米シノプシス SIG(Software Integrity Group)Global Manager, Software Supply Chain Management ジョー・ジャーゾンベック氏
米シノプシス SIG(Software Integrity Group)Global Manager, Software Supply Chain Management ジョー・ジャーゾンベック氏
[画像のクリックで拡大表示]

 米国の国土安全保障省サイバーセキュリティ通信室でソフトウェア&サプライチェーン・アシュアランス(SSCA)担当ディレクタを務めたジョー・ジャーゾンベック(Joe Jarzombek)氏は、2015年12月に米シノプシスに参画した。ソフトウエアの安全性を高める「包括的なツールスィートを持っている」ことがシノプシスの強みだという。IoT(Internet of Things)の進展、コンピュータシステムへの攻撃の脅威が増す今日、ソフト開発に安全(セーフティ)とプライバシーの視点が欠かせないと説く。

(聞き手は原田 英生=日経ソフトウエア


シノプシスに移籍した理由は何か。

 世界の大きな流れを考えてみてほしい。1980年代、パソコンが現れた時に、ソフトウエアに求められたのは品質(クオリティ)だった。1990年代、多くのパソコンがインターネットに接続され、クオリティに加えてセキュリティが求められるようになった。2000年代にはさらに、安全(セーフティ)とプライバシーが求められるようになった。様々なデバイスにソフトウエアが搭載され、それらがインターネットでつながるIoT(Internet of Things)時代を迎えた今日、安全の確保はとてつもなく重要だ。

 被害の形が変わってきたことも認識する必要がある。情報漏えいのような、ある意味「バーチャル」な被害から、「フィジカル」な被害へ進む恐れが出てきた。自動車が思わぬ動きをする、医療システム内の情報が書き換えられて間違った薬剤が投与される、そんな被害が考えられる。システムに対する攻撃も考えられる。電力システムとか水道とかのライフラインも例外ではない。攻撃主体は個人かもしれないし、国家かもしれない。ソフトウエアや情報システムにおいて、安全の確保は急を要する課題なのだ。

 ただ、安全を確保するのは容易ではない。今日では、ソフトウエアは開発するものというより、組み立てる(アセンブルする)ものになっている。世の中のソフトウエアの9割は、自分で開発したのではないコードを組み込んでいる。それはOSS(Open Source Software)かもしれないし、コマーシャルなコンポーネントかもしれない。どこに問題があるのか把握するのが難しい。明らかになった脆弱性に対処するだけでも大仕事だし、明らかになっていないものもある。コード量は膨大だ。こうした悪条件の中でも、顧客のニーズにこたえてソフトウエアを出荷しなければいけない。

 シノプシスにはソフトウエアの安全性を高める包括的なツールスィートがある。コードを分析して問題を見付け出す「Coverity」、通信プロトコルをベースに未知の脆弱性を見付け出す「Defensics」、ソフトウエアの部品表(BOM、Bill Of Materials)を作り脆弱性を見付け出す「Protecode」、セキュリティテストを行う「Seeker」、テストの効率を上げる「Test Advisor」、こうしたツールを使うことでより安全なソフトウエアを作れる。こうしたツールの改善と普及に貢献することに意義があると思っている。