OWASP SAMM
OWASP SAMM とは何ですか?
OWASP SAMMOWASP ソフトウェアアシュアランス成熟度モデル。組織のセキュア開発プラクティスを継続的に測定・改善するためのフレームワーク。
OWASP Software Assurance Maturity Model(SAMM)は、リスクプロファイルに合わせてソフトウェアセキュリティプログラムを策定・実装するための処方的かつ測定可能なフレームワークです。SAMM v2 は Governance、Design、Implementation、Verification、Operations の 5 つのビジネスファンクションに分かれ、それぞれセキュリティプラクティスと 3 段階の成熟度レベル、具体的アクティビティから構成されます。チームは SAMM ツールボックスで現状の成熟度を評価し、目標レベルを定義し、AppSec 投資をビジネスリスクに整合させるロードマップを描きます。SAMM は技術非依存で ISO 27001、NIST SSDF、BSIMM を補完し、客観的な AppSec 成熟度の証跡として企業や規制側に広く利用されています。
● 例
- 01
CISO が年次 SAMM アセスメントを実施し、脅威モデリングや SAST への投資根拠を示す。
- 02
米連邦顧客の要求への対応として、SAMM のプラクティスを NIST SSDF のタスクにマッピングする。
● よくある質問
OWASP SAMM とは何ですか?
OWASP ソフトウェアアシュアランス成熟度モデル。組織のセキュア開発プラクティスを継続的に測定・改善するためのフレームワーク。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OWASP SAMM とはどういう意味ですか?
OWASP ソフトウェアアシュアランス成熟度モデル。組織のセキュア開発プラクティスを継続的に測定・改善するためのフレームワーク。
OWASP SAMM はどのように機能しますか?
OWASP Software Assurance Maturity Model(SAMM)は、リスクプロファイルに合わせてソフトウェアセキュリティプログラムを策定・実装するための処方的かつ測定可能なフレームワークです。SAMM v2 は Governance、Design、Implementation、Verification、Operations の 5 つのビジネスファンクションに分かれ、それぞれセキュリティプラクティスと 3 段階の成熟度レベル、具体的アクティビティから構成されます。チームは SAMM ツールボックスで現状の成熟度を評価し、目標レベルを定義し、AppSec 投資をビジネスリスクに整合させるロードマップを描きます。SAMM は技術非依存で ISO 27001、NIST SSDF、BSIMM を補完し、客観的な AppSec 成熟度の証跡として企業や規制側に広く利用されています。
OWASP SAMM からどのように防御しますか?
OWASP SAMM に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OWASP SAMM の別名は何ですか?
一般的な別名: ソフトウェアアシュアランス成熟度モデル, SAMM。
● 関連用語
- compliance№ 775
OWASP ASVS
OWASP アプリケーションセキュリティ検証標準。Web アプリケーションや API の設計・実装・検証に用いる、検証可能なセキュリティ要件のカタログ。
- compliance№ 781
OWASP Top 10
OWASP が発行する啓発文書で、Web アプリケーションにとって最も重要なセキュリティリスクを実データに基づいて定期的に更新したもの。
- appsec№ 982
セキュアコーディング
防御的パターン・言語固有のルール・公認ガイドラインに従い、セキュリティ欠陥を最小化するようにソースコードを書く実践。
- appsec№ 1150
脅威モデリング
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
- compliance№ 204
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。