複雑化するソフトウェア開発、3つの解析で品質を確保する――シノプシス：組み込み開発 インタビュー（1/2 ページ）

[朴尚洙，MONOist]

　シノプシス（Synopsys）と言えば、ケイデンス・デザイン・システムズ（Cadence Design Systems）、メンター・グラフィックス（Mentor Graphics）と並び、半導体向けEDA（回路設計自動化）ツールの大手ベンダーとして広く知られてきた企業だ。2017年度の売上高は約27億米ドル（約2960億円）で、従業員は約1万2000人にのぼる。

　約30年の歴史を持つシノプシスの中で、最も新しい事業部門となるのが、ソフトウェア・インテグリティ・グループ（以下、SIG）である。静的コード解析のリーディング企業であるコベリティ（Coverity）を買収した2014年からSIGの歴史は始まっており、その後、オープンソース暗号ライブラリ「OpneSSL」の脆弱性であるHeartBleedを報告したことで知られるコードノミコン（Codenomicon）などを次々と買収し、事業を拡大。直近では、2017年12月に、オープンソースソフトウェア（OSS）のライセンスやコンプライアンスの管理ソリューションを展開するブラック・ダック・ソフトウェア（Black Duck Software）を買収している^※）。

※）関連記事：シノプシスがブラックダックを買収、活用広がるOSSをよりセキュアで高品質に

買収によって拡大を続けるシノプシスのSIG（クリックで拡大） 出典：シノプシス

　事業拡大を続けるSIGの方針は、ソフトウェアをよりセキュアに、より高品質にするソリューションの拡充である。シノプシス SIG ゼネラルマネージャー兼コーポレートスタッフのアンドレアス・クーヘルマン（Andreas Kuehlmann）氏は「これらの買収した企業の製品やサービスを統合した『ソフトウェア・インテグリティ・プラットフォーム』として展開している。現在はオンプレミスで利用するパッケージソフトウェアだが、将来的にはクラウドベースでの提供も想定している」と語る。

自社開発コード、OSS、3rdパーティーコード、それぞれへのリスク対策

シノプシスのアンドレアス・クーヘルマン氏

　シノプシスがSIGに注力しているのは、IoT（モノのインターネット）時代に入って、日々のソフトウェア開発に新たな挑戦が必要になっているからだ。「IoTなどによってさまざまなデバイスがつながることでサイバー攻撃の可能性は高くなっており、ソフトウェア開発プロセスもウオーターフォールからアジャイルへと移行しつつある。そして、使用するプログラミング言語や開発ツール、ソフトウェア間の依存関係、OSSを多用するサプライチェーンなどソフトウェアそのものがより複雑になっている」（クーヘルマン氏）という。

　ITシステム向けであれ、組み込みシステム向けであれ、ソフトウェアは、自社開発コード、OSS、サプライヤーなどが開発した3rdパーティーコードから構成されている。そしてこれらへのリスク対策としては、自社開発コードであれば静的コード解析、OSSであればコンポジション解析、3rdパーティーコードであれば動的解析が有効だ。セキュリティの観点からも、これら3つの解析は重要な役割を果たす。

ソフトウェアは自社開発コード、OSS、3rdパーティーコードから構成されるが（左）、それぞれに有効な対策がある（右）（クリックで拡大） 出典：シノプシス

　クーヘルマン氏は「ソフトウェア・インテグリティ・プラットフォームはこれら全てに対応できる」と強調する。また、静的コード解析、コンポジション解析、動的解析の3分野で、シノプシスがリーダー企業であるという調査結果が得られている。

静的コード解析、コンポジション解析、動的解析におけるシノプシスへの評価。コンポジション解析については、買収したブラック・ダック・ソフトウェアがリーダー企業だ（クリックで拡大） 出典：シノプシス

　ソフトウェア・インテグリティ・プラットフォームをさらに強化する上で、ブラック・ダック・ソフトウェアの買収は重要だった。現在、ソフトウェア規模の拡大に併せてOSSの採用が増えており、その比率は40〜90％を占めるようになっている。従来のシノプシスのコンポジション解析は、バイナリーソフトウェアには対応していたが「ブラック・ダック・ソフトウェアの製品を組み合わせることでより高度なソリューションを提供できるようになった」（クーヘルマン氏）という。