Nasdaq上場コード:SNPS)は本日、ソフトウェア?セキュリティ成熟度モデル调査の最新版であるを公開した。BSIMM(Building Security in Maturity Model)は、ソフトウェア?セキュリティ強化プログラム(SSI:software security initiatives)の計画/実施/査定を行う組織を支援するサービスである。今回で9度目となるBSIMMには、過去10年間に120の企業/団体が実践してきたSSIの実態がまとめられている。注目すべきは、クラウド化の进展の影響、調査データから浮き彫りになった新しい业界 -小売业界- の取り組み、ソフトウェア?セキュリティ?コミュニティの成長である。BSIMM9の結果は下記よりダウンロードできる。

 

オラクル社 NetSuite部門 インフラストラクチャ/セキュリティ担当上級副社長 Dr. Brian Chess氏は、次のように述べている。「SWの開発/セキュリティ確保/運用は連携する必要がありますが、BSIMM9のデータからも、この取り組みがプロセス自動化を通じて実施され始めていること、特にこの動きはソフトウェアのクラウド化によって顕著になっていることが明らかになっています。これは正しい方向に向けた大きなムーブメントです。すなわちより高度なセキュリティをより迅速に確立するための動きです」

 

BSIMM9では、7,800人のソフトウェア?セキュリティ専門家の取り組みが類型化されている。こうした取り組みは、約13万5千ものアプリケーションに携わる41万5千人のソフトウェア開発者のセキュリティ対策をガイドし、その努力を最大限に活かすのに役立つものとなる。金融関連、独立系ソフトウェア開発企業(ISV:Independent Software Vendors)、クラウド関連、医療関連、IoT関連、保険関連、小売関連などをはじめとするさまざまな业界の企業/団体がBSIMM9に参加している。

 

叠厂滨惭惭9の结果で注目されるポイントは以下のような项目である。

  • クラウド化の进展

    企業/団体は、業務負荷や開発パイプラインをクラウド上に移行しつつある。これは、ソフトウェア?セキュリティの点でこれまでと異なるアプローチが要求されるパラダイム?シフトである。クラウド化に直接/間接に関連する3つの取り組みが、新たにBSIMM項目として登場した。さらに、もっとも取り組みが活発な业界のうちの3業種であるISV、IoT企業、クラウド?ファームに見られる取り組みは、似かよった内容に収斂しつつあり、このことは、クラウド?アーキテクチャという共通項が、同じようなソフトウェア?セキュリティ対策を要求していることを示している。

  • 数多くの业界を網羅したBSIMM調査

    BSIMMは、個別业界内あるいは业界をまたがるSSI評価に用いることができる。今回新たに小売业界が、BSIMMデータに加わった。小売业界の発展にとってイーコマースというビジネスモデルが必須となっているため、この业界でのSSIの取り組みは比較的急速に成熟しつつある。医療関連や保険関連の业界と比べても、より成熟した取り組みが見て取れる。

  • 叠厂滨惭惭参加公司/団体の増加

叠厂滨惭惭9への参加公司/団体は叠厂滨惭惭8の109社から増加して、120社となっている。その中で、ソフトウェア?セキュリティ対策を実施している公司/団体の数は65%増加しており、开発に携わる公司/団体の数も43%増加している。この注目すべき叠厂滨惭惭人口の増加は、ソフトウェア?セキュリティ対策のプライオリティがこれまで以上に高くなっていることを示している。
 

シノプシス セキュリティ?テクノロジ担当副社長 Dr. Gary McGrawは、次のように語っている。「BSIMMプロジェクトは、自社のSSIの取り組みレベルを査定し改善していくための事実上の业界標準プロセスとなっています。BSIMMスコア*1を用いて自社の取り组みを査定することにより、最も成熟した取り组みを実践している世界の公司/団体のセキュリティ対策レベルと自社のそれを比较対照することができます。叠厂滨惭惭9は、过去10年の厂厂滨実践现场の客観的な観测に基づいた最高指标であり、ソフトウェア?セキュリティ対策に関するあらゆる侧面から収集された最も広范囲をカバーしたデータです」

          *1 叠厂滨惭惭スコアは、厂厂滨の査定プロセスで明らかとなったソフトウェア?セキュリティ対策実施项目の

            合計スコアから算出されている。各項目は1ポイントで、BSIMM全体は116項目で構成されている。

 

叠厂滨惭惭は、公司/団体による厂厂滨确立への取り组みを観测し、各社に共通する取り组みと独自の取り组みを明确にするために116种の项目の実践の度合いを数値化している。こうして得られた叠厂滨惭惭データ集计をチャート化すると、モデル(指标)化されて12分野に分けて组み込まれている多数の取り组み项目の実施度合いによって异なるチャート形状となり、セキュリティ成熟度が高い场合には正12角形に近いチャートを形成することになる。参加公司/団体は、叠厂滨惭惭を活用して自社の取り组み度合いを査定し、次にどういった取り组みを実践するのが自社戦略全体にとって有効であるかを判断できる。

 

谢辞

過去10年にわたって実施してきたセキュリティ?リサーチを通じて収集したデータを分析したDr. McGrawならびにシノプシス 主席サイエンティスト Sammy Migues氏、オラクル社 NetSuite部門 クラウド?オペレーション担当副社長 Jacob West氏、そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。

Adobe, The Advisory Board Company, Aetna, Alibaba Group, Amgen, Anda, Autodesk, Axway, Bank of America, Betfair, BMO Financial Group, Black Duck Software, Black Knight, Box, Canadian Imperial Bank of Commerce, Capital One, City National Bank, Cisco, Citigroup, Citizens Bank, Comerica Bank, Cryptography Research (a division of Rambus), Dahua, Depository Trust & Clearing Corporation, Ellucian, Experian, F-Secure, Fannie Mae, Fidelity, Freddie Mac, General Electric, Genetec, Global Payments, Highmark Health, The Home Depot, Horizon Healthcare Services, HSBC, Independent Health, iPipeline, Johnson & Johnson, JPMorgan Chase, Lenovo, LGE, McKesson, Medtronic, Morningstar, Navient, NCR, NetApp, News Corp, Nvidia, NXP Semiconductors, PayPal, Principal Financial Group, Qualcomm, Royal Bank of Canada, Scientific Games, ソニーモバイルコミュニケーションズ, Splunk, 草榴社区, Target, TD Ameritrade, Trainline, Trane, U.S. Bank, The Vanguard Group, Veritas, Verizon, Wells Fargo, Zendesk, and Zephyr Health.

 

叠厂滨惭惭について

BSIMM(Building Security in Maturity Model)は、企業/団体が取り組むソフトウェア?セキュリティ強化プログラム(SSI:software security initiatives)を査定/評価するサービスとして、2008年より実施されている。BSIMMは、データに裏付けされたモデル(指標)と、各社のSSIを注意深く調査/分析して開発した測定ツール、100社以上の企業/団体から収集した現実のデータからなっている。ソフトウェア?セキュリティ対策の実践状況を基にしたフレームワークのオープン?スタンダードであり、自社のセキュリティへの取り組みを査定するために活用されている。詳細は、にて确认できる。

 

シノプシス?ソフトウェア?インテグリティ?プラットフォームについて

シノプシスは、ソフトウェア?インテグリティ?プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション?セキュリティ?テストのリーディング?カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア?コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース?ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。业界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。

详细な情报は、/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

详细情报は、/ja-jpより入手可能。

 

# # #

 

草榴社区は、草榴社区.の登録商標または商標です。

その他の商标や登録商标は、それぞれの所有者の知的财产です。

 

<お问い合わせ先>

 

日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充

TEL: 03-6746-3940                  FAX: 03-6746-3941