開発運営チームの「現在地」を知らないために起きていること

ソフトウェアを何度も診断していても、脆弱性が減っていかないのは、なぜ？

成果物のセキュリティを検査すること——脆弱性診断は、いまや多くの組織がやっています。お金をかけて診断し、見つかった脆弱性を修正する。けれど、毎度それを繰り返すたびに、脆弱性は本当に撲滅されていっているでしょうか。

検査を受けるたびに、組織は何かを学習して、前に進めているでしょうか。新しいプロジェクトを立ち上げるとき、そこにはセキュリティを支えるチームフォーメーションとコミュニケーションが、はじめから組み込まれているでしょうか。

ひと握りの優秀な人の力と影響力に頼りにして、組織的な取り組みにはなかなか進まない——これは、珍しいことではありません。

今いるメンバーで、セキュリティを実践していくために

そこで手本になるのが、OWASP SAMM です。優れたガイドラインであるだけでなく、組織の取り組みを評価するためのスコアカードを備えています。

組織の成熟度は、本来は定量化しにくい、定性的なものです。それをあえて数値にする——少し乱暴なやり方かもしれません。けれど、この指標に照らすと、力を入れすぎている「むだな力み」も、抜けている「手薄」も、同じ地図の上に浮かび上がります。

このスコアカードがあるから、組織の運用に関するセキュリティの取り組みを一貫した基準でアセスメントし、レーダーチャートとして可視化できます。そこから見えてくるのは、今後とくに強化すべき分野はどこか——そして、いまのセキュリティが維持できている理由は何か、まで。弱点だけでなく、強みの裏付けまで示せる診断です。

これは、開発・運用組織そのものの診断です。脆弱性診断であり、同時に、強みの診断でもある。

よくある、成熟の道のり

最初のアセスメントで多くの組織に共通するのは、「後出しじゃんけん型」です。セキュリティテストとインシデント対応はそれなりに回っているのに、戦略も、教育も、設計思想もともなっていない。ad-hoc で、組織の一部にとどまった実践です。

次のフェーズでは、まずポリシーとチームをつくる——ガバナンスを立ち上げます。あわせて欠陥管理や環境の整備を進め、問題を早く見つけ、言語化し、管理できるようにしていきます。

そして三度目。欠陥を減らすために、トレーニングを展開する。教育とガイダンスが一段ずつ伸びて、組織全体を牽引しはじめます。こうして、後追いだった取り組みが、前の工程へと移っていく。これがシフトレフトの実像です。

NIST CSF や CIS Controls とは、何が違うのか

組織全体のサイバーリスクを扱う NIST CSF、技術的なセーフガードを並べた CIS Controls——どちらも重要なフレームワークで、SAMM はこれらと競合しません。たとえば CIS Controls にも、アプリケーションセキュリティの項目があります。その一項目を、組織の側面から解像度を上げて見るのが OWASP SAMM です。

おもしろいのは、SAMM に取り組むと、ほかのセキュリティ施策まで自然と伸びていくこと。理由は単純です——組織そのものが、変わるからです。

進め方

1. アセスメント — 開発・運用・マネジメントなど複数の役割に、SAMM のスコアカードに沿った問いを投げます。立場による認識の差そのものが、診断の材料になります。

2. 可視化と分析 — 5つの業務機能・15のプラクティスごとの成熟度を、レーダーチャートとギャップ分析で一枚にまとめ、どこが効いていてどこが弱いかを読み解きます。

3. 変革へのガイド — 数多くのアセスメントを通して得てきた知見をもとに、優先順位をつけた改善の道筋を示します。

4. 改善の伴走 — （オプション）描いた道筋にそって、実践を継続的に支援します。ご相談のうえご提供します。

セルフアセスメントと、監査人が入ること

OWASP SAMM は、自分たちだけでセルフアセスメントすることもできます。違いは、経験を積んだ監査人が関わるかどうかです。

監査人は、測ったあとに「どう改善へ動くか」の経験を持っています。そして第三者として客観的に言葉にすることで、内側からは出てこなかったことが、はじめて言語化される。組織の内側からの改善は、当事者の頑張りだけでは、本当に難しいのです。

もうひとつ。セルフアセスメントは、どうしても「できていない」側に倒れがちです。すると、すでにできている優れたところを見落とし、変化の兆しを正当に評価できなくなる。監査人の目があってはじめて、強みも、芽生えはじめた変化も、正しく見えてきます。

標準や規制が「セキュアに作れ」と言う。その“やり方”が SAMM です

PCI DSS も、ISO/IEC 27002 も、NIST も、そして EU CRA も——いずれも「ソフトウェアをセキュアに開発・運用せよ」と求めます。けれど、肝心の「どうやって」「どこまでできているか」には、フレームワーク自身は答えません。その実践と、組織の成熟度を扱うのが OWASP SAMM です。

• ISO/IEC 27002:2022 — 8.25〜8.31（セキュア開発ライフサイクル／アプリケーションのセキュリティ要件／セキュア設計の原則／セキュアコーディング／開発・受入時のセキュリティテスト／外部委託開発／環境の分離）。SAMM の設計・実装・検証がそのまま対応します。
• PCI DSS v4.0 — 要件6「セキュアなシステムとソフトウェアの開発・維持」。
• NIST SSDF（SP 800-218） — セキュアソフトウェア開発の実践群。
• EU CRA（Regulation (EU) 2024/2847） — Annex I・Article 13 が脆弱性対応プロセスを、Article 14 が報告義務を課します。

とりわけ EU CRA の Article 14（2026年9月11日適用）は、悪用が確認された脆弱性・重大インシデントについて、24時間以内の早期警告・72時間以内の通知・14日以内の最終報告を求めます。この期限を実際に守れるかは、検知からトリアージ、報告までの組織的な仕組み次第。SAMM の「インシデント管理」「欠陥管理」の成熟度が、そのまま“CRA に応えられる組織か”を映します。

OWASP SAMM は、ベンチマークの観察にとどまる記述的なモデルと違い、自社のリスクに合わせて具体的な改善計画まで導ける規範的（prescriptive）なフレームワークです。世界中のセキュリティ企業・コンサルティングが支えるプラクティショナー・エコシステムをもち、米国 NIST の消費者ソフトウェア・ラベリングの検討でも、評価の土台として SAMM を活用する提案が示されています（2021）。

わたしたちが提供するもの

数多くのアセスメントから得た知見をもとに、現在地の可視化から変革の作戦立案までを、ひとつのサービスとしてご提供します。

• アセスメントシステム — OWASP SAMM のスコアカードにもとづくサーベイ基盤です。複数の役割が、それぞれの立場から回答します。
• インタビュー — 数値の背景にある実態を、対話で補います。
• 御社特有の AppSec リスクのダイアログ — お客様の事業や開発体制に固有のアプリケーションセキュリティリスクを、掘り下げて言語化します。
• 分析結果 — 成熟度レーダー、ギャップ分析、強み・弱みの構造。どこに力みがあり、どこが手薄かが、見えてきます。
• 戦略案とガイダンス — 優先順位をつけた変革の戦略案と、プラクティスごとの改善ガイダンス。実践への伴走支援は、ご相談のうえオプションとしてご提供します。