130社調査で判明 ソフトウェア開発におけるセキュリティ強化、4つの見逃せないトレンドはAdobe、Paypal、Lenovoなど

シノプシスは、セキュア開発成熟度モデルの調査レポート「BSIMM13(日本語版)」を公開した。ソフトウェアセキュリティの取り組みに関して、過去12カ月の間に4つのトレンドが見られることを明らかにした。

» 2022年11月09日 10時30分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 シノプシスは2022年11月2日、セキュア開発成熟度モデル(BSIMM)の調査レポート「BSIMM13(日本語版)」を公開した。BSIMM13には、AdobeやPayPal、Lenovoといった130社の企業に所属する約1万1900人のセキュリティ専門家と約41万人の開発者による、14万5000以上のアプリケーションに対するセキュリティ強化の取り組みが反映されているという。

 BSIMMは、ソフトウェア開発にセキュリティを組み込む組織の取り組みを調査し、数値化した成熟度モデル調査だ。BSIMM13では、ソフトウェアセキュリティの取り組みに関して、過去12カ月の間に4つのトレンドが見られることを明らかにした。

サプライチェーンリスクの理解と「SBOM」の整備が進む

 1つ目は、ソフトウェアサプライチェーンリスクの管理とSBOM(Software Bill of Materials:ソフトウェア部品表)の整備だ。今回の調査では、オープンソースリスクの管理に関連する取り組みが、過去12カ月間で51%増加していることが分かった。採用するソフトウェアの内部コンポーネントを網羅したSBOMを保守している企業も30%増加している。昨今のサプライチェーン攻撃の増加に伴い、ソフトウェアサプライチェーンリスク管理は、BSIMMに参加する企業にとって最も優先順位が高い要件になっている。

 2つ目は、開発者が使用するツールチェーンへのセキュリティ対策プロセスの統合だ。今回の調査では、品質保証の自動化プロセスにセキュリティテストを組み込む活動が48%増えていた。自動テストを、ソフトウェア開発ライフサイクル全体を通じて実践する取り組みとして、セキュリティの取り組みをCI/CD(Continuous Integration/Continuous Delivery:継続的インテグレーション/継続的デリバリー)パイプラインや開発者が使用するツールチェーンに組み込んでいく活動が大幅に進んでいる。

 3つ目は、最終製品やアプリケーションの領域を超えてソフトウェアセキュリティ対策を拡充。アプリケーションではないソフトウェアのセキュリティを確保するための取り組みも大幅に強化されている。今回の調査では、継続的な品質向上に向けて実稼働データを活用する動きが、過去12カ月間で95%増加していることが分かった。

 4つ目は、継続的なセキュリティテストを自動化し、ソフトウェア開発ライフサイクル全体に適用して実践していることだ。今回の調査では、静的解析ツールを活用している企業の割合は82%だった。シノプシスでは、追加のセキュリティテストを迅速に実施し、ソフトウェア開発ライフサイクルで発生する脆弱(ぜいじゃく)性を特定することが可能になるとしている。

 シノプシスのソフトウェア インテグリティ グループでジェネラルマネジャーを務めるJason Schmitt氏は「調査結果からは、ほとんどの企業がソフトウェアサプライチェーンの問題に着目して、アプリケーションセキュリティにリスクベースのアプローチを実践している状況がうかがえる。こうしたアプローチが取られている背景には、セキュリティの問題はコードベースの中にのみ潜んでいるものではないという認識の拡大がある。問題はソフトウェア開発工程の中にも潜んでおり、セキュリティを確保するためには、セキュリティ評価とテストを、ソフトウェア開発ライフサイクルを通じて実践しなければならないという認識だ。BSIMMに参加する企業のソフトウェアセキュリティへの取り組みは成熟段階に入っており、さらに進んで、テストの実施を拡張し、効率を高め、自社のプログラムの全体的な有効性を向上させるための方法を模索している」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。