OWASP SAMMで、自社組織の現在地を見よう

ソフトウェアを何度も診断していても、脆弱性が減っていかないのは、なぜ？

成果物のセキュリティを検査すること——脆弱性診断は、いまや多くの組織がやっています。お金をかけて診断し、見つかった脆弱性を修正する。けれど、毎度それを繰り返すたびに、脆弱性は本当に撲滅されていっているでしょうか。

検査を受けるたびに、組織は何かを学習して、前に進めているでしょうか。新しいプロジェクトを立ち上げるとき、そこにはセキュリティを支えるチームフォーメーションとコミュニケーションが、はじめから組み込まれているでしょうか。

ひと握りの優秀な人の力と影響力に頼りにして、組織的な取り組みにはなかなか進まない——これは、珍しいことではありません。

今いるメンバーで、セキュリティを実践していくために

そこで手本になるのが、OWASP SAMM（Software Assurance Maturity Model）です。優れたガイドラインであるだけでなく、組織の取り組みを評価するためのスコアカードを備えています。

このスコアカードがあるから、組織の運用に関するセキュリティの取り組みを一貫した基準でアセスメントし、レーダーチャートとして可視化できます。そこから見えてくるのは、今後とくに強化すべき分野はどこか——そして、いまのセキュリティが維持できている理由は何か、まで。弱点だけでなく、強みの裏付けまで示せる診断です。

これは、開発・運用組織そのものの診断です。脆弱性診断であり、同時に強みの診断でもある、と言えます。

よくある、成熟の道のり

最初のアセスメントで多くの組織に共通するのは、「後出しじゃんけん型」です。セキュリティテストとインシデント対応はそれなりに回っているのに、戦略も、教育も、設計思想もともなっていない。ad-hoc で、組織の一部にとどまった実践です。

次のフェーズでは、まずポリシーとチームをつくる——ガバナンスを立ち上げます。あわせて欠陥管理や環境の整備を進め、問題を早く見つけ、言語化し、管理できるようにしていきます。

そして三度目。欠陥を減らすために、トレーニングを展開する。教育とガイダンスが一段ずつ伸びて、組織全体を牽引しはじめます。こうして、後追いだった取り組みが、前の工程へと移っていく。これがシフトレフトの実像です。

NIST CSF や CIS Controls とは、何が違うのか

組織全体のサイバーリスクを扱う NIST CSF、技術的なセーフガードを並べた CIS Controls——どちらも重要なフレームワークです。SAMM はこれらと競合しません。ソフトウェアを「作り、運用する」プロセスそのものの成熟度に焦点を当てるのが SAMM の役割で、これらと補完的に働きます。すでに別のフレームワークで取り組んでいる組織にも、開発の現場に踏み込んだ視点を加えます。

進め方

1. アセスメント — 開発・運用・マネジメントなど複数の役割に、SAMM のスコアカードに沿った問いを投げます。立場による認識の差そのものが、診断の材料になります。

2. 可視化と分析 — 5つの業務機能・15のプラクティスごとの成熟度を、レーダーチャートとギャップ分析で一枚にまとめ、どこが効いていてどこが弱いかを読み解きます。

3. 変革へのガイド — 数多くのアセスメントを通して得てきた知見をもとに、優先順位をつけた改善の道筋を示します。

4. 改善の伴走 — （オプション）描いた道筋にそって、実践を継続的に支援します。ご相談のうえご提供します。

わたしたちが提供するもの

数多くのアセスメントから得た知見をもとに、現在地の可視化から変革の作戦立案までを、ひとつのサービスとしてご提供します。

• アセスメントシステム — OWASP SAMM のスコアカードにもとづくサーベイ基盤。複数の役割が、それぞれの立場から回答します。
• インタビュー — 数値の背景にある実態を、対話で補います。
• 御社特有の AppSec リスクのダイアログ — お客様の事業や開発体制に固有のアプリケーションセキュリティリスクを、掘り下げて言語化します。
• 分析結果 — 成熟度レーダー、ギャップ分析、強み・弱みの構造。組織の現在地を一枚で。
• 戦略案とガイダンス — 優先順位をつけた変革の戦略案と、プラクティスごとの改善ガイダンス。
  実践への伴走支援は、ご相談のうえオプションとしてご提供します。