BSIMM(Building Security In Maturity Model) びーしむ
簡単に言うとこんな感じ!
BSIMMは「世の中の優れた企業がソフトウェアのセキュリティ対策をどのくらいやっているか」を調査してまとめた”通知表の物差し”だよ。自分たちの開発チームのセキュリティ活動を、その物差しに照らして「うちはどのレベル?」と確認できるんだ!
BSIMMとは
BSIMM(Building Security In Maturity Model)は、実際に多くの企業・組織がソフトウェア開発においてどのようなセキュリティ活動を実施しているかを調査・観察し、その結果をモデル化したものです。「あるべき理想」ではなく「実際に行われていること」をデータとして集めた点が最大の特徴で、実態に基づくベンチマーク(比較基準)モデルとも呼ばれます。
BSIMMはGary McGraw氏らによって2008年に初版が公開され、以来バージョンアップを重ねながら、金融・保険・テクノロジー・医療など幅広い業界のデータが蓄積されています。自社のソフトウェアセキュリティプログラム(SSP)の現状を把握し、業界他社と比較したり、改善のロードマップを描いたりするために使われます。
ITシステムの発注側企業にとっては、「ベンダーや開発パートナーがどの程度のセキュリティ活動を行っているか」を評価・要求するための共通言語としても機能します。「うちのセキュリティ活動はちゃんとしてる?」という問いへの客観的な答えを出すための羅針盤と言えるでしょう。
BSIMMの構造:ドメインとプラクティス
BSIMMは全体を 4つのドメイン(領域) に分類し、さらにその下に 12のプラクティス(実践項目)、そして具体的な 113のアクティビティ(活動) で構成されています(BSIMM v13時点)。
| ドメイン | プラクティス | 概要 |
|---|---|---|
| ガバナンス(Governance) | 戦略とメトリクス / コンプライアンスとポリシー / トレーニング | セキュリティプログラムの方針・指標・教育 |
| インテリジェンス(Intelligence) | 攻撃モデル / セキュリティの特徴と設計 / 規格と要件 | 脅威情報の収集・セキュリティ要件の整備 |
| SSDL接点(SSDL Touchpoints) | アーキテクチャ分析 / コードレビュー / セキュリティテスト | 開発ライフサイクルの各フェーズへのセキュリティ組み込み |
| デプロイメント(Deployment) | 侵入テスト / ソフトウェア環境 / 構成管理と脆弱性管理 | リリース・運用環境のセキュリティ活動 |
各アクティビティには レベル1〜3 の成熟度段階があり、数値が高いほど高度な実践を示します。自社が「どのアクティビティを実施しているか」をチェックすることで、現在の成熟度スコアが算出されます。
「BSimm」の覚え方
「Build Security In」=「セキュリティを中に組み込む」+「MM=成熟度モデル」と分解して覚えましょう。「ビルドしながらセキュリティをインサイドに」というイメージです。
BSIMMのデータ規模(BSIMM v13)
- 調査対象組織数:130社以上
- 業種:金融・保険・テクノロジー・医療・小売・IoTなど多岐にわたる
- 累積アクティビティ観察件数:数万件以上のデータポイント
- 公開サイクル:年1〜2回のペースでアップデート
歴史と背景
- 2001年頃:ソフトウェアのセキュリティ問題が多発し、マイクロソフトが「Trustworthy Computing」を宣言。開発プロセスへのセキュリティ組み込みが業界課題となる
- 2004年:Gary McGraw氏が著書 Software Security を執筆し、「ソフトウェアセキュリティタッチポイント」の概念を提唱
- 2008年:Cigital社(現Synopsys)がBSIMM初版(v1)を公開。9社の観察データをもとに作成
- 2012〜2016年:BSIMM v4〜v7でデータ対象が急拡大。金融・FinTech企業の参加が増加
- 2019年:BSIMM v10、100社超のデータを収録しグローバルな標準ベンチマークとして定着
- 2022年:BSIMM v13公開。クラウドネイティブ・DevSecOps対応のアクティビティが強化される
- 現在:Synopsys社が管理・運営し、毎年観察データを更新。多くの大企業がセキュリティ成熟度評価に採用
似たモデルとの比較:BSIMM vs SAMM vs SDL
ソフトウェアセキュリティに関するフレームワークはいくつか存在します。それぞれの違いを理解することが大切です。
| 項目 | BSIMM | OWASP SAMM | Microsoft SDL |
|---|---|---|---|
| アプローチ | 観察・実態ベース(記述的) | 理想・目標ベース(規範的) | 理想・目標ベース(規範的) |
| 主な用途 | ベンチマーク・現状把握 | 改善ロードマップ設計 | 開発プロセス標準化 |
| 管理主体 | Synopsys社 | OWASP財団(OSSコミュニティ) | Microsoft |
| 対象規模 | 中〜大規模組織向け | 小〜大規模まで対応 | 主にMicrosoft製品/Windows生態系 |
| 無償公開 | 無償(報告書はサイトで取得) | 完全無償・OSSライセンス | 無償(ドキュメント公開) |
| 更新頻度 | 年1〜2回(調査ベース) | バージョン単位(不定期) | ドキュメント随時更新 |
実務での活用ポイント: BSIMMは「何をすべきか」を指図するのではなく、「業界標準と比べて自分たちはどこにいるか」を示します。ベンダー選定時に「BSIMMのどのレベルを目標にしているか」を聞くことで、相手のセキュリティ成熟度を定量的に把握できます。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| OWASP SAMM v2.0 | ソフトウェアセキュリティ保証成熟度モデル。BSIMMと相補的に使われることが多いOSSフレームワーク |
| NIST SP 800-64 | セキュアSDLCに関するNISTガイドライン。BSIMMのアクティビティとマッピング可能 |
| ISO/IEC 27034 | アプリケーションセキュリティに関する国際規格。BSIMMとの整合性が参照されることがある |
関連用語
- セキュアSDLC — ソフトウェア開発ライフサイクルにセキュリティを組み込む開発手法
- OWASP SAMM — OWASPが提供するソフトウェアセキュリティ保証成熟度モデル
- DevSecOps — 開発・セキュリティ・運用を一体化したアプローチ
- 脅威モデリング — 設計段階でシステムへの脅威を体系的に洗い出す手法
- ペネトレーションテスト — 実際に攻撃を試みてシステムの脆弱性を発見するテスト手法
- 脆弱性管理 — ソフトウェア・システムの脆弱性を継続的に把握・対処するプロセス
- セキュリティ成熟度モデル — 組織のセキュリティ対策の達成度を段階的に示すモデルの総称
- CMMI — 能力成熟度モデル統合。BSIMMの成熟度モデルの概念的な源流の一つ