さまざまなシステムは、半導体デバイスの高性能化やクラウド、ビッグデータへの対応といったように、複雑化が進んでおり、そこに搭載される各種アプリケーションも、ソースコードの規模や連携するソフトウェアの増加、設計コスト抑制のためのオープンソースの活用など、複雑化している。
そのため、テスト工程や最終製品として出荷された後にバグが発見された場合、原因のソースコードは誰が開発したのか、といったトレーサビリティが上手く機能しないことも多く、原因の究明に時間がかかったり、その間隙をハッカーに利用されたりといったリスクを負う可能性も高まることが指摘されている。
実際に、ソフトウェアのバグやセキュリティホールに起因するリコールや、工場へのランサムウェアの侵入といったことも近年では起きており、ソフトウェアそのものに対するセキュリティをどう担保するのか、といったことが求められつつある。
そうした状況を踏まえ、誰がどのソースコードを作成したのか、既知のバグやエラーが存在していないか、未知の不具合がありうるのか、といったソフトウェアそのもの品質向上に向けた取り組みを進めている企業がある。Synopsysだ。同社を知っている人の多くは、半導体設計に向けたEDAベンダやIPベンダ、としてだと思われるが、実は同社、2014年ころより、ソフトウェア開発に関するビジネスを新規ビジネスとして立ち上げ、品質/セキュリティ向上のための開発ツールを手がけてきたCoverityや、ハートブリード(Heartbleed)バグで有名になったソフトウェアセキュリティ企業のCodenomicon、ソフトウェアのセキュリティ脆弱性の特定/修正/対策などを通じた運用管理サービス/プロフェッショナル・サービスを提供するセキュリティ企業のCigital、Cigitalから分離独立したCodiscopeなどを立て続けに買収するなど、事業の強化にまい進してきた。
「ソフトウェアは従来、品質を追求するだけで良かった。しかし、現在はそれは当然で、さらにセキュリティや安全性といったものまで求められるようになった」と語るのはSynopsysのPresident&CEOであるChi-Foon Chan氏だ。同氏によると、現在、同社のビジネスは「EDA」「IP」そして「Software」の3本の柱で構成されており、会社のモットーも「Silicon to Software」としているという。
「ソフトウェアをきっちりと作りこむ必要がある。そのためには、どうするのが良いのかと言うと、例えば自動車の部品サプライチェーンを考えると、ティア1からティア2…とつながるなかで、トレーサビリティが機能し、どこの企業が作った部品で問題や不具合が発生した、といったことが把握できる仕組みができている。しかし、ソフトウェア開発の世界では、複雑化するシステム要件と迫り来る納期に対応するために、自社のみならず、外部から購入したり、オープンソースを活用するなど、どこに何が入っているのか分からない情況に陥りやすい。さらに言えば、全ソースコード中、どこにオープンソースがどの程度使われているのか、といったことが分からない状況となる。それをハードウェアの世界と同じように、トレーサビリティを行えるようにすることで、管理が可能になると考えている」(同)とのことで、そうした目的を実現するために、必要なツールや能力を有している企業の買収を進めてきたとする。
自動車産業に代表されるようにハードウェアのサプライチェーンは、長い歴史の中で構築されてきた実績がある。しかし、中身が複雑化するソフトウェアのサプライチェーンの構築はまだまだ不十分で、それが構築されることで、どこの誰が、どこのソースコードを記述したのか、といったことがわかるようになり、不具合の修正などを追跡しやすくなる |
ただ、これまでに買収してきたソフトウェア関連企業で、こうした目標を完全に実現できるのか、というと、まだ道半ば、といったようで、同氏は「あまり詳しく語ると、相手の企業の価値が上がってしまうから言えないが、ソフトウェア産業は膨大であり、まだまだ不足している部分は多々ある」とし、今後も積極的な買収を続けていくことを明言。その一方で、「今、興味をもっているのはエンジニア教育で、これが上手くできれば、より良いコーディングが可能な優秀なエンジニアを多く生み出すことができるようになる。ただ、なかなか良いアイデアは生み出せていない。もし、良いアイデアがあれば、Synopsysに連絡をもらいたいくらいだ」と、単なるツールとしてのソフトウェアだけではなく、それを扱う存在の強化まで範囲を広げる方向性を示していた。
ソフトウェアが複雑化する一方で、世の中のデジタル化、エレクトロニクス化により、これまでメカトロニクスが担当してきた部分がエレクトロニクスに置き換わろうとしているが、そうした機器ではセキュリティパッチがなかなか適用されない、といった課題などもあり、そうした弱点を狙った攻撃がさらに増していくことは想像に難くない。そうした中、今後、どこの誰がどの部分を開発したのか、という責任の明確化は、開発者側にとっても、自社の責任の範疇なのかどうかを明確にするために必要になってくるだろう。そうした意味でも、こうしたSynopsysの取り組みが、今後のソフトウェア産業の健全な成長の一翼を担う可能性は大いにあるものと思われる。