複雑化するソフトウェア開発、3つの解析で品質を確保する――シノプシス:組み込み開発 インタビュー(1/2 ページ)
シノプシス(Synopsys)と言えば、ケイデンス・デザイン・システムズ(Cadence Design Systems)、メンター・グラフィックス(Mentor Graphics)と並び、半導体向けEDA(回路設計自動化)ツールの大手ベンダーとして広く知られてきた企業だ。2017年度の売上高は約27億米ドル(約2960億円)で、従業員は約1万2000人にのぼる。
シノプシス(Synopsys)と言えば、ケイデンス・デザイン・システムズ(Cadence Design Systems)、メンター・グラフィックス(Mentor Graphics)と並び、半導体向けEDA(回路設計自動化)ツールの大手ベンダーとして広く知られてきた企業だ。2017年度の売上高は約27億米ドル(約2960億円)で、従業員は約1万2000人にのぼる。
約30年の歴史を持つシノプシスの中で、最も新しい事業部門となるのが、ソフトウェア・インテグリティ・グループ(以下、SIG)である。静的コード解析のリーディング企業であるコベリティ(Coverity)を買収した2014年からSIGの歴史は始まっており、その後、オープンソース暗号ライブラリ「OpneSSL」の脆弱性であるHeartBleedを報告したことで知られるコードノミコン(Codenomicon)などを次々と買収し、事業を拡大。直近では、2017年12月に、オープンソースソフトウェア(OSS)のライセンスやコンプライアンスの管理ソリューションを展開するブラック・ダック・ソフトウェア(Black Duck Software)を買収している※)。
※)関連記事:シノプシスがブラックダックを買収、活用広がるOSSをよりセキュアで高品質に
事業拡大を続けるSIGの方針は、ソフトウェアをよりセキュアに、より高品質にするソリューションの拡充である。シノプシス SIG ゼネラルマネージャー兼コーポレートスタッフのアンドレアス・クーヘルマン(Andreas Kuehlmann)氏は「これらの買収した企業の製品やサービスを統合した『ソフトウェア・インテグリティ・プラットフォーム』として展開している。現在はオンプレミスで利用するパッケージソフトウェアだが、将来的にはクラウドベースでの提供も想定している」と語る。
自社開発コード、OSS、3rdパーティーコード、それぞれへのリスク対策
シノプシスがSIGに注力しているのは、IoT(モノのインターネット)時代に入って、日々のソフトウェア開発に新たな挑戦が必要になっているからだ。「IoTなどによってさまざまなデバイスがつながることでサイバー攻撃の可能性は高くなっており、ソフトウェア開発プロセスもウオーターフォールからアジャイルへと移行しつつある。そして、使用するプログラミング言語や開発ツール、ソフトウェア間の依存関係、OSSを多用するサプライチェーンなどソフトウェアそのものがより複雑になっている」(クーヘルマン氏)という。
ITシステム向けであれ、組み込みシステム向けであれ、ソフトウェアは、自社開発コード、OSS、サプライヤーなどが開発した3rdパーティーコードから構成されている。そしてこれらへのリスク対策としては、自社開発コードであれば静的コード解析、OSSであればコンポジション解析、3rdパーティーコードであれば動的解析が有効だ。セキュリティの観点からも、これら3つの解析は重要な役割を果たす。
クーヘルマン氏は「ソフトウェア・インテグリティ・プラットフォームはこれら全てに対応できる」と強調する。また、静的コード解析、コンポジション解析、動的解析の3分野で、シノプシスがリーダー企業であるという調査結果が得られている。
ソフトウェア・インテグリティ・プラットフォームをさらに強化する上で、ブラック・ダック・ソフトウェアの買収は重要だった。現在、ソフトウェア規模の拡大に併せてOSSの採用が増えており、その比率は40〜90%を占めるようになっている。従来のシノプシスのコンポジション解析は、バイナリーソフトウェアには対応していたが「ブラック・ダック・ソフトウェアの製品を組み合わせることでより高度なソリューションを提供できるようになった」(クーヘルマン氏)という。
Copyright © ITmedia, Inc. All Rights Reserved.