アプリケーション・セキュリティとは、単にツールを導入してテストを実行することではなく、アプリケーション・セキュリティ・リスクに対して人、プロセス、テクノロジーの全体的な連携を図ることです。ブラック・ダックのセキュリティ・コンサルティング・サービスを利用することで、現在の課題と将来の機会に対応するセキュリティ・プログラムを構築できます。
アプリケーション・セキュリティの成熟度のあらゆる段階で質問事項が生じることでしょう。うまく機能している点としていない点、開始、発展、成功のための方法に関する知識が必要になります。
ブラック・ダックのコンサルティング・チームが答えを見つけるお手伝いをします。
セキュア開発成熟度モデル(BSIMM)レポートは、10年以上にわたり、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)やセキュリティ・チームが同業他社との成熟度の比較を行う際に役立つ尺度と青写真を提供しています。測定データとベンチマーク・データはBSIMMの参加組織から得られたものであるため、現在実施されているAppSecプログラム戦略をじかに見ることができます。BSIMMレポートは、AppSecの成熟度評価の基準を提供し、セキュリティ専門家同士をつなぐコミュニティの役割を果たし、対策アクションプランの策定を支援する推進モデルです。
成熟したAppSecプログラムへの道程は、現在の強みと弱点を評価するところから始まります。ブラック・ダックのセキュリティ・コンサルタントは、BSIMMの調査データを参考にしてプラクティスの現状を徹底的に評価し、優先すべき領域や改善すべき領域に関する知見を提供します。将来へ向けての準備ができたとしても、その進路が不確かであれば、シノプシスのマチュリティ・アクション・プラン(MAP)サービスがプログラム目標を達成するためのロードマップの作成と実装をお手伝いします。
BSIMM評価に参加された場合、アプリケーション・セキュリティ・プログラム全体の現状を示すスコアカードをお渡しします。4つの共通ドメイン、12のプラクティス、200以上のメトリクスにわたるベンチマーキングにより、同業他社と比較した場合の自社のAppSecプログラムの格付けを簡単に確認できます。
マチュリティ・アクション・プラン(MAP)では、実践的なガイダンスを含む詳細な手順を示した計画を提示し、セキュリティ・プログラムに関する資金調達の優先順位付け、リソースの効率化、アプリケーション脆弱性の全体的なリスク低減を支援します。プランごとに新しいソフトウェア・セキュリティ・プログラム(SSP)、オープンソース、CI/CD、クラウド、DevSecOpsなどの設計と実装のガイダンスを含むセキュリティ・ロードマップが用意されています。