最大3000人の開発者が関わる大規模な刷新でソースコードの品質確保を効率化
2021年8月30日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、損害保険ジャパン株式会社(以下「損保ジャパン」)が、約30年ぶりに新たな基幹システムとなる「SOMPO-MIRAI」を構築する「未来革新プロジェクト」において、シノプシスの静的解析(SAST)ソリューションCoverity®を採用したと発表した。最大3000人の開発者が参加するシステムの全面刷新において、Coverityがセキュリティ問題を含むソースコードの不具合を早期に検出、修正にかかる時間を短縮し、ソースコードの品質確保を効率化した。
損保ジャパンは2015年、関連会社のSOMPOシステムイノベーションズ株式会社(以下「SOMPOシステムイノベーションズ」)、SOMPOシステムズ株式会社と共に、オープン系技術を採用して新たな基幹システムを一から構築するプロジェクトを立ち上げた。1980年代に構築された従来の基幹システムは、事業の拡大や合併などを経て肥大化・複雑化し、新たなビジネスモデルや新商品のための改修や機能追加に時間を要するという課題があった。すでに新システムは稼働を開始し、2023年度以降、自動車保険や火災保険などのシステムを段階的に移行することを計画している。
Coverityは、ソースコードに潜む重大な不具合やセキュリティ脆弱性をコーディング中に高精度で検出する正確で包括的な静的解析ソリューションである。開発工程の一部で利用された継続的インテグレーション(CI)ツールJenkinsとの親和性も高く、プロジェクトを推進したSOMPOシステムイノベーションズは初期段階からCoverityを活用して随時不具合を検出し、適宜修正することで開発品質を高めた。プロジェクトには複数のパートナー企業から技術レベルの異なる開発者が参加しており、Coverityで収集した解析結果のレポートを週次で共有し、ソースコードの品質やセキュアコーディングの均質化を実現した。また、使用言語を従来のCOBOLからJavaに変更するなか、Javaに不慣れな開発者に関してCoverityによりソースコードの品質を定量的に評価することが可能になった。なお、静的解析ソリューションでは、不具合ではないものを不具合と判断する誤検知の多さによって開発者の生産性を落とすことが一般的な課題とされているが、SOMPOシステムイノベーションズの検証において、Coverityの誤検知率は他社製品比で約半分である一方、セキュリティ問題を含む重大な不具合の検出率は、1.6倍高いという評価結果を得ている。
SOMPOシステムイノベーションズの役員室フェローである福田 浩一氏は、次のように語っている。「ソースコードの品質を一定レベルまで引き上げるというCoverityの役割は、これまでの利用で果たしたと思います。これからは、保守段階でどう活用するかを検討し、運用体制をうまく構築したいと考えています。DX推進において開発手法のバリエーションを増やしていくなか、Coverityがもたらす価値を活用したいです」
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。 「DX時代においては、ソフトウェアに対する信頼の構築が重要です。自動化された静的解析は、スピードとアジリティを損なわずにソフトウェアの品質とセキュリティを向上させる効果的な方法です。 損保ジャパン様が新たな基幹システムであるSOMPO-MIRAIのコード品質とセキュリティに積極的に取り組むためにCoverityを採用したことをうれしく思います」
Coverityは、迅速かつ正確で拡張性の高い静的解析ソリューション。開発チームとセキュリティ・チームがソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティと品質の不具合に対処すること、アプリケーション・ポートフォリオ全体のリスクを追跡および管理すること、セキュリティおよびコーディング規約へのコンプライアンスを確保することを支援している。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
詳細な情報は、www.synopsys.com/ja-jp/software-integrityより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・渡辺
Email:synopsys@inoue-pr.com
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加