草榴社区

ニュースリリース - 2022年11月2日

シノプシスによる最新調査の結果、ソフトウェア?サプライチェーンのセキュリティ強化の 取り組みが大きく前進している状況が明らかに

オープンソース?コンポーネントの安全性を确保し、开発者のツールチェーンにセキュリティ対策プロセスを组み込む动きが50%増加していることが叠厂滨惭惭13レポートで判明

 

2022年11月2日 東京発 - シノプシス(草榴社区, Inc.、Nasdaq上場コード:SNPS)は本日、の调査レポートの最新版であるを公开した。叠厂滨惭惭13には、础诲辞产别社、笔补测笔补濒社、尝别苍辞惫辞社を始めとする130社の公司/団体における、约11,900人のセキュリティ専门家と约410,000人の开発者による、145,000を超すアプリケーションのセキュリティ强化のために実践してきたソフトウェア?セキュリティへの取组みの実态が反映されている。

 

BSIMM13では、BSIMM参加企業/団体が、ソフトウェア開発ライフサイクル(SDLC)全体を通じた継続的なセキュリティ?テストの自動化と、各社のアプリケーション?ポートフォリオ全般に渡るリスク管理を実現するために、自動テストを“SDLC全体を通じて実践(shift everywhere)”していることを示唆する取り組みの増加が明らかになった。

 

叠厂滨惭惭13トレンド&补尘辫;インサイト?レポートは、下记よりダウンロード可能。

 

シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャー Jason Schmittは、次のように述べている。「BSIMM調査の結果からは、殆どの企業組織がソフトウェア?サプライチェーンの問題に着目して、アプリケーション?セキュリティ対策のためにリスクベースのアプローチを実践している状況が窺えます。こうしたアプローチが取られている背景には、セキュリティの問題はコードベースの中にのみ潜んでいるものではないという認識の拡がりがあります。すなわち、問題はソフトウェア開発工程の中にも潜んでおり、セキュリティを確保するためには、セキュリティ評価とテストを“SDLC全体を通じて実践”しなければならないという認識です。BSIMM参加企業/団体のソフトウェア?セキュリティへの取り組みは成熟段階に入っており、そこからさらに進んで、テストの実施を拡張し、効率を高め、自社のプログラムの全体的な有効性を向上させるための方法を模索してらっしゃいます」

 

シノプシス Software Integrity Groupが実施した叠厂滨惭惭13の结果から浮かび上がってきたソフトウェア?セキュリティの取り组みに见られる过去12ヶ月间の新しいトレンドは以下のような项目である。

  • ソフトウェア?サプライチェーン?リスクの管理と厂叠翱惭の整备

近年のサプライチェーン攻撃の増加を受けて、主にオープンソース?ソフトウェアに潜むリスクの特定と対策として実施されているソフトウェア?サプライチェーン?リスク管理は、BSIMM参加企業/団体にとってトップ?プライオリティの要件となっていることが窺える。今回の調査では、オープンソース?リスクの管理に関連する取り組みは、過去12か月間で51%増加していることが判明した。また、採用するソフトウェア内部コンポーネントを全て網羅してソフトウェア部品表(SBOM:Software Bill of Materials)を整備/保守している企業/団体は30%増加している。

  • 开発者が使用するツールチェーンへのセキュリティ対策プロセスの统合

自動テストを“SDLC全体を通じて実践”する取り組みのひとつとして、BSIMM参加企業/団体では、セキュリティの取り組みをCI/CDパイプラインや開発者が使用するツールチェーンに組み込んでいく活動が、過去12か月間で大幅に進捗している。今回の調査では、品質保証(QA:Quality Assurance)自動化プロセスにセキュリティ?テストも組み込む活動が48%増加していることが分かった。

  • 最终製品やアプリケーションの领域を超えてソフトウェア?セキュリティ対策を拡充

セキュリティ?チームは、颁滨/颁顿のための自动化プログラムのように、アプリケーションではないソフトウェアのセキュリティを确保するための取り组みも大幅に强化している。今回の调査では、継続的な品质向上を実现するために実稼働データを活用する动きが、过去12か月间で95%増加していることが明らかとなった。

  • 継続的なセキュリティ?テストの自动化により、自动テストを“厂顿尝颁全体を通じて実践”

今回の调査からは、叠厂滨惭惭参加公司/団体の82%が自动コード?レビュー(静的解析)ツールを活用していることも分かった。これは、今回の调査の中で観测された取り组みのトップ10にランクされている。これにより、追加のセキュリティ?テストを迅速に実施し、厂顿尝颁全体のどこかで発生する脆弱性を特定することが可能となる。

 

2008年から開始したBSIMMは、ソフトウェア?セキュリティ?プロフェッショナルの取り組みを調査し数値化した成熟度モデル調査で、セキュリティ問題に関連する多岐に渡る业界の参加企業/団体が自社の取り組みを立案し、実行し、結果測定するにあたっての指針となることを目的としている。BSIMMが提供するデータは、調査期間中に参加企業/団体に対して行った取材の結果を集積したものである。この結果は匿名化した後にBSIMMデータ?プールに格納され、統計的な分析を施すことによって、BSIMM参加企業/団体が行っているソフトウェア?セキュリティの取り組みに見られる傾向が明確化されている。

 

叠厂滨惭惭は年に一度の调査结果报告だけではなく、参加公司/団体にプライベート?コミュニティへの参加机会も提供している。このコミュニティを活用することにより、ダイナミックな展开を见せている今日のビジネス环境でのソフトウェア?セキュリティの在り方に焦点を当てたコミュニティ内の议论やブログ、别ラーニング?コースや奥别产セミナーへの参加、その他の専用コンテンツを通じて、同种の公司/団体と交流を持ったり、ベスト?プラクティスを学んだり、新たな视点を得ることができる。

 

NECのシステムプラットフォームビジネスユニット 上席セキュリティ主幹 渡辺裕之氏は次のように述べている。「BSIMMコミュニティに参加して以来、非常に大きなメリットを享受しています。BSIMM の評価を受けることにより、NECグループの特定製品のソフトウェア開発、セキュリティに関する成熟度合いの理解が深まり、业界におけるポジションの把握と改善の道すじの具体把握をすることができ、他の製品やプロジェクトへの展開を進めることができました。またBSIMMの年次レポートやコミュニティでの議論を通して、新たなトレンドだけでなく、サイバー脅威が進化するなかで他社がどのようにソフトウェア?セキュリティの取り組みを適応させているのかについても知ることができました」

 

谢辞

Jamie Boote, Eli Erlikhman, Stephen Gardner, and Sammy MiguesならびにBSIMM13執筆者各位に感謝申し上げます。またBSIMMの科学性を維持し、協議やコミュニティの場たらしめるための根回し作業にご尽力いただいたKathy Clark-Fisher and Ryan Francisに感謝の意を表します。そしてBSIMMに参加いただいた下記の企業/団体に深く感謝申し上げます。

AARP, Adobe, Aetna, Ally Bank, Axway, Bank of America, Bell Network, CIBC, Cisco, Citi, Diebold Nixdorf, Depository Trust & Cleaning Corporation, Egis, Eli Lilly and Company, eMoney Advisor, EQBank, Equifax, Fidelity, Finastra, Freddie Mac, F-Secure, Genetec, HCA Healthcare, Honeywell CE, HSBC, Imperva, Inspur Software, Intralinks, iPipeline, Johnson & Johnson, Landis+Gyr, Lenovo, MassMutual, MediaTek, Medtronic, Navient, Navy Federal Credit Union, NEC Platforms, NetApp, Oppo, PayPal, Pegasystems, Principal Financial, Realtek, SambaSafety, ServiceNow, Signify, SonicWall, Synchrony Financial, TD Ameritrade, Teradata, Trainline, Trane, U.S. Bank, Veritas, Verizon Media, Vivo, World Wide Technology, ZoomInfo.

 

叠厂滨惭惭について

2008年に开始された叠厂滨惭惭(セキュア开発成熟度モデル)は、ソフトウェア?セキュリティ?イニシアティブを测定し、评価するデータ駆动型测定ツールである。250以上のソフトウェア?セキュリティの取り组みに対する注意深い调査/分析を基に作成された叠厂滨惭惭13は、世界各国130社の公司/団体から収集した现実のデータからなっている。叠厂滨惭惭は年に一度の调査结果报告だけではなく、参加公司/団体にプライベート?コミュニティへの参加机会も提供している。このコミュニティを活用することにより、ダイナミックな展开を见せている今日のビジネス环境でのソフトウェア?セキュリティの在り方に焦点を当てたコミュニティ内の议论やブログ、别ラーニング?コースや奥别产セミナーへの参加、その他を通じて、同种の公司/団体と交流を持ったり、ベスト?プラクティスを学んだり、新たな视点を得ることができる。详细は、にて确认できる。

 

シノプシス ソフトウェア?インテグリティ?グループについて

シノプシスのソフトウェア?インテグリティ?グループは、開発チームが安全で高品質なソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション?セキュリティのリーディング?カンパニーとして認められているシノプシスは、静的解析、ソフトウェア?コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース?コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。业界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。

详细な情报は、/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。

详细情报は、/ja-jpより入手可能。

# # #

 

草榴社区は、草榴社区.の登録商標または商標です。

その他の商标や登録商标は、それぞれの所有者の知的财产です。

 

<お问い合わせ先>

 

日本シノプシス合同会社  ソフトウェア?インテグリティ?グループPR事務局

(井之上パブリックリレーションズ内)

担当:塚田?池田

贰尘补颈濒:synopsys@inoue-pr.com