ソフトウェア開発にセキュリティ文化を根付かせたい--シノプシスのクーヘルマンGM

國谷武史 (編集部) 2018年03月22日 06時00分

  • このエントリーをはてなブックマークに追加

 「現在のソフトウェア開発におけるセキュリティや品質に対する意識は、30年前の電子設計の世界と似ている」。半導体などの電子設計(EDA)大手ベンダー米Synopsysで、ソフトウェア インテグリティ グループのジェネラルマネージャーを務めるAndreas Kuehlmann氏は、ソフトウェア開発の現状をこう指摘する。


米Synopsys ソフトウェア インテグリティ グループ ジェネラルマネージャーのAndreas Kuehlmann氏

 ソフトウェア インテグリティ グループは、2014年のSynopsysによるソフトウェア解析ツールベンダーCoverityの買収に伴って創設された。Kuehlmann氏は、CoverityやCadence Research Laboratories、IBMなどで長年にわたってシステムやソフトウェアの検証技術の研究開発に携わった。IBM時代は、同氏の機能的等価性検証に関する研究がIBMのプロセッサ開発にも大きく貢献したという。

 同氏によれば、ソフトウェア開発を取り巻く状況は、モノのインターネット(IoT)やクラウド、モバイルなどの広がりからアジャイルやDevOps、継続的なインテグレーション/デリバリーといった“高速性”や“俊敏性”などが求められる一方、開発言語やツールの多様化、オープンソース依存の高まりといった複雑性が増しており、ソフトウェアの品質やセキュリティをどう確保するかが大きなテーマとなっている。

 1986年に設立されたSynopsysのツールは、EDA分野ではデファクトスタンダードの存在として知られ、エレクトロニクス製品の設計開発における品質の向上に大きな影響をもたらしてきた。従来のITとエレクトロニクスは、隣接分野ながら互いに異なる世界ととらえられてきた。昨今ではIoT化の進展も相まって両分野の融合が進みつつある。

 ソフトウェア インテグリティ グループは、Coverityを皮切りとして、2017年11月に買収したオープンソースソフトウェア(OSS)管理ソリューションを手掛けるBlack Duckまで4年間に9社を買収し、ソフトウェア インテグリティ グループのポートフォリオを拡充させた。現在ではソフトウェアの静的・動的解析、セキュリティテスト、ライセンス管理、プロフェッショナル/マネージドサービス、トレーニングなど広範なソリューションを提供し、4000社以上の顧客を抱える。

 かつてチップの設計開発を手掛けていたというKuehlmann氏は、「1980年代のチップ開発は非常に未成熟であり、この30年は設計プロセスを確立していく歴史だった」と振り返る。特に課題だったのは、設計開発における生産性の向上とセキュリティを含めた品質の確保の両立であり、これはITのソフトウェア開発にとっても同様だろう。

 加えて、上述の環境変化からソフトウェアの脆弱性が時に、社会的な影響をもたらしかねないセキュリティ問題を引き起こすケースも目立つ。例えば、2014年に発覚した「Heartbleed」と呼ばれるOpenSSLの脆弱性は、インターネットサービスに対する信頼の根幹を揺るがしかねないとして世界的な話題を集めた。近年でもApache Strutsの脆弱性を突く不正アクセスなどが原因で情報が流出する事故が続く。SynopsysがBlack Duckを買収した狙いは、こうしたOSSに関するセキュリティソリューションを自社のポートフォリオに加えるためという。

 ソフトウェア インテグリティ グループを率いるKuehlmann氏にとってその目標は、ソフトウェアの開発段階からセキュリティや品質を確保していく“文化”を醸成することにある。

 ITでも、例えば、PCが世に広がり始めた30年近く昔はトラブルが頻発し、ユーザーによる再起動やOSの再インストールといった対応が当たり前だった。ITの重要性が高まるにつれてそうした機会は減りつつあるが、現在でもそうしたことが皆無になったとは言いづらい。

 「もちろんこれまでのプロセスを一夜にして変えられるわけではないが、例えば、トヨタが長い年月をかけてテストとフィードバックに基づくプロセス改善を続けたことが自動車の安全や品質を高めたように、現在のITはその目標を実現していく大きな転換点にある」(Kuehlmann氏)

 従来のITセキュリティは、どちらかといえば、製品が使われ始めた“後”に発生する問題や被害に備えたり、対応したりしていくアプローチが主流だった。しかし、サイバー攻撃などの脅威への懸念や、ウォーターフォールからアジャイルへといったソフトウェア開発の変化を受けて、最近ではDevOpsに“Security”を加えた「DevSecOps」という概念も提唱されるなど、製品が使われる“前”から安全性を確保していくアプローチの重要性も認識され始めた。

 Kuehlmann氏は、「もちろんセキュリティや品質のためのプロセスが加わることによって、効率性や生産性が低下してしまってはいけない」と話し、同社のソリューションやノウハウの提供を通じて「開発プロセスをより良いものにしていく支援から取り組みたい」と述べている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]