スピードとデジタルトランスフォーメーション(DX)に駆り立てられている開発の世界では、組織を保護するために必要なセキュリティ・アクティビティを完全に把握することは至難の業です。セキュリティの実態を明確にし、ベストプラクティスを実行するには、まず、現在のセキュリティ態勢を外側からの視点で見る必要があります。
BSIMMの役割
BSIMM評価により、複数の業種の100を超える組織に関してソフトウェア・セキュリティ・プログラムを解析およびベンチマークすることができます。BSIMM評価は、セキュリティ態勢の向上を目指す場合の指針としてリソース、時間、予算、優先順位に基づいて決定を下すための客観的なデータ駆動型の解析です。
評価対象
126
アクティビティ
8
業種
130
組織
BSIMM評価を活用してできること
優れたソフトウェア・セキュリティ・プログラムの構築を支援する、客観的なデータ駆動型のベンチマーク・ツール
実際のデータに基づいて成熟度を評価
ソフトウェア・セキュリティ・プログラムを実際のデータに基づいて同業他社と比較します。BSIMMは、ソフトウェア・セキュリティ・プラクティスに基づいて構築されたフレームワークを備えたオープン・スタンダードです。100を超える組織の数百件以上の評価データを取り込み、1,000人超のセキュリティ専門家や開発者の作業状況を記述しています。
長期計画を立てる上での強みと弱みを理解する
他のフレームワークとは異なり、BSIMMは、規範的なものではなく説明的なものです。BSIMMは、少数の専門家グループが考え出した作業要件ではなく、プラクティスの現状を文書化します。この機能は、自社の強みと弱み、および組織固有のリスクと能力に基づく優先事項を把握するために役立ちます。
次に、ソフトウェア・セキュリティの目標を達成するための詳細な手順を定めたマチュリティ・アクション・プラン(MAP)を策定します。
社内のステークホルダー、顧客、パートナー、規制当局との信頼関係を築く
BSIMMを使用することで、ソフトウェアのセキュリティ態勢をステークホルダーと迅速かつ簡単に共有できます。また、実施している取り組みが組織のセキュリティ態勢にどのような変化をもたらしているかについて、詳細を具体的に示して経営陣、役員、顧客、パートナー、規制当局に説明することもできます。
BSIMMに対するお客様の声
当社は2015年にBSIMMコミュニティに参加し、毎年更新される観測結果から得られる洞察を活用して、当社独自のセキュリティ・プログラムを計画・評価し、お客様にとって最も重要なプラクティス領域を把握することに大きな価値を見出してきました。"
Bill Jaeger
|Lenovoのインフラストラクチャ・ソリューション・グループ製品セキュリティ担当執行役員
続きを読む
