Electronics Information Service

組込みシステム技術者向け
オンライン・マガジン

MENU

SOLUTION

シノプシスの静的解析ソリューションCoverity、損保ジャパンの新たな基幹システム「SOMPO-MIRAI」の構築を支援

2021.8.30  3:40 pm

最大3000人の開発者が関わる大規模な刷新でソースコードの品質確保を効率化

シノプシスは本日、損害保険ジャパン株式会社が、約30年ぶりに新たな基幹システムとなる「SOMPO-MIRAI」を構築する「未来革新プロジェクト」において、シノプシスの静的解析(SAST)ソリューションCoverity®を採用したと発表した。最大3000人の開発者が参加するシステムの全面刷新において、Coverityがセキュリティ問題を含むソースコードの不具合を早期に検出、修正にかかる時間を短縮し、ソースコードの品質確保を効率化した。
   
損保ジャパンは2015年、関連会社のSOMPOシステムイノベーションズ株式会社、SOMPOシステムズ株式会社と共に、オープン系技術を採用して新たな基幹システムを一から構築するプロジェクトを立ち上げた。1980年代に構築された従来の基幹システムは、事業の拡大や合併などを経て肥大化・複雑化し、新たなビジネスモデルや新商品のための改修や機能追加に時間を要するという課題があった。すでに新システムは稼働を開始し、2023年度以降、自動車保険や火災保険などのシステムを段階的に移行することを計画している。
   
Coverityは、ソースコードに潜む重大な不具合やセキュリティ脆弱性をコーディング中に高精度で検出する正確で包括的な静的解析ソリューションである。開発工程の一部で利用された継続的インテグレーション(CI)ツールJenkinsとの親和性も高く、プロジェクトを推進したSOMPOシステムイノベーションズは初期段階からCoverityを活用して随時不具合を検出し、適宜修正することで開発品質を高めた。プロジェクトには複数のパートナー企業から技術レベルの異なる開発者が参加しており、Coverityで収集した解析結果のレポートを週次で共有し、ソースコードの品質やセキュアコーディングの均質化を実現した。また、使用言語を従来のCOBOLからJavaに変更するなか、Javaに不慣れな開発者に関してCoverityによりソースコードの品質を定量的に評価することが可能になった。
なお、静的解析ソリューションでは、不具合ではないものを不具合と判断する誤検知の多さによって開発者の生産性を落とすことが一般的な課題とされているが、SOMPOシステムイノベーションズの検証において、Coverityの誤検知率は他社製品比で約半分である一方、セキュリティ問題を含む重大な不具合の検出率は、1.6倍高いという評価結果を得ている。
    
SOMPOシステムイノベーションズの役員室フェローである福田 浩一氏は、次のように語っている。「ソースコードの品質を一定レベルまで引き上げるというCoverityの役割は、これまでの利用で果たしたと思います。これからは、保守段階でどう活用するかを検討し、運用体制をうまく構築したいと考えています。DX推進において開発手法のバリエーションを増やしていくなか、Coverityがもたらす価値を活用したいです」
    
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。
「DX時代においては、ソフトウェアに対する信頼の構築が重要です。自動化された静的解析は、スピードとアジリティを損なわずにソフトウェアの品質とセキュリティを向上させる効果的な方法です。 損保ジャパン様が新たな基幹システムであるSOMPO-MIRAIのコード品質とセキュリティに積極的に取り組むためにCoverityを採用したことをうれしく思います」
     
Coverity(*1)は、迅速かつ正確で拡張性の高い静的解析ソリューション。開発チームとセキュリティ・チームがソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティと品質の不具合に対処すること、アプリケーション・ポートフォリオ全体のリスクを追跡および管理すること、セキュリティおよびコーディング規約へのコンプライアンスを確保することを支援している。
    
シノプシス ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html