米国土安全保障省(DHS)の調査によると、現在報告されているセキュリティインシデントの90%はソフトウェアの不具合に対するエクスプロイト(exploit:脆弱性を悪用するコード)が原因であるという。ソフトウェアベンダーに突きつけられた現実は厳しい。脆弱性を的確に検知・修正するすべはあるのか。近年、ソフトウェアセキュリティ分野に注力する米シノプシス(Synopsys)の幹部に話を聞いた。
大半のソフトウェアは、複数のサードベンダー/OSSコードの組み合わせ
クラウドやIoT(Internet of Things)の進展も手伝って、自動車や通信、医療機器といった我々の生活を支えるシステムや製品のインテリジェント化が以前よりさらに進行している。
そのような状況下、インテリジェント製品の根幹となるソフトウェアも複雑化が極まっている。大半のシステムや製品は、今では自社開発のソフトウェアだけでなく、複数のサードベンダーによるソフトウェア部品(コード)やOSS(オープンソースソフトウェア)が組み込まれている。ソフトウェア製品に包含されるサードベンダーのコードは全体の90%に達することも少なくないようだ。
「開発や調達の手法、さらに安全基準の異なるソフトウェアが混在するシステムや製品は、セキュリティの観点から見て脆弱性を抱えている」と指摘するのは、シノプシスのソフトウェアインテグリティ部門ゼネラルマネジャー/シニアバイスプレジデントを務めるアンドレア・キュールマン(Andreas Kuehlmann)氏だ(写真1)。
写真1:米シノプシス ソフトウェアインテグリティ部門ゼネラルマネジャー/シニアバイスプレジデントのアンドレア・キュールマン氏 現在のシノプシスは、EDA(Electronic Design Automation)やIP(Intellectual Property)製品に加えて、ソフトウェアセキュリティを主力事業の1つに据える。2014年2月にソースコードの静的解析ツールを手がける米コベリティ(Coverity)、2015年4月にOpenSSL脆弱性の「Heartbleed」を発見したフィンランドのコードノミコン(Codenomicon)、2016年3月には車載用故障シミュレーション技術を有する米WinterLogicをそれぞれ買収している。キュールマン氏は「今後もこの分野には積極的に投資し、市場の成熟に貢献していく」と語る。
