機械学習システムは「高金利クレジット」、ソフトの品質保証は難しいが可能性も：「AI／IoT時代のソフトウェア開発」講演レポート（4/4 ページ）

＠ITとMONOistはセミナー「AI／IoT時代のソフトウェア開発〜ITとOTの出会う場所〜」を開催。同セミナーの「MONOist Quality Track」のレポートをお送りする。

[朴尚洙，MONOist]

製品開発フェーズからソフトウェアを堅牢に

日本シノプシスの吉井雅人氏

　日本シノプシスは「安全安心で高品質なソフトウェアの開発を支援するソリューションのご紹介」と題して、ソフトウェアの開発工程で作り込まれる不具合や、未知の脆弱性、オープンソースソフトウェア（OSS）に含まれる脆弱性やライセンスを早期に発見し解決するソリューションについて説明した。

　同社ソフトウェア・インテグリティ・グループ シニアセールスエンジニアの吉井雅人氏は、市場の拡大とともにさまざまなセキュリティ脅威にさらされつつあるIoTデバイスについて「製品をリリースする前、製品開発フェーズからソフトウェアを堅牢にすべきではないか」と訴える。

　吉井氏はIoTソフトウェアの3つの特徴と、それらに対応する課題を挙げた。1つ目の特徴は「物理的な機器の制約」で、課題は「高い信頼性」である。この課題を解決する静的解析ツールとして、高い実績を持つ「Coverity」を挙げた。

　2つ目の特徴である「配布されるモノ」とは、組み込み分野でも利用が広がっているOSSのことだ。そして課題は、これらOSSに関する「サプライチェーンの管理」になる。この課題については、ソフトウェアサプライチェーンをよりセキュアにできる「Protecode」が有効だという。そして3つ目の特徴は「他との通信」で、課題は「攻撃経路への対応」になる。この課題では、ソフトウェアの脆弱性を検出する必要があるが、未知の脆弱性を検出するファジングについては、ファジングテストツールである「Defensics」で対処できるとした。

セキュリティが「必要悪」にされる原因は業界自身にある

SHIFT SECURITYの松野真一氏

　SHIFT SECURITYは「日本のモノづくりにおけるソフトウェア品質とセキュリティ」をテーマに、ビジネスを加速させる上でソフトウェア品質としてのセキュリティをどのように担保していくべきかを考察した。

　同社 社長の松野真一氏は「モノづくりの品質を確保する上でテスト工程は重要な役割を果たしている。このテスト工程の一部として、機能要件と非機能要件にまたがっているのがセキュリティテストだ」と語る。

　ただし現時点においてセキュリティテストは、開発工程の最終段階である受入テストで行われている。最終段階であるがゆえに、ここで脆弱性が見つかると大幅な手戻りが発生する。こうなると、開発者にとって煩わしい「あら探し」でしかなく、モチベーションを下げる要因にもなりかねない。この対策として松野氏が提案するのが、単体テスト、結合テスト、統合テストといった各テスト工程にセキュリティの観点を織り込んでいくことだ。

　セキュリティテストをいつやるか（When）に続いて、どうやるか（How）については「仕組化」を提案した。セキュリティテストのプロセスを分解していくと、標準化やナレッジ化、システム化、ツールによる自動化などで対応できる「作業」が80％を占める。残りの20％、判断が必要な領域を専門家が担当することで、業務量の急増や人材不足に対応できるという。

　最後に松野氏は「セキュリティが『必要悪』にされている原因はセキュリティ業界自身にあるのではないか。『これで大丈夫』と言い切ることがプロフェッショナルの役割だ」と強調した。

セミナー「AI／IoT時代のソフトウェア開発〜ITとOTの出会う場所〜」の「MONOist Quality Track」の様子