コンピューティング能力不足などからくる不十分なソフトウェア・エンジニアリングの実施、セキュリティ対策不足、拡張性の低いソフトウェア・アーキテクチャなどが多くの企業でデジタル・トランスフォーメーションの実現を阻む要因に
2021年1月6日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、The Cost of Poor Software Quality In the US: A 2020 Reportの発刊を発表した。シノプシスが協賛して作成されたこの報告書は、ソフトウェアのクオリティ測定を自動化し、セキュアで信頼性の高いソフトウェアの持続的開発を促進するための国際標準を策定しているConsortium for Information & Software Quality(CISQ)によるものである。この報告書では、クオリティの低いソフトウェアによって発生したコスト(CPSQ:cost of poor software quality)は、2020年には約2兆800億ドルにのぼったと試算されている。こうしたコストは、ソフトウェアの不具合、失敗に終わった開発プロジェクト、時代に合わなくなったシステムの問題、技術的負債(先送りされた開発や修正)、セキュリティ・ホールとなるソフトウェア上の弱点や脆弱性に付け込んだサイバー犯罪などによってもたらされたものである。
この報告書の著者であるHerb Krasner氏は、次のように語っている。「多くの企業/団体でデジタル・トランスフォーメーションの取り組みが進む中、ソフトウェアを駆使した技術革新/開発が急速に拡大しています。その結果、クオリティを犠牲にすることなく短期間で価値を生み出すための綱渡りが展開されるわけですが、典型的にみられるのは、殆どの企業/団体では他の開発指標に比べてクオリティ確保の優先度が低くなっているという事実です。クオリティが最優先されていないという実態は、法外なコストとして跳ね返ってきます。だからこそ、この報告書では、現在使用している或いは開発しているソフトウェアのクオリティを向上させるための具体的な提案をソフトウェア開発者、プロジェクトチーム、企業/団体で指導的立場にある人々に提言しています」
この報告書では、以下のような点が明らかとなっている。
この数字は、2018年と比べて22%の増加である。しかし、この数字はサイバー・セキュリティ対策の失敗が急速に増加していることを踏まえると控えめな見積もりと言わざるを得ず、さらに、表ざたにされていない失敗が多く存在しているということも考えに入れておくべきである。セキュリティ・ホールとなるソフトウェア上の弱点や脆弱性に付け込んだサイバー犯罪は、過去2年間で群を抜いて大きくなった懸念分野である。背景にある根本要因としては、ソフトウェア欠陥が減少していないという点が挙げられる。
この数字は、2018年と比べて46%の増加である。プロジェクトが失敗に終わった割合は、過去10年間で大きな変動はなく、最大で19%程度となっている。その潜在的な要因は様々だが、確実に言えることはクオリティ確保に対する重要性の認識が欠如しているということである。報告書からは、アジャイル開発やDevOps手法を活用して意思決定の遅れを最小限に抑えた場合には、プロジェクトの成功率は劇的に向上していることが解る。
この金額は、2018年の6350億ドルからは減少しているものの、依然として2020年の米国のIT支出全体の中で3番目の費用となっている。
シノプシス 行政/重要インフラ・プログラム担当ディレクター Joe Jarzombekは、次のように述べている。「クオリティの低いソフトウェアは、増加傾向の中で依然として根強く存在していますが、それに対する解決策もまたこれまでと変わりません。すなわち事前の予防こそが最良の策です。根本要因に可能な限り近い部分で弱点や脆弱性に対する対処を施したセキュアでハイ・クオリティなソフトウェアを構築することが肝要なのです。これによって、将来起こり得る経済的ダメージと問題解決コストを限定的なものとすることができます。そして、オーナーシップ・コストを削減し、悪意のあるサイバー攻撃に遭遇しても高い回復力を持つソフトウェア・ドリブン制御機能を実現することができるのです」
アジャイル開発やDevOpsといった手法はソフトウェア開発の進化を支えてきた。こういった手法の活用により、ソフトウェア開発者は、1日や時間単位で、あるいはリリースに向けて少しずつ時間を区切ってテスト/対策がなされたコード変更を少量ずつ漸進的に適用して、プログラムの改良を進めていくことができる。その結果、より高速な開発サイクルと、より短時間での問題対処を実現できるものの、必ずしも高品質につながるとは言えない。DevSecOps手法によって、高速なソフトウェア開発サイクルの中により優れたセキュリティ対策メカニズムを取り込むことができるが、DevQualOps手法の出現により、アジャイル/DevOps/DevSecOpsのサイクルを通じて、適切なレベルのクオリティを確保することが可能となっている。
The Cost of Poor Software Quality in the US: A 2020 Reportの詳細は、下記より入手可能。
認識しておくべき重要ポイントは、下記ブログより入手可能。
ウェビナーには、下記より参加可能。
https://www.it-cisq.org/webinars/cpsq-us-2020-report.htm
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細な情報は、http://www.synopsys.com/japanより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加