ソフトウェアでもトレーサビリティの確保目指す：シノプシスの取り組み（2/3 ページ）

[村尾麻悠子，EE Times Japan]

ソフトウェアのサプライチェーン

　一方で、ソフトウェアのサプライチェーンはどうだろうか。Chan氏は「ソフトウェアのサプライチェーンはかなり複雑で、サードパーティーやオープンソースのソフトウェアがどの程度含まれているのか、全く分からない状態にある」と指摘する。

ティア1、ティア2サプライヤーが明確なので、トレーサビリティが確保されているハードウェアのサプライチェーン（左）に比べ、ソフトウェアのサプライチェーンは極めて曖昧だ 出典：Synopsys（クリックで拡大）

　Chan氏は、「複雑な製品になればなるほど、オープンソースのコードが含まれている割合は高くなる。全体の10％では済まないだろう。30〜40％を占めるケースもあるかもしれない」と続ける。

　こうした問題に対してSynopsysが提案する解の1つが「ソフトウェアのサインオフ」だ。チップ設計において当たり前のように行われてきたサインオフを、ソフトウェアでも行おうというのである。

「ソフトウェアのサインオフは、開発と、サプライチェーン管理の両方で必要になる」とChan氏は語る 出典：Synopsys（クリックで拡大）

　ソフトウェアの受入検査にはさまざまなものがあるが、何をもってサインオフとなるかは明確ではない。Synopsysは、サインオフの規格を策定すべく、ULやSAE Internationalといった標準化団体と協業している。「ソフトウェアのサインオフにはいろいろな方法がある。今後、ソフトウェアのサインオフについてさまざまな規格が生まれてくると考えられる。そうなれば、ソフトウェアの受入検査にも、より慎重になるだろう」（Chan氏）

ソフトウェアセキュリティを手掛ける企業を買収

　Synopsysは、SIGを設立して以降、ソフトウェアのテストソリューションをそろえるために戦略的に買収を進めてきた。2014年には、ソフトウェア開発ツールの大手Coverityを買収。2015年にはファジングテストツールを手掛けるCodenomiconを、2016年にはソフトウェアのセキュリティ関連製品を提供するCigitalおよびCigitalからスピンオフしたCodiscopeを買収した。ちなみにCodenomiconは、OpenSSL暗号化ライブラリにおける脆弱性「Heartbleed」を発見した企業でもある。

Synopsysは、ソフトウェアセキュリティの関連を積極的に買収してきた 出典：Synopsys（クリックで拡大）

　Chan氏は「当社には、Coverityから得た静的解析ツールやCodenomiconのファジングテストツール、SCA（Software Composition Analysis：ソフトウェアコンポジション解析）ツールといった要素がそろっている。これらを活用し、チップの設計や評価におけるプラットフォームと同様のプラットフォームを、ソフトウェアのセキュリティでも作ろうとしている」と述べる。SCAは、ソフトウェアのセキュリティ関連で登場している新しい分野で、オープンソースのコードがどれだけ含まれているかを解析するものだ。

　Synopsysは、ソフトウェアセキュリティ関連のプラットフォームを構築している最中だが、必要が要素が全てそろっているわけではないとChan氏は説明する。「製品ポートフォリオとしては完全ではないので、今後、必要な技術を買収によって手に入れる可能性もある」（同氏）