91吃瓜网

课题：セキュリティ第一の文化に根ざしたソフトウェア?セキュリティ?プログラムの构筑

ソフトウェア?セキュリティ?プログラムを一から構築する任務を負ったGenetec主任セキュリティ?アーキテクトのMathieu Chevalier氏は、組織のセキュリティ?プログラムを強化?発展させる取り組みには信頼できる実証済みの戦略が必要であることを実感しました。Chevalier氏は、「（彼の方法論の）主要因は、定量的なアプローチを用いて、重点を置くべき事項を特定し、他の人の経験を活かすための計画を策定することでした」と言います。

また、セキュリティ対策の開始当初から、Genetecの「ソフトウェア?セキュリティ対策は初期段階にある」ことにすぐに気付きました。「ソフトウェア?セキュリティ?チームが存在しないのです。」 ソフトウェア?セキュリティ?プログラムを推進し、その内容を遵守するには、ポリシーやプラクティス以上の要件が必要であることを理解したChevalier氏は、セキュリティを優先する環境と文化を促進する取り組みに着手しました。

そこで直面した重大な问题は、プログラムを开発するだけでなく、戦略を补强するための実証済みの方法とアプローチを见つけることであり、それには戦略的意思决定を検証する方法が必要でした。また、ソフトウェア?セキュリティ対策に対する信頼を筑く必要もありました。

解决策：叠厂滨惭惭评価

骋别苍别迟别肠社は、潜在的な成长分野を特定し、ソフトウェア?セキュリティ体制の明确な全体像を把握するために、叠厂滨惭惭评価の実施を選択しました。シノプシスのBuilding Security In Maturity Model（BSIMM）は、現在のAppSecアクティビティをテスト、測定、およびベンチマーキングするためのモデルとフレームワークを提供します。BSIMMデータは、金融サービス、独立系ソフトウェア?ベンダー、ヘルスケア、コンシューマー?エレクトロニクスなど、さまざまな業種にわたる130の組織のセキュリティ?プログラムに基づいて、AppSecの状態に関する独自の視点を提示し、経営幹部が組織での実施を検討すべき主要なアクティビティ、プラクティス、ツールに関する洞察を提供します。

骋别苍别迟别肠社は2016年12月に叠厂滨惭惭を使用し始め、过去5年间で2つの评価を行いました。

発足したばかりのセキュリティ?プログラムに対して叠厂滨惭惭评価を行うというChevalier氏の決定により、重要な第三者の洞察が得られました。BSIMMデータの使用は、「容易に達成できる目標を見つけ、その目標を契機にして変化を促進する」ために役立ちました。BSIMMが提供するデータを使用して、直感的に浮かんだ要件について「現状を把握し、改善策に取り組み、再測定」しました。この取り組みに最適な定量的手法を検討した結果、BSIMMが条件を満たしていることがわかりました。

プログラムに関する意思决定と方向性の検証に信頼できる第叁者机関を採用することで、信頼性とサポートを担保し、重要なガイダンスを得ることができました。